Slik gjenoppretter du tapte filer fra CrypBoss Ransomware

Annonse

Det er gode nyheter for alle som er berørt av løsepengevarene CrypBoss, HydraCrypt og UmbreCrypt. Fabian Wosar, en forsker ved Emsisoft, har klarte å reversere dem, og har i prosessen gitt ut et program som er i stand til å dekryptere filer som ellers ville gått tapt.

Disse tre skadevareprogrammene er veldig like. Her er det du trenger å vite om dem, og hvordan du kan få tilbake filene dine.

Møte CrypBoss-familien

Skapelse av skadelig programvare har alltid vært en hytteindustri for milliarder dollar. Uønskede programvareutviklere skriver nye malware-programmer, og auksjonerer dem til organiserte kriminelle i de slemmeste delene av det mørke nettet Journey Into The Hidden Web: En guide for nye forskereDenne håndboken tar deg med på en omvisning gjennom de mange nivåene av dypnettet: databaser og informasjon tilgjengelig i akademiske tidsskrifter. Til slutt kommer vi til portene til Tor. Les mer .

Disse kriminelle distribuerer dem så vidt og bredt, i prosessen infiserer tusenvis av maskiner, og lager en

uhyggelig sum penger Hva motiverer folk til å hacke datamaskiner? Hint: PengerKriminelle kan bruke teknologi for å tjene penger. Du vet dette. Men du vil bli overrasket over hvor geniale de kan være, fra hacking og videresalg av servere til å rekonfigurere dem som lukrative Bitcoin-gruvearbeidere. Les mer .

Det ser ut til at det er det som har skjedd her.

Både HydraCrypt og UmbreCrypt er lett modifiserte varianter av et annet skadelig program kalt CrypBoss. I tillegg til å ha en delt aner, distribueres de også gjennom Angler Exploit Kit, som bruker metoden for drive-by-nedlastinger for å infisere ofre. Dann Albright har skrevet mye om utnyttelsessett Dette er hvordan de hacker deg: The Murky World of Exploit KitsSvindlere kan bruke programvarepakker til å utnytte sårbarheter og lage skadelig programvare. Men hva er disse utnyttelsespakkene? Hvor kommer de fra? Og hvordan kan de stoppes? Les mer i fortiden.

Det har vært mye forskning på CrypBoss-familien av noen av de største navnene innen datasikkerhetsforskning. Kildekoden til CrypBoss ble lekket i fjor på PasteBin, og ble nesten umiddelbart slukt av sikkerhetsfellesskapet. Sent i forrige uke publiserte McAfee en av de beste analysene av HydraCrypt, som forklarte hvordan det fungerer på de laveste nivåene.

Forskjellene mellom HydraCrypt og UmbreCrypt

Når det gjelder deres essensielle funksjonalitet, gjør HydraCrypt og UmbreCrypt begge det samme. Når de først infiserer et system, begynner de å kryptere filer basert på filtypen deres, ved å bruke en sterk form for asymmetrisk kryptering.

De har også annen ikke-kjerneatferd som er ganske vanlig innen løsepengeprogramvare.

For eksempel lar begge angriperen laste opp og kjøre tilleggsprogramvare til den infiserte maskinen. Begge sletter skyggekopiene av de krypterte filene, noe som gjør det umulig å gjenopprette dem.

Den kanskje største forskjellen mellom de to programmene er måten de "løser tilbake" filene på.

UmbreCrypt er veldig saklig. Den forteller ofrene at de har blitt infisert, og det er ingen sjanse for at de vil få tilbake filene sine uten å samarbeide. For at offeret skal starte dekrypteringsprosessen, må de sende en e-post til en av to adresser. Disse er vert på henholdsvis "engineer.com" og "consultant.com".

Kort tid etter vil noen fra UmbreCrypt svare med betalingsinformasjon. Ransomware-varselet forteller ikke offeret hvor mye de skal betale, selv om det forteller offeret at gebyret vil multipliseres hvis de ikke betaler innen 72 timer.

Morsomt forteller instruksjonene gitt av UmbreCrypt offeret om ikke å sende dem en e-post med "trusler og uhøflighet". De gir til og med et eksempel på e-postformat som ofrene kan bruke.

HydraCrypt skiller seg litt ut i måten løsepengene deres er langt mer truende.

De sier at med mindre offeret ikke betaler innen 72 timer, vil de utstede en sanksjon. Dette kan være en økning i løsepenger, eller ødeleggelse av den private nøkkelen, og dermed gjøre det umulig å dekryptere filene.

