CryptoDefense ransomware mendominasi diskusi hari ini. Korban yang menjadi mangsa varian Ransomware ini telah beralih ke forum yang berbeda dalam jumlah besar, mencari dukungan dari para ahli. Dianggap sebagai jenis ransomware, program kera perilaku CryptoLocker, tetapi tidak dapat dianggap sebagai turunan lengkapnya, karena kode yang dijalankannya benar-benar berbeda. Apalagi, kerusakan yang ditimbulkannya berpotensi luas.
CryptoDefense Ransomware
Asal muasal dari internet dapat ditelusuri dari persaingan sengit yang diadakan antara cyber-geng akhir Februari 2014. Hal ini menyebabkan berkembangnya varian berpotensi berbahaya dari program ransomware ini, yang mampu mengacak file seseorang dan memaksa mereka untuk melakukan pembayaran. untuk memulihkan file.
CryptoDefense, seperti yang diketahui, menargetkan file teks, gambar, video, PDF, dan MS Office. Ketika pengguna akhir membuka lampiran yang terinfeksi, program ini mulai mengenkripsi file targetnya dengan kunci RSA-2048 yang kuat yang sulit untuk diurungkan. Setelah file dienkripsi, malware mengajukan file tebusan-permintaan di setiap folder yang berisi file terenkripsi.
Setelah membuka file, korban menemukan halaman CAPTCHA. Jika file terlalu penting baginya dan dia menginginkannya kembali, dia menerima kompromi. Selanjutnya, dia harus mengisi CAPTCHA dengan benar dan data dikirim ke halaman pembayaran. Harga tebusan telah ditentukan sebelumnya, berlipat ganda jika korban gagal mematuhi instruksi pengembang dalam jangka waktu yang ditentukan selama empat hari.
Kunci pribadi yang diperlukan untuk mendekripsi konten tersedia dengan pengembang malware dan dikirim kembali ke server penyerang hanya ketika jumlah yang diinginkan dikirim penuh sebagai tebusan. Para penyerang tampaknya telah membuat situs web "tersembunyi" untuk menerima pembayaran. Setelah server jarak jauh mengonfirmasi penerima kunci dekripsi pribadi, tangkapan layar dari desktop yang disusupi akan diunggah ke lokasi jarak jauh. CryptoDefense memungkinkan Anda membayar tebusan dengan mengirimkan Bitcoin ke alamat yang ditampilkan di halaman Decrypt Service malware.
Meskipun seluruh skema tampaknya berjalan dengan baik, CryptoDefense ransomware ketika pertama kali muncul memang memiliki beberapa bug. Itu meninggalkan kunci tepat di komputer korban itu sendiri! ?
Ini, tentu saja, membutuhkan keterampilan teknis, yang mungkin tidak dimiliki oleh pengguna rata-rata, untuk mencari tahu kuncinya. Cacat pertama kali diketahui oleh Fabian Wosar dari Emsisoft dan mengarah pada penciptaan Decrypter alat yang berpotensi mengambil kunci dan mendekripsi file Anda.
One of the key differences between CryptoDefense and CryptoLocker is the fact that CryptoLocker generates its RSA key pair on the command and control server. CryptoDefense, on the other hand, uses the Windows CryptoAPI to generate the key pair on the user’s system. Now, this wouldn’t make too much of a difference if it wasn’t for some little known and poorly documented quirks of the Windows CryptoAPI. One of those quirks is that if you aren’t careful, it will create local copies of the RSA keys your program works with. Whoever created CryptoDefense clearly wasn’t aware of this behavior, and so, unbeknownst to them, the key to unlock an infected user’s files was actually kept on the user’s system, said Fabian, in a blog post titled The story of insecure ransomware keys and self-serving bloggers.
Metode ini menyaksikan kesuksesan dan membantu orang, sampai Symantec memutuskan untuk mengekspos seluruh cacat dan menumpahkan kacang melalui pos blognya. Tindakan dari Symantec mendorong pengembang malware untuk memperbarui CryptoDefense, sehingga tidak lagi meninggalkan kunci di belakang.
Peneliti Symantec menulis:
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape”.
Untuk ini para peretas menjawab:
Spasiba Symantec (“Thank You” in Russian). That bug has been fixed, says KnowBe4.
Saat ini, satu-satunya cara untuk memperbaikinya adalah memastikan Anda memiliki cadangan file terbaru yang benar-benar dapat dipulihkan. Hapus dan kembalikan mesin dari awal, dan kembalikan file.
Posting ini di BleepingComputers membuat untuk membaca sangat baik jika Anda ingin mempelajari lebih lanjut tentang Ransomware ini dan memerangi situasi di muka. Sayangnya, metode yang tercantum dalam 'Daftar Isi' berfungsi hanya untuk 50% kasus infeksi. Namun, ini memberikan peluang bagus untuk mendapatkan kembali file Anda.
