Malware

CryptoDefense Ransomware en hoe Symantec het heeft geholpen de fout te verhelpen!

CryptoDefense Ransomware en hoe Symantec het heeft geholpen de fout te verhelpen!

CryptoDefensie ransomware domineert tegenwoordig de discussies. Slachtoffers die ten prooi vallen aan deze variant van Ransomware, wenden zich in groten getale tot verschillende fora, op zoek naar ondersteuning van experts. Het programma wordt beschouwd als een soort ransomware en vertoont het gedrag van CryptoLocker, maar kan niet worden beschouwd als een volledige afgeleide ervan, want de code die wordt uitgevoerd is compleet anders. Bovendien is de schade die het veroorzaakt potentieel enorm.

CryptoDefense Ransomware

De oorsprong van de internetcrimineel is te herleiden uit de felle concurrentie tussen cyberbendes eind februari 2014. Het leidde tot de ontwikkeling van een potentieel schadelijke variant van dit ransomware-programma, dat in staat is om de bestanden van een persoon te versleutelen en hen te dwingen een betaling te doen voor het herstellen van de bestanden.

CryptoDefense, zoals het bekend staat, richt zich op tekst-, foto-, video-, PDF- en MS Office-bestanden. Wanneer een eindgebruiker de geïnfecteerde bijlage opent, begint het programma zijn doelbestanden te versleutelen met een sterke RSA-2048-sleutel die moeilijk ongedaan kan worden gemaakt. Zodra de bestanden zijn versleuteld, plaatst de malware losgeldbestanden in elke map die versleutelde bestanden bevat.

Bij het openen van de bestanden vindt het slachtoffer een CAPTCHA-pagina. Als de bestanden te belangrijk voor hem zijn en hij ze terug wil, accepteert hij het compromis. Om verder te gaan, moet hij de CAPTCHA correct invullen en de gegevens worden naar de betaalpagina gestuurd. De prijs van het losgeld is vooraf bepaald, verdubbeld als het slachtoffer de instructies van de ontwikkelaar niet binnen een bepaalde periode van vier dagen opvolgt.

De privésleutel die nodig is om de inhoud te ontsleutelen is beschikbaar bij de ontwikkelaar van de malware en wordt alleen teruggestuurd naar de server van de aanvaller wanneer het gewenste bedrag volledig als losgeld wordt geleverd. Het lijkt erop dat de aanvallers een 'verborgen' website hebben gemaakt om betalingen te ontvangen. Nadat de externe server de ontvanger van de privé-decoderingssleutel heeft bevestigd, wordt een screenshot van de gecompromitteerde desktop geüpload naar de externe locatie. Met CryptoDefense kunt u het losgeld betalen door Bitcoins te sturen naar een adres dat wordt weergegeven op de Decrypt Service-pagina van de malware.

Hoewel het hele schema van dingen goed lijkt te zijn uitgewerkt, had CryptoDefense ransomware toen het voor het eerst verscheen een paar bugs. Het heeft de sleutel op de computer van het slachtoffer zelf achtergelaten! :D

Dit vereist natuurlijk technische vaardigheden, die een gemiddelde gebruiker misschien niet bezit, om de sleutel te achterhalen. De fout werd voor het eerst opgemerkt door Fabian Wosar van Emsisoft en leidde tot de oprichting van een ontsleutelaar tool die mogelijk de sleutel kan ophalen en uw bestanden kan decoderen.

Een van de belangrijkste verschillen tussen CryptoDefense en CryptoLocker is het feit dat CryptoLocker zijn RSA-sleutelpaar genereert op de command and control-server. CryptoDefense daarentegen gebruikt de Windows CryptoAPI om het sleutelpaar op het systeem van de gebruiker te genereren. Dit zou niet al te veel verschil maken als er geen weinig bekende en slecht gedocumenteerde eigenaardigheden van de Windows CryptoAPI waren. Een van die eigenaardigheden is dat als je niet voorzichtig bent, het lokale kopieën maakt van de RSA-sleutels waarmee je programma werkt. Degene die CryptoDefense heeft gemaakt, was zich duidelijk niet bewust van dit gedrag, en dus, buiten het medeweten van hen, werd de sleutel om de bestanden van een geïnfecteerde gebruiker te ontgrendelen feitelijk op het systeem van de gebruiker bewaard, zei Fabian in een blogpost met de titel Het verhaal van onveilige ransomware-sleutels en self-serving bloggers.

De methode was getuige zijn van succes en mensen helpen, totdat Symantec besloot de fout volledig bloot te leggen en de bonen te morsen via zijn blogpost. De handeling van Symantec zette de malware-ontwikkelaar ertoe aan om CryptoDefense te updaten, zodat het de sleutel niet langer achterlaat.

Symantec-onderzoekers schreven:

Door de slechte implementatie van de cryptografische functionaliteit van de aanvallers hebben ze, letterlijk, hun gijzelaars een sleutel achtergelaten om te ontsnappen”.

Hierop antwoordden de hackers:

Spasiba Symantec ("Bedankt" in het Russisch). Die bug is verholpen, zegt KnowBe4.

De enige manier om dit op dit moment op te lossen, is ervoor te zorgen dat je een recente back-up hebt van de bestanden die daadwerkelijk kan worden hersteld. Veeg en herbouw de machine vanaf het begin en herstel de bestanden.

Dit bericht op BleepingComputers is uitstekend te lezen als je meer wilt weten over deze Ransomware en de situatie vooraf wilt bestrijden. Helaas werken de methoden die worden vermeld in de 'Inhoudsopgave' slechts voor 50% van de infectiegevallen. Toch biedt het een goede kans om uw bestanden terug te krijgen.

Middelste muisknop werkt niet in Windows 10
De middelste muis knop helpt u door lange webpagina's en schermen met veel gegevens te bladeren. Als dat stopt, zul je uiteindelijk het toetsenbord ge...
Hoe de linker- en rechtermuisknop op Windows 10 pc te veranderen
Het is nogal een norm dat alle computermuisapparaten ergonomisch zijn ontworpen voor rechtshandige gebruikers. Maar er zijn muisapparaten beschikbaar ...
Emuleer muisklikken door te zweven met Clickless Mouse in Windows 10
Het gebruik van een muis of toetsenbord in de verkeerde houding of overmatig gebruik kan leiden tot veel gezondheidsproblemen, waaronder spanning, car...