De truer også med det frigi den private informasjonen Her er hvor mye identiteten din kan være verdt på det mørke nettetDet er ubehagelig å tenke på deg selv som en vare, men alle dine personlige detaljer, fra navn og adresse til bankkontodetaljer, er verdt noe for kriminelle på nettet. Hvor mye er du verdt? Les mer , filer og dokumenter til ikke-betalere på Dark web. Dette gjør det litt av en sjeldenhet blant løsepengevare, da det har en konsekvens som er langt verre enn å ikke få tilbake filene dine.

Slik får du tilbake filene dine

Som vi nevnte tidligere, har Emisofts Fabian Wosar vært i stand til å bryte krypteringen som ble brukt, og har gitt ut et verktøy for å få tilbake filene dine, kalt DekrypterHydraCrypt.

For at det skal fungere, må du ha to filer tilgjengelig. Disse skal være en hvilken som helst kryptert fil, pluss en ukryptert kopi av den filen. Hvis du har et dokument på harddisken som du har sikkerhetskopiert til Google Disk eller e-postkontoen din, bruk dette.

Alternativt, hvis du ikke har dette, kan du bare se etter en kryptert PNG-fil, og bruke en hvilken som helst annen tilfeldig PNG-fil som du enten lager selv eller laster ned fra Internett.

Deretter drar og slipper du dem inn i dekrypteringsappen. Det vil da sette i gang og begynne å prøve å finne den private nøkkelen.

Du bør advares om at dette ikke vil være øyeblikkelig. Dekrypteringsenheten vil gjøre noe ganske komplisert matematikk for å finne ut dekrypteringsnøkkelen din, og denne prosessen kan potensielt ta flere dager, avhengig av CPU-en din.

Når den har utarbeidet dekrypteringsnøkkelen, åpner den et vindu og lar deg velge mappene hvis innhold du vil dekryptere. Dette fungerer rekursivt, så hvis du har en mappe i en mappe, trenger du bare å velge rotmappen.

Det er verdt å merke seg at HydraCrypt og UmbreCrypt har en feil, der de siste 15 bytene av hver kryptert fil blir uopprettelig skadet.

Dette bør ikke plage deg for mye, siden disse bytene vanligvis brukes til utfylling eller ikke-essensielle metadata. Fluff, i grunnen. Men hvis du ikke kan åpne de dekrypterte filene dine, prøv å åpne dem med et filgjenopprettingsverktøy.

Intet hell?

Det er en sjanse for at dette ikke vil fungere for deg. Det kan være av flere årsaker. Det mest sannsynlige er at du prøver å kjøre det på et løsepengeprogram som ikke er HydraCrypt, CrypBoss eller UmbraCrypt.

En annen mulighet er at skaperne av skadelig programvare har endret den til å bruke en annen krypteringsalgoritme.

På dette tidspunktet har du et par alternativer.

Den raskeste og mest lovende innsatsen er å betale løsepenger. Dette varierer ganske mye, men svever generelt rundt $300-merket, og filene dine blir gjenopprettet i løpet av noen timer.

Det burde være en selvfølge at du har å gjøre med organiserte kriminelle, så det er ingen garantier de vil faktisk dekryptere filene, og hvis du ikke er fornøyd, har du ingen sjanse til å få en refusjon.

Du bør også vurdere argumentet om at å betale disse løsepengene opprettholder spredningen av løsepengevare, og fortsetter å gjøre det økonomisk lukrativt for utviklerne å skrive løsepengeprogramvare programmer.

Det andre alternativet er å vente i håp om at noen vil gi ut et dekrypteringsverktøy for skadelig programvare du har blitt rammet av. Dette skjedde med CryptoLocker CryptoLocker Is Dead: Slik kan du få tilbake filene dine! Les mer , da de private nøklene ble lekket fra en kommando-og-kontroll-server. Her var dekrypteringsprogrammet et resultat av lekket kildekode.

Det er imidlertid ingen garanti for dette. Ganske ofte er det ingen teknologisk løsning for å få tilbake filene dine uten å betale løsepenger.

Forebygging er bedre enn en kur

Selvfølgelig er den mest effektive måten å håndtere løsepengeprogrammer på å sikre at du ikke er infisert i utgangspunktet. Ved å ta noen enkle forholdsregler, som å kjøre et fullstendig oppdatert antivirus, og ikke laste ned filer fra mistenkelige steder, kan du redusere sjansene for å bli infisert.

Ble du påvirket av HydraCrypt eller UmbreCrypt? Har du klart å få tilbake filene dine? Gi meg beskjed i kommentarene nedenfor.

Bildekreditt: Bruke en bærbar datamaskin, fingeren på berøringsplaten og tastaturet (Scyther5 via ShutterStock), Bitcoin på tastatur (AztekPhoto via ShutterStock)