Malware

CryptoDefense Ransomware und wie Symantec ihr geholfen hat, ihren Fehler zu beheben!

CryptoDefense Ransomware und wie Symantec ihr geholfen hat, ihren Fehler zu beheben!

KryptoVerteidigung Ransomware dominiert heutzutage die Diskussionen. Opfer dieser Ransomware-Variante haben sich in großer Zahl an verschiedene Foren gewandt und Hilfe von Experten gesucht. Als eine Art Ransomware betrachtet, ahmt das Programm das Verhalten von CryptoLocker, kann aber nicht als vollständige Ableitung davon betrachtet werden, da der Code, der ausgeführt wird, völlig anders ist. Darüber hinaus ist der Schaden, den es anrichtet, potenziell enorm.

CryptoDefense-Ransomware

Der Ursprung des Internet-Bösewichts lässt sich aus dem wütenden Wettbewerb zwischen Cyber-Gangs Ende Februar 2014 zurückverfolgen. Dies führte zur Entwicklung einer potenziell schädlichen Variante dieses Ransomware-Programms, die in der Lage ist, die Dateien einer Person zu verschlüsseln und sie zu zwingen, eine Zahlung für die Wiederherstellung der Dateien zu leisten.

CryptoDefense, wie es bekannt ist, zielt auf Text-, Bild-, Video-, PDF- und MS Office-Dateien ab. Wenn ein Endbenutzer den infizierten Anhang öffnet, beginnt das Programm damit, seine Zieldateien mit einem starken RSA-2048-Schlüssel zu verschlüsseln, der schwer rückgängig zu machen ist. Sobald die Dateien verschlüsselt sind, stellt die Malware in jedem Ordner, der verschlüsselte Dateien enthält, Lösegeldforderungsdateien bereit.

Beim Öffnen der Dateien findet das Opfer eine CAPTCHA-Seite. Wenn ihm die Dateien zu wichtig sind und er sie zurückhaben will, nimmt er den Kompromiss an. Im weiteren Verlauf muss er das CAPTCHA korrekt ausfüllen und die Daten werden an die Zahlungsseite gesendet. Der Preis für das Lösegeld ist im Voraus festgelegt, verdoppelt sich, wenn das Opfer den Anweisungen des Entwicklers nicht innerhalb einer definierten Frist von vier Tagen nachkommt.

Der zur Entschlüsselung des Inhalts benötigte private Schlüssel liegt beim Entwickler der Schadsoftware vor und wird erst dann an den Server des Angreifers zurückgesendet, wenn der gewünschte Betrag vollständig als Lösegeld geliefert wird. Die Angreifer scheinen eine „versteckte“ Website erstellt zu haben, um Zahlungen zu erhalten. Nachdem der Remote-Server den Empfänger des privaten Entschlüsselungsschlüssels bestätigt hat, wird ein Screenshot des kompromittierten Desktops an den Remote-Standort hochgeladen. CryptoDefense ermöglicht es Ihnen, das Lösegeld zu zahlen, indem Sie Bitcoins an eine Adresse senden, die auf der Entschlüsselungsdienst-Seite der Malware angezeigt wird.

Obwohl das gesamte Schema der Dinge gut ausgearbeitet zu sein scheint, hatte die CryptoDefense-Ransomware, als sie zum ersten Mal auftauchte, einige Fehler. Es hat den Schlüssel direkt auf dem Computer des Opfers selbst hinterlassen! :D

Dies erfordert natürlich technische Fähigkeiten, die ein durchschnittlicher Benutzer möglicherweise nicht besitzt, um den Schlüssel herauszufinden. Der Fehler wurde zuerst von Fabian Wosar von . bemerkt Emsisoft und führte zur Schaffung von a Entschlüsseler Tool, das möglicherweise den Schlüssel abrufen und Ihre Dateien entschlüsseln könnte.

Einer der Hauptunterschiede zwischen CryptoDefense und CryptoLocker ist die Tatsache, dass CryptoLocker sein RSA-Schlüsselpaar auf dem Befehls- und Kontrollserver generiert. CryptoDefense hingegen verwendet die Windows CryptoAPI, um das Schlüsselpaar auf dem System des Benutzers zu generieren. Nun, dies würde keinen großen Unterschied machen, wenn es nicht einige wenig bekannte und schlecht dokumentierte Macken der Windows CryptoAPI gäbe. Eine dieser Eigenarten ist, dass, wenn Sie nicht aufpassen, lokale Kopien der RSA-Schlüssel erstellt werden, mit denen Ihr Programm arbeitet works. Wer CryptoDefense erstellt hat, war sich dieses Verhaltens offensichtlich nicht bewusst, und so wurde der Schlüssel zum Entsperren der Dateien eines infizierten Benutzers tatsächlich auf dem System des Benutzers gespeichert, sagte Fabian in einem Blog-Beitrag mit dem Titel Die Geschichte von unsicheren Ransomware-Schlüsseln und eigennützigen Bloggern.

Die Methode bestand darin, Erfolg zu haben und Menschen zu helfen, bis Symantec beschlossen, den Fehler vollständig aufzudecken und die Bohnen über seinen Blogbeitrag zu verschütten. Der Akt von Symantec veranlasste den Malware-Entwickler, CryptoDefense zu aktualisieren, damit es den Schlüssel nicht mehr zurücklässt.

Symantec-Forscher schrieben:

Aufgrund der schlechten Implementierung der kryptografischen Funktionalität der Angreifer haben sie ihren Geiseln buchstäblich einen Schlüssel zur Flucht hinterlassen.“.

Darauf antworteten die Hacker:

Spasiba Symantec („Danke“ auf Russisch). Dieser Fehler wurde behoben, sagt KnowBe4.

Derzeit besteht die einzige Möglichkeit, dies zu beheben, darin, sicherzustellen, dass Sie über eine aktuelle Sicherungskopie der Dateien verfügen, die tatsächlich wiederhergestellt werden kann. Löschen Sie die Maschine, erstellen Sie sie von Grund auf neu und stellen Sie die Dateien wieder her.

Dieser Beitrag auf BleepingComputers ist eine ausgezeichnete Lektüre, wenn Sie mehr über diese Ransomware erfahren und die Situation im Voraus bekämpfen möchten. Leider funktionieren die im 'Inhaltsverzeichnis' aufgeführten Methoden nur bei 50% der Infektionsfälle. Dennoch bietet es eine gute Chance, Ihre Dateien zurückzubekommen.

So installieren Sie League of Legends auf Ubuntu 14.04
Wenn Sie ein Fan von League of Legends sind, dann ist dies eine Gelegenheit für Sie, League of Legends zu testen. Beachten Sie, dass LOL von PlayOnLin...
Installieren Sie das neueste OpenRA-Strategiespiel auf Ubuntu Linux
OpenRA ist eine Libre/Free Real Time Strategy Game Engine, die die frühen Westwood-Spiele wie den Klassiker Command & Conquer: Red Alert Red nachbilde...
Installieren Sie den neuesten Dolphin Emulator für Gamecube & Wii unter Linux
Mit dem Dolphin Emulator können Sie Ihre ausgewählten Gamecube- und Wii-Spiele auf Linux-Personalcomputern (PC) spielen. Als frei verfügbarer Open-So...