Hoe verloren bestanden te herstellen van CrypBoss Ransomware
Er is goed nieuws voor iedereen die getroffen is door de CrypBoss, HydraCrypt en UmbreCrypt ransomware. Fabian Wosar, een onderzoeker bij Emsisoft, is erin geslaagd ze te reverse-engineeren en heeft in het proces een programma uitgebracht dat bestanden kan decoderen die anders verloren zouden gaan.
Deze drie malwareprogramma's lijken erg op elkaar. Hier is wat u moet weten over hen en hoe u uw bestanden terug kunt krijgen.
De CrypBoss-familie ontmoeten
Malware-creatie is altijd al een huizenindustrie van een miljard dollar geweest. Slecht bedachte softwareontwikkelaars schrijven nieuwe malwareprogramma's en veilen deze aan georganiseerde criminelen in de meest gewilde delen van het donkere web. Journey Into The Hidden Web: een gids voor nieuwe onderzoekers Reis naar het verborgen web: een gids voor nieuwe onderzoekers Deze handleiding zal worden gelezen je maakt een rondreis door de vele niveaus van het deep web: databases en informatie beschikbaar in wetenschappelijke tijdschriften. Uiteindelijk komen we aan bij de poorten van Tor. Lees verder .
Deze criminelen distribueren ze vervolgens heinde en ver, waarbij ze duizenden machines infecteren en een ongoddelijke hoeveelheid geld verdienen. Wat motiveert mensen om computers te hacken? Hint: Geld Wat motiveert mensen om computers te hacken? Hint: Money Criminals kunnen technologie gebruiken om geld te verdienen. Je weet dit. Maar je zou verbaasd zijn hoe ingenieus ze kunnen zijn, van het hacken en doorverkopen van servers tot het opnieuw configureren van hen als lucratieve Bitcoin-mijnwerkers. Lees verder .
Het lijkt erop dat dit is wat hier is gebeurd.
Zowel HydraCrypt en UmbreCrypt zijn licht-gemodificeerde varianten van een ander malware-programma genaamd CrypBoss. Naast een gedeelde afkomst worden ze ook gedistribueerd via de Angler Exploit Kit, die de methode van drive-by downloads gebruikt om slachtoffers te infecteren. Dann Albright heeft uitgebreid geschreven over exploitkits. Dit is hoe ze je hacken: de duistere wereld van exploitkits Dit is hoe ze je hacken: de duistere wereld van exploitkits Scammers kunnen softwarepakketten gebruiken om kwetsbaarheden te misbruiken en malware te maken. Maar wat zijn deze exploitkits? Waar komen ze vandaan? En hoe kunnen ze worden gestopt? Lees meer in het verleden.
Er is veel onderzoek gedaan naar de CrypBoss-familie door enkele van de grootste namen in onderzoek naar computerbeveiliging. De broncode van CrypBoss werd vorig jaar gelekt op PasteBin en werd bijna onmiddellijk verslonden door de beveiligingsgemeenschap. Eind vorige week publiceerde McAfee een van de beste analyses van HydraCrypt, die uitlegde hoe het werkt op het laagste niveau.
De verschillen tussen HydraCrypt en UmbreCrypt
Wat de essentiële functionaliteit betreft, doen HydraCrypt en UmbreCrypt allebei hetzelfde. Wanneer ze een systeem voor het eerst infecteren, beginnen ze met het coderen van bestanden op basis van hun bestandsextensie, met behulp van een sterke vorm van asymmetrische codering.
Ze hebben ook andere niet-kerngedragingen die redelijk vaak voorkomen in ransomware-software.
Beide stellen de aanvaller bijvoorbeeld in staat om extra software te uploaden en uit te voeren op de geïnfecteerde computer. Beide verwijderen de schaduwkopieën van de gecodeerde bestanden, waardoor het onmogelijk is ze te herstellen.
Misschien is het grootste verschil tussen de twee programma's de manier waarop ze zijn “losgeld” de bestanden terug.
UmbreCrypt is erg zakelijk. Het vertelt de slachtoffers dat ze zijn geïnfecteerd en er is geen enkele kans dat ze hun bestanden terug krijgen zonder mee te werken. Om het ontsleutelingsproces te starten, moeten ze een e-mail sturen naar een van de twee adressen. Deze worden gehost op “engineer.com” en “consultant.com” respectievelijk.
Kort daarna zal iemand van UmbreCrypt reageren met betalingsinformatie. De kennisgeving van ransomware vertelt het slachtoffer niet hoeveel ze zullen betalen, maar het vertelt het slachtoffer wel dat de vergoeding wordt vermenigvuldigd als ze niet binnen 72 uur betalen.
Hilarisch genoeg vertellen de instructies van UmbreCrypt aan het slachtoffer om ze niet te e-mailen “bedreigingen en onbeschoftheid”. Ze bieden zelfs een voorbeeld van een e-mailformaat voor slachtoffers om te gebruiken.
HydraCrypt verschilt enigszins in de manier waarop hun losgeldnoot is ver meer bedreigend.
Ze zeggen dat tenzij het slachtoffer niet binnen 72 uur betaalt, ze een sanctie zullen uitvaardigen. Dit kan een toename in losgeld zijn of de vernietiging van de private sleutel, waardoor het onmogelijk wordt om de bestanden te decoderen.
Ze dreigen ook de privé-informatie vrij te geven. Hier is hoeveel je identiteit op het duistere web waard kan zijn. Hier is hoeveel je identiteit waard kan zijn op het donkere web. Het is ongemakkelijk om jezelf als een goed te beschouwen, maar al je persoonlijke gegevens, van naam en adres naar bankgegevens, zijn iets waard voor online criminelen. Hoeveel ben je waard? Lees meer, bestanden en documenten van niet-betalers op het Dark-web. Dit maakt het een beetje een zeldzaamheid onder ransomware, omdat het een gevolg heeft dat veel erger is dan dat je je bestanden niet terug krijgt.
Hoe u uw bestanden terug kunt krijgen
Zoals eerder vermeld, