Perangkat lunak perusak

CryptoDefense Ransomware dan bagaimana Symantec membantu memperbaiki kekurangannya!

CryptoDefense Ransomware dan bagaimana Symantec membantu memperbaiki kekurangannya!

CryptoDefense ransomware mendominasi diskusi hari ini. Korban yang menjadi mangsa varian Ransomware ini telah beralih ke berbagai forum dalam jumlah besar, mencari dukungan dari para ahli. Dianggap sebagai jenis ransomware, program meniru perilaku Pengunci Kripto, tetapi tidak dapat dianggap sebagai turunan lengkapnya, karena kode yang dijalankannya sangat berbeda. Selain itu, kerusakan yang ditimbulkannya berpotensi sangat besar.

Ransomware CryptoDefense

Asal usul penjahat Internet dapat ditelusuri dari persaingan sengit yang diadakan antara geng-cyber akhir Februari 2014. Ini mengarah pada pengembangan varian yang berpotensi berbahaya dari program ransomware ini, yang mampu mengacak file seseorang dan memaksa mereka untuk melakukan pembayaran untuk memulihkan file.

CryptoDefense, seperti yang diketahui, menargetkan file teks, gambar, video, PDF, dan MS Office. Ketika pengguna akhir membuka lampiran yang terinfeksi, program mulai mengenkripsi file targetnya dengan kunci RSA-2048 yang kuat yang sulit untuk dibatalkan. Setelah file dienkripsi, malware mengajukan file permintaan tebusan di setiap folder yang berisi file terenkripsi.

Saat membuka file, korban menemukan halaman CAPTCHA. Jika file itu terlalu penting baginya dan dia menginginkannya kembali, dia menerima komprominya. Melanjutkan lebih lanjut, dia harus mengisi CAPTCHA dengan benar dan data dikirim ke halaman pembayaran. Harga tebusan telah ditentukan sebelumnya, digandakan jika korban gagal mematuhi instruksi pengembang dalam jangka waktu empat hari yang ditentukan.

Kunci pribadi yang diperlukan untuk mendekripsi konten tersedia dengan pengembang malware dan dikirim kembali ke server penyerang hanya ketika jumlah yang diinginkan dikirimkan secara penuh sebagai tebusan. Penyerang tampaknya telah membuat situs web "tersembunyi" untuk menerima pembayaran. Setelah server jarak jauh mengonfirmasi penerima kunci dekripsi pribadi, tangkapan layar desktop yang disusupi diunggah ke lokasi jarak jauh. CryptoDefense memungkinkan Anda membayar uang tebusan dengan mengirimkan Bitcoin ke alamat yang ditampilkan di halaman Layanan Dekripsi malware.

Meskipun seluruh skema tampaknya berjalan dengan baik, ransomware CryptoDefense ketika pertama kali muncul memang memiliki beberapa bug. Itu meninggalkan kunci tepat di komputer korban itu sendiri! :D

Ini, tentu saja, membutuhkan keterampilan teknis, yang mungkin tidak dimiliki pengguna rata-rata, untuk mengetahui kuncinya. Cacat ini pertama kali diketahui oleh Fabian Wosar dari emsisoft dan menyebabkan terciptanya Dekripsi alat yang berpotensi mengambil kunci dan mendekripsi file Anda.

Salah satu perbedaan utama antara CryptoDefense dan CryptoLocker adalah kenyataan bahwa CryptoLocker menghasilkan pasangan kunci RSA pada server perintah dan kontrol. CryptoDefense, di sisi lain, menggunakan Windows CryptoAPI untuk menghasilkan pasangan kunci pada sistem pengguna. Sekarang, ini tidak akan membuat terlalu banyak perbedaan jika bukan karena beberapa kebiasaan Windows CryptoAPI yang kurang diketahui dan didokumentasikan dengan buruk. Salah satu kebiasaan itu adalah jika Anda tidak hati-hati, itu akan membuat salinan lokal dari kunci RSA yang digunakan oleh program Anda. Siapa pun yang membuat CryptoDefense jelas tidak menyadari perilaku ini, dan tanpa sepengetahuan mereka, kunci untuk membuka kunci file pengguna yang terinfeksi sebenarnya disimpan di sistem pengguna, kata Fabian, dalam posting blog berjudul Kisah kunci ransomware yang tidak aman dan blogger yang melayani diri sendiri.

Metodenya adalah menyaksikan kesuksesan dan membantu orang, sampai Symantec memutuskan untuk mengekspos cacat secara penuh dan mengungkapkannya melalui posting blognya. Tindakan dari Symantec mendorong pengembang malware untuk memperbarui CryptoDefense, sehingga tidak lagi meninggalkan kuncinya.

Peneliti Symantec menulis:

Karena para penyerang menerapkan fungsi kriptografi yang buruk, mereka secara harfiah meninggalkan sandera mereka sebagai kunci untuk melarikan diri”.

Untuk ini para peretas menjawab:

Spasiba Symantec ("Terima Kasih" dalam bahasa Rusia). Bug itu telah diperbaiki, kata KnowBe4.

Saat ini, satu-satunya cara untuk memperbaikinya adalah dengan memastikan Anda memiliki cadangan file terbaru yang benar-benar dapat dipulihkan. Bersihkan dan bangun kembali mesin dari awal, dan pulihkan file.

Posting di BleepingComputers ini menjadi bacaan yang sangat baik jika Anda ingin mempelajari lebih lanjut tentang Ransomware ini dan memerangi situasi di muka. Sayangnya, metode yang tercantum dalam 'Daftar Isi' hanya berfungsi untuk 50% kasus infeksi. Namun, ini memberikan peluang bagus untuk mendapatkan kembali file Anda.

Cara Membuat Gambar Docker ELK dan Membuat Wadah Docker
Docker adalah salah satu teknologi terbaik untuk virtualisasi dan lingkungan terisolasi untuk membangun aplikasi. Tutorial ini akan menunjukkan cara m...
Visualisasikan Apache Logs dengan ELK Stack
Memantau dan menganalisis log untuk berbagai infrastruktur secara real-time bisa menjadi pekerjaan yang sangat membosankan. Ketika berhadapan dengan l...
Praktik Terbaik Elasticsearch dan Peningkatan Kinerja
Dalam posting ini, kami akan mencoba mengumpulkan praktik terbaik dan juga hal-hal apa yang harus dihindari saat bekerja dengan Elasticsearch dan mema...