säkerhet

Så här återställer du förlorade filer från CrypBoss Ransomware

Så här återställer du förlorade filer från CrypBoss Ransomware / säkerhet

Det finns bra nyheter för alla som påverkas av CrypBoss, HydraCrypt och UmbreCrypt ransomware. Fabian Wosar, en forskare på Emsisoft, har lyckats omvandla dem och har i processen släppt ett program som kan dekryptera filer som annars skulle gå vilse.

Dessa tre skadliga program är mycket lika. Här är vad du behöver veta om dem, och hur du kan få dina filer tillbaka.

Möte CrypBoss-familjen

Malware skapande har alltid varit en miljard dollar stuga industrin. Ill-intentioned mjukvaruutvecklare skriver nya malware-program och säljer dem till organiserad brottslingar i den mörkaste webens snyggaste räcker. Journey Into The Hidden Web: En guide för ny forskare resa till det dolda nätet: En guide till nya forskare Denna handbok tar du på en turné genom de många nivåerna på den djupa webben: databaser och information tillgänglig i akademiska tidskrifter. Slutligen kommer vi fram till Tors portar. Läs mer .

Dessa brottslingar distribuerar dem sedan i stor utsträckning, i processen infekterar tusentals maskiner och gör en ogynaktig summa pengar som motiverar människor att hacka datorer? Hint: Pengar som motiverar människor att hacka datorer? Tips: Penningkriminella kan använda teknik för att tjäna pengar. Du vet detta. Men du skulle bli förvånad över hur geniala de kan vara, från att hacka och sälja servrar för att omkonfigurera dem som lukrativa Bitcoin miners. Läs mer .

Det verkar som det som hände här.

Både HydraCrypt och UmbreCrypt är lättmodifierade varianter av ett annat malwareprogram som heter CrypBoss. Förutom att ha en gemensam anor, distribueras de också via Angler Exploit Kit, som använder metoden för drivrutins nedladdningar för att infektera offer. Dann Albright har skrivit i stor utsträckning om utnyttjande av kit. Det här är hur de hackar dig: Den muriga världen av exploateringssatser. Det här är hur de hackar dig: The Murky World of Exploit Kit. Scammers kan använda programvaru sviter för att utnyttja sårbarheter och skapa skadlig programvara. Men vad är dessa utnyttjande kit? Var kommer de ifrån? Och hur kan de stoppas? Läs mer i det förflutna.

Det har skett mycket forskning på CrypBoss-familjen av några av de största namnen inom datasäkerhetsforskning. Källkoden till CrypBoss läcktes förra året på PasteBin och blev nästan omedelbart slukad av säkerhetsgemenskapen. I slutet av förra veckan publicerade McAfee en av de bästa analyserna av HydraCrypt, som förklarade hur det fungerar på lägsta nivå.

Skillnaderna mellan HydraCrypt och UmbreCrypt

När det gäller deras väsentliga funktionalitet gör både HydraCrypt och UmbreCrypt samma sak. När de först infekterar ett system börjar de kryptera filer baserat på deras filtillägg, med en stark form av asymmetrisk kryptering.

De har också andra icke-kärnbeteenden som är ganska vanliga inom ransomware-programvaran.

Till exempel tillåter båda angriparen att ladda upp och utföra ytterligare programvara till den infekterade maskinen. Båda raderar skuggkopiorna av de krypterade filerna, vilket gör det omöjligt att återställa dem.

Kanske är den största skillnaden mellan de två programmen det sätt på vilket de “lösen” filerna tillbaka.

UmbreCrypt är mycket viktigt. Det berättar offren att de har smittats, och det finns ingen chans att de kommer att få sina filer tillbaka utan samverkan. För offret att starta dekrypteringsprocessen måste de skicka ett mail till en av två adresser. Dessa är värd på “engineer.com” och “consultant.com” respektive.

Strax efter svarar någon från UmbreCrypt med betalningsinformation. Ransomware-meddelandet berättar inte offret hur mycket de ska betala, men det berättar offret att avgiften kommer att multipliceras om de inte betalar inom 72 timmar.

Häftigt, instruktionerna från UmbreCrypt berätta offeret att inte maila dem med “hot och elakhet”. De tillhandahåller även ett exempel på e-postformat för offren att använda.

HydraCrypt skiljer sig något på sättet att deras lösenordsnotering är långt mer hotande.

De säger att om inte offret inte betalar inom 72 timmar, kommer de att utfärda en sanktion. Detta kan vara en ökning av lösenum eller förstörelsen av den privata nyckeln, vilket gör det omöjligt att dekryptera filerna.

De hotar också att släppa den privata informationen. Här är hur mycket din identitet kan vara värd på den mörka webben. Här är hur mycket din identitet kan vara värd på den mörka webben. Det är obehagligt att tänka på dig själv som en vara, men alla dina personuppgifter, från namn och adress till bankkontodetaljer, är värda någonting för online-brottslingar. Hur mycket är du värd? Läs mer, filer och dokument från icke-betalare på Dark webben. Det gör det lite av en sällsynthet bland ransomware, eftersom det har en konsekvens som är mycket värre än att inte få dina filer tillbaka.

Så här får du dina filer tillbaka

Som vi nämnde tidigare har Emisofts Fabian Wosar kunnat bryta krypteringen som används, och har släppt ett verktyg för att få dina filer tillbaka, kallad DecryptHydraCrypt.

För att det ska fungera måste du ha två filer till hands. Dessa ska vara en krypterad fil, plus en okrypterad kopia av den filen. Om du har ett dokument på din hårddisk som du säkerhetskopierade till Google Drive eller ditt e-postkonto, använd det här.

Alternativt, om du inte har det här, leta du efter en krypterad PNG-fil och använd någon annan slumpmässig PNG-fil som du antingen skapar eller ladda ner från Internet.

Dra sedan och släpp dem i dekrypteringsappen. Det kommer sedan att sparka till handling, och börja försöka bestämma den privata nyckeln.

Du bör varnas att detta inte kommer att bli omedelbart. Dekrypteringen kommer att göra lite ganska komplicerad matte för att utarbeta din dekrypteringsnyckel, och denna process kan eventuellt ta flera dagar, beroende på din CPU.

När det har tagits upp dekrypteringsnyckeln öppnas ett fönster och låter dig välja de mappar vars innehåll du vill dekryptera. Detta fungerar rekursivt, så om du har en mapp i en mapp behöver du bara välja rotmappen.

Det är värt att notera att HydraCrypt och UmbreCrypt har en felaktighet, där de sista 15 byte av varje krypterad fil är skadade oåterkalleligt.

Detta borde inte göra dig besvärligt för mycket, eftersom dessa byte vanligtvis används för vaddering eller icke-väsentliga metadata. Fluff, i grunden. Men om du inte kan öppna dina dekrypterade filer, försök öppna dem med ett återställningsverktyg för filer.

Ingen tur?

Det finns en chans att detta inte kommer att fungera för dig. Det kan vara av ett antal skäl. Mest sannolikt är att du försöker köra den på ett ransomware-program som inte är HydraCrypt, CrypBoss eller UmbraCrypt.

En annan möjlighet är att tillverkarna av skadlig kod ändrade den för att använda en annan krypteringsalgoritm.

Nu har du ett par alternativ.

Den snabbaste och mest lovande satsningen är att betala lösenbeloppet. Detta varierar ganska, men överhuvudtaget hänger runt $ 300-märket, och kommer att se dina filer återställda om några timmar.

Det borde vara självklart att du har att göra med organiserade brottslingar, så det finns inga garantier att de faktiskt dekrypterar filerna, och om du inte är glad har du ingen chans att få återbetalning.

Du bör också överväga argumentet att betala dessa lösenförbindelser fortsätter spridningen av ransomware och fortsätter att göra det ekonomiskt lukrativt för utvecklarna att skriva ransomware-program.

Det andra alternativet är att vänta i hopp om att någon kommer att släppa ett dekrypteringsverktyg för den skadliga programvaran du har drabbats av. Detta hände med CryptoLocker CryptoLocker är död: Så här kan du få dina filer tillbaka! CryptoLocker är död: Så här kan du få dina filer tillbaka! Läs mer när de privata nycklarna läckte ut från en kommando- och kontrollserver. Här var dekrypteringsprogrammet resultatet av läckt källkod.

Det finns dock ingen garanti för detta. Oftast finns det ingen teknisk lösning för att få dina filer tillbaka utan att man betalar lösenbelopp.

Förebyggande är bättre än en botemedel

Det effektivaste sättet att hantera ransomware-program är självklart att du inte är infekterad i första hand. Genom att ta några enkla försiktighetsåtgärder, som att köra ett fullständigt uppdaterat antivirusprogram och inte ladda ner filer från misstänkta platser, kan du mildra dina chanser att bli smittade.

Har du påverkats av HydraCrypt eller UmbreCrypt? Har du lyckats få dina filer tillbaka? Låt mig veta i kommentarerna nedan.

Bildkrediter: Använda en bärbar dator, finger på pekplattan och tangentbordet (Scyther5 via ShutterStock), Bitcoin på tangentbordet (AztekPhoto via ShutterStock)

Utforska mer om: Ransomware.