Slik gjenoppretter du tapte filer fra CrypBoss Ransomware
Det er gode nyheter for alle som er berørt av CrypBoss, HydraCrypt og UmbreCrypt ransomware. Fabian Wosar, en forsker ved Emsisoft, har klart å reversere dem, og i prosessen har det gitt ut et program som kan dekryptere filer som ellers ville gå tapt.
Disse tre malwareprogrammene er svært like. Her er hva du trenger å vite om dem, og hvordan du kan få filene dine tilbake.
Møte CrypBoss-familien
Malware opprettelse har alltid vært en milliard dollar hytte industri. Ill-intentioned programvareutviklere skriver nye malwareprogrammer, og augerer dem til organiserte kriminelle i de fineste rekkeviddeene til den mørke weben. Reisen til det skjulte nettverket: En guide for nye forskere Reisen til den skjulte websiden: En guide for nye forskere Denne håndboken vil ta du på en tur gjennom de mange nivåene på den dype weben: databaser og informasjon tilgjengelig i akademiske tidsskrifter. Til slutt kommer vi til Tors porte. Les mer .
Disse kriminelle distribuerer dem så vidt, i prosessen infiserer tusenvis av maskiner og gjør en ugudelig mengde penger som motiverer folk til å hackere datamaskiner? Hint: Penger som motiverer folk til å hakke datamaskiner? Tips: Money Criminals kan bruke teknologi for å tjene penger. Du vet dette. Men du ville bli overrasket over hvor genialt de kan være, fra hacking og videresalg av servere til å omkonfigurere dem som lukrative Bitcoin gruvearbeidere. Les mer .
Det virker som det som skjedde her.
Både HydraCrypt og UmbreCrypt er lettmodifiserte varianter av et annet malwareprogram kalt CrypBoss. I tillegg til å ha et felles forfed, blir de også distribuert gjennom Angler Exploit Kit, som bruker metoden for drev-nedlastninger for å infisere ofre. Dann Albright har skrevet mye om brukssett Dette er hvordan de hakker deg: Den murige verden av brukssett Dette er hvordan de hakker deg: Den tøffe verden av brukssett. Svindlere kan bruke programvarepakker til å utnytte sårbarheter og opprette skadelig programvare. Men hva er disse utnyttesettene? Hvor kommer de fra? Og hvordan kan de stoppes? Les mer i fortiden.
Det har vært mye forskning på CrypBoss-familien ved noen av de største navnene innen datasikkerhetsforskning. Kilden til CrypBoss ble lekket i fjor på PasteBin, og ble nesten fortalt av sikkerhetssamfunnet. Sen forrige uke publiserte McAfee en av de beste analysene av HydraCrypt, som forklarte hvordan det fungerer på sitt laveste nivå.
Forskjellene mellom HydraCrypt og UmbreCrypt
Når det gjelder deres essensielle funksjonalitet, gjør både HydraCrypt og UmbreCrypt det samme. Når de først infiserer et system, begynner de å kryptere filer basert på filtypen, ved hjelp av en sterk form for asymmetrisk kryptering.
De har også andre ikke-kjerneegenskaper som er ganske vanlig innen ransomware-programvaren.
For eksempel tillater begge angriperne å laste opp og kjøre tilleggsprogramvare til den infiserte maskinen. Begge sletter skyggekopiene av de krypterte filene, noe som gjør det umulig å gjenopprette dem.
Kanskje den største forskjellen mellom de to programmene er måten de har “løsepenger” filene tilbake.
UmbreCrypt er veldig viktig. Det forteller ofrene at de har blitt smittet, og det er ingen sjanse for at de vil få sine filer tilbake uten samarbeid. For offeret skal starte dekrypteringsprosessen, må de sende en e-post til en av to adresser. Disse er vert på “engineer.com” og “consultant.com” henholdsvis.
Kort tid etter vil noen fra UmbreCrypt svare med betalingsinformasjon. Ransomware-varselet forteller ikke offeret hvor mye de skal betale, selv om det forteller offeret at avgiften vil bli multiplisert dersom de ikke betaler innen 72 timer.
Hilsen, instruksjonene fra UmbreCrypt forteller offeret om ikke å e-poste dem med “trusler og uhøflighet”. De gir selv et eksemplar-e-postformat for ofre å bruke.
HydraCrypt adskiller seg litt på samme måte som deres løseprisnotat er langt mer truende.
De sier at med mindre offeret ikke betaler opp på 72 timer, vil de utstede en sanksjon. Dette kan være en økning i løsepenge eller ødeleggelsen av den private nøkkelen, og dermed gjøre det umulig å dekryptere filene.
De truer også med å frigjøre den private informasjonen. Her er hvor mye identiteten din kan være verdt på den mørke weben. Her er hvor mye identiteten din kan være verdt på den mørke weben. Det er ubehagelig å tenke på deg selv som en vare, men alle dine personlige detaljer fra navn og adresse på bankkontooplysninger, er verdt noe for online kriminelle. Hvor mye er du verdt? Les mer, filer og dokumenter fra ikke-betalere på Dark web. Dette gjør det litt sjeldenhet blant ransomware, da det har en konsekvens som er langt verre enn ikke å få filene dine tilbake.
Slik får du dine filer tilbake
Som vi nevnte tidligere, har Emisofts Fabian Wosar vært i stand til å bryte krypteringen som brukes, og har gitt ut et verktøy for å få filene dine tilbake, kalt DecryptHydraCrypt.
For at det skal fungere, må du ha to filer tilgjengelig. Disse bør være en kryptert fil, pluss en ukryptert kopi av den filen. Hvis du har et dokument på harddisken din, som du har sikkerhetskopiert til Google Disk eller din e-postkonto, bruker du dette.
Alternativt, hvis du ikke har dette, bare se etter en kryptert PNG-fil, og bruk en hvilken som helst annen tilfeldig PNG-fil som du enten lager selv eller laster ned fra Internett.
Deretter drar du og slipper dem inn i dekrypteringsappen. Det vil da gå i gang, og begynne å prøve å bestemme privatnøkkelen.
Du bør bli advart om at dette ikke vil være øyeblikkelig. Dekrypteringsprogrammet vil gjøre litt ganske komplisert matte for å finne ut dekrypteringsnøkkelen, og denne prosessen kan potensielt ta flere dager, avhengig av CPUen din.
Når det er utarbeidet dekrypteringsnøkkelen, åpner det et vindu og lar deg velge mappene hvis innhold du vil dekryptere. Dette fungerer rekursivt, så hvis du har en mappe i en mappe, trenger du bare å velge rotmappen.
Det er verdt å merke seg at HydraCrypt og UmbreCrypt har en feil, der de endelige 15 bytes av hver kryptert fil er skadet irretrievably.
Dette bør ikke forstyrre deg for mye, da disse bytesene vanligvis brukes til utfylling eller ikke-essensielle metadata. Fluff, i utgangspunktet. Men hvis du ikke kan åpne de dekrypterte filene dine, kan du prøve å åpne dem med et filgjenopprettingsverktøy.
Intet hell?
Det er en sjanse for at dette ikke vil fungere for deg. Det kan være av flere grunner. Det mest sannsynlige er at du prøver å kjøre den på et ransomware-program som ikke er HydraCrypt, CrypBoss eller UmbraCrypt..
En annen mulighet er at produsentene av malware endret den til å bruke en annen krypteringsalgoritme.
På dette tidspunktet har du et par alternativer.
Det raskeste og mest lovende spillet er å betale løsesummen. Dette varierer ganske mye, men generelt svever rundt $ 300-merket, og vil se filene dine gjenopprettet om noen timer.
Det burde uten å si at du har å gjøre med organiserte kriminelle, så det er ingen garantier at de faktisk dekrypterer filene, og hvis du ikke er glad, har du ingen sjanse til å få tilbakebetaling.
Du bør også vurdere argumentet om at betalingen av disse løslommene forløper spredningen av ransomware, og fortsetter å gjøre det økonomisk lukrativt for utviklerne å skrive ransomware-programmer.
Det andre alternativet er å vente i håp om at noen vil frigjøre et dekrypteringsverktøy for malware som du har blitt rammet med. Dette skjedde med CryptoLocker CryptoLocker er død: Slik kan du få dine filer tilbake! CryptoLocker er død: Her kan du få dine filer tilbake! Les mer, når private nøkler ble lekket fra en kommando- og kontrollserver. Her var dekrypteringsprogrammet et resultat av utlekket kildekode.
Det er ingen garanti for dette skjønt. Ofte er det ingen teknologisk løsning for å få filene dine tilbake uten å betale løsepenger.
Forebygging er bedre enn en kur
Selvfølgelig er den mest effektive måten å håndtere ransomware-programmer på, for å sikre at du ikke er smittet i utgangspunktet. Ved å ta noen enkle forholdsregler, som å kjøre et fullt oppdatert antivirusprogram, og ikke laste ned filer fra mistenkte steder, kan du redusere sjansene for å bli smittet.
Ble du rammet av HydraCrypt eller UmbreCrypt? Har du klart å få filene dine tilbake? Gi meg beskjed i kommentarene nedenfor.
Image Credits: Bruke en bærbar PC, finger på pekefelt og tastatur (Scyther5 via ShutterStock), Bitcoin på tastatur (AztekPhoto via ShutterStock)
Utforsk mer om: Ransomware.