Skelbimas

Yra puikių naujienų visiems, kuriuos paveikė CrypBoss, HydraCrypt ir UmbreCrypt išpirkos reikalaujančios programos. Fabianas Vosaras, Emsisoft tyrėjas, turi pavyko juos pakeisti, ir šiuo metu išleido programą, galinčią iššifruoti failus, kurie kitu atveju būtų prarasti.

Šios trys kenkėjiškų programų programos yra labai panašios. Štai ką apie juos reikia žinoti ir kaip galite susigrąžinti failus.

Susitikimas su CrypBoss šeima

Kenkėjiškų programų kūrimas visada buvo milijardo dolerių vertės namų pramonė. Netinkami programinės įrangos kūrėjai kuria naujas kenkėjiškų programų programas ir parduoda jas organizuotiems nusikaltėliams niūriausiuose regionuose. tamsusis tinklas Kelionė į paslėptą internetą: vadovas naujiems tyrinėtojamsŠis vadovas leis jums susipažinti su įvairiais giliojo žiniatinklio lygmenimis: duomenų bazėmis ir informacija, pasiekiama akademiniuose žurnaluose. Pagaliau atvyksime prie Toro vartų. Skaityti daugiau .

DarkWeb

Tada šie nusikaltėliai juos platina toli ir plačiai, užkrėsdami tūkstančius mašinų ir gamindami

instagram viewer
bedieviška pinigų suma Kas skatina žmones įsilaužti į kompiuterius? Patarimas: pinigaiNusikaltėliai gali naudoti technologijas, kad užsidirbtų pinigų. Tu tai žinai. Tačiau nustebsite, kokie jie gali būti išradingi – nuo ​​įsilaužimo į serverius ir serverių perpardavimo iki jų perkonfigūravimo kaip pelningų Bitcoin kasėjų. Skaityti daugiau .

Atrodo, kad čia taip ir atsitiko.

Abu HydraCrypt ir UmbreCrypt yra šiek tiek modifikuoti kitos kenkėjiškos programos, vadinamos CrypBoss, variantai. Be bendrų protėvių, jie taip pat platinami Angler Exploit Kit, kuriame aukoms užkrėsti naudojamas atsisiuntimo „Drive-by“ metodas. Danas Albrightas turi plačiai parašyta apie išnaudojimo rinkinius Štai kaip jie jus nulaužia: niūrus išnaudojimo rinkinių pasaulisSukčiai gali naudoti programinės įrangos rinkinius, kad išnaudotų pažeidžiamumą ir sukurtų kenkėjiškas programas. Bet kas yra šie išnaudojimo rinkiniai? Iš kur jie atvyko? Ir kaip juos sustabdyti? Skaityti daugiau praeityje.

Kai kurie didžiausi kompiuterių saugumo tyrimų vardai atliko daug CrypBoss šeimos tyrimų. „CrypBoss“ šaltinio kodas buvo nutekintas praėjusiais metais „PasteBin“ ir beveik iš karto jį prarijo saugumo bendruomenė. Praėjusios savaitės pabaigoje „McAfee“ paskelbė viena geriausių HydraCrypt analizių, kuriame paaiškinta, kaip jis veikia žemiausiu lygiu.

„HydraCrypt“ ir „UmbreCrypt“ skirtumai

Kalbant apie esmines funkcijas, „HydraCrypt“ ir „UmbreCrypt“ atlieka tą patį. Kai jie pirmą kartą užkrečia sistemą, jie pradeda šifruoti failus pagal jų plėtinį, naudodami stiprią asimetrinio šifravimo formą.

plėtiniai

Jie taip pat turi kitų nepagrindinių elgsenų, kurios gana dažnos naudojant išpirkos reikalaujančią programinę įrangą.

Pavyzdžiui, abu leidžia užpuolikui įkelti ir vykdyti papildomą programinę įrangą užkrėstame kompiuteryje. Abi ištrina šešėlines užšifruotų failų kopijas, todėl jų atkurti neįmanoma.

Galbūt didžiausias skirtumas tarp dviejų programų yra būdas, kuriuo jos „išpirka“ failus atgal.

„UmbreCrypt“ yra labai dalykiškas. Jame aukoms pranešama, kad jos buvo užkrėstos, ir nėra jokios galimybės, kad jos atgaus failus nebendradarbiaujant. Kad auka galėtų pradėti iššifravimo procesą, ji turi išsiųsti el. laišką vienu iš dviejų adresų. Jie yra atitinkamai talpinami „engineer.com“ ir „consultant.com“.

Netrukus po to kažkas iš UmbreCrypt atsakys pateikdamas mokėjimo informaciją. Pranešime apie išpirkos programinę įrangą aukai nenurodoma, kiek ji ketina mokėti, tačiau jame nurodoma, kad mokestis bus padidintas, jei jis nesumokės per 72 valandas.

Linksma, kad „UmbreCrypt“ pateiktose instrukcijose aukai nurodoma nesiųsti el. laiškų su „grasinimais ir grubumu“. Jie netgi pateikia pavyzdinį el. pašto formatą aukoms naudoti.

„HydraCrypt“ šiek tiek skiriasi tuo, kaip yra jų išpirkos raštelis toli grėsmingesnis.

HydroCryptRansom

Jie sako, kad jei auka nesumokės per 72 valandas, jie skirs sankciją. Tai gali būti išpirkos padidinimas arba privataus rakto sunaikinimas, todėl failų iššifravimas tampa neįmanomas.

Jie taip pat grasina atskleisti asmeninę informaciją Štai kiek jūsų tapatybė gali būti verta tamsiajame žiniatinklyjeNemalonu galvoti apie save kaip apie prekę, tačiau visi jūsų asmeniniai duomenys, nuo vardo ir adreso iki banko sąskaitos duomenų, yra verti internetiniams nusikaltėliams. Kiek tu vertas? Skaityti daugiau , nemokančių asmenų failai ir dokumentai „Dark Web“. Dėl to tai yra retenybė tarp išpirkos reikalaujančių programų, nes jos pasekmės yra daug blogesnės nei failų neatgavimas.

Kaip susigrąžinti failus

Kaip minėjome anksčiau, „Emisoft“ Fabian Wosar sugebėjo sulaužyti naudojamą šifravimą ir išleido įrankį failams susigrąžinti, vadinamą Iššifruoti HydraCrypt.

Kad jis veiktų, po ranka turite turėti du failus. Tai turėtų būti bet koks užšifruotas failas ir nešifruota to failo kopija. Jei standžiajame diske turite dokumentą, kurio atsarginę kopiją sukūrėte „Google“ diske arba el. pašto paskyroje, naudokite tai.

Arba, jei to neturite, tiesiog ieškokite užšifruoto PNG failo ir naudokite bet kurį kitą atsitiktinį PNG failą, kurį sukuriate patys arba atsisiunčiate iš interneto.

Tada nuvilkite juos į iššifravimo programą. Tada jis pradės veikti ir pradės bandyti nustatyti privatųjį raktą.

DecrypterDragDrop

Turėtumėte įspėti, kad tai neįvyks akimirksniu. Iššifruotojas atliks gana sudėtingą skaičiavimą, kad nustatytų jūsų iššifravimo raktą, ir šis procesas gali užtrukti kelias dienas, priklausomai nuo jūsų procesoriaus.

Kai bus nustatytas iššifravimo raktas, atsidarys langas ir galėsite pasirinkti aplankus, kurių turinį norite iššifruoti. Tai veikia rekursyviai, taigi, jei aplanke turite aplanką, turėsite pasirinkti tik šakninį aplanką.

Verta paminėti, kad „HydraCrypt“ ir „UmbreCrypt“ turi trūkumą, kai paskutiniai 15 baitų kiekvieno užšifruoto failo yra sugadinami negrįžtamai.

Bitai

Tai neturėtų jums per daug trukdyti, nes šie baitai paprastai naudojami užpildymui arba neesminiams metaduomenims. Iš esmės pūkas. Bet jei negalite atidaryti iššifruotų failų, pabandykite juos atidaryti naudodami failų atkūrimo įrankį.

Nesėkmė?

Yra tikimybė, kad tai jums neveiks. Taip gali būti dėl daugelio priežasčių. Labiausiai tikėtina, kad bandote ją paleisti naudodami išpirkos reikalaujančią programą, kuri nėra „HydraCrypt“, „CrypBoss“ ar „UmbraCrypt“.

Kita galimybė yra ta, kad kenkėjiškos programos kūrėjai ją modifikavo, kad naudotų kitą šifravimo algoritmą.

Šiuo metu turite keletą variantų.

Greičiausias ir perspektyviausias statymas yra sumokėti išpirką. Tai šiek tiek skiriasi, bet paprastai svyruoja apie 300 USD ribą, o failai bus atkurti po kelių valandų.

RansomBitcoin

Savaime suprantama, kad turite reikalų su organizuotais nusikaltėliais, todėl garantijų nėra jie iš tikrųjų iššifruos failus ir, jei nesate patenkinti, neturite jokios galimybės gauti a grąžinti pinigus.

Taip pat turėtumėte apsvarstyti argumentą, kad šių išpirkų sumokėjimas tęsia plitimą išpirkos reikalaujančią programinę įrangą ir toliau daro finansiškai pelningą kūrėjams rašyti išpirkos reikalaujančias programas programas.

Antrasis variantas yra laukti tikintis, kad kas nors išleis kenkėjiškos programos iššifravimo įrankį. Tai atsitiko su CryptoLocker „CryptoLocker“ mirė: štai kaip galite susigrąžinti failus! Skaityti daugiau , kai privatūs raktai buvo nutekinti iš komandų ir valdymo serverio. Čia iššifravimo programa buvo nutekėjusio šaltinio kodo rezultatas.

Tačiau tam nėra garantijos. Gana dažnai nėra technologinio sprendimo, kaip susigrąžinti failus nemokant išpirkos.

Prevencija yra geriau nei gydymas

Žinoma, veiksmingiausias būdas kovoti su išpirkos reikalaujančiomis programomis yra užtikrinti, kad nesate užsikrėtę. Imdamiesi keleto paprastų atsargumo priemonių, pvz., paleisdami visiškai atnaujintą antivirusinę programą ir neatsisiųsdami failų iš įtartinų vietų, galite sumažinti tikimybę užsikrėsti.

Ar jus paveikė „HydraCrypt“ ar „UmbreCrypt“? Ar pavyko susigrąžinti failus? Praneškite man toliau pateiktuose komentaruose.

Vaizdo kreditai: Nešiojamojo kompiuterio naudojimas, pirštas ant jutiklinės dalies ir klaviatūros („Scyther5“ per „ShutterStock“), Bitcoin klaviatūroje (AztekPhoto per ShutterStock)

Matthew Hughesas yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai sutinkamas be puodelio stiprios juodos kavos rankoje ir be galo dievina savo Macbook Pro ir fotoaparatą. Galite perskaityti jo tinklaraštį adresu http://www.matthewhughes.co.uk ir sekite jį „Twitter“ adresu @matthewhughes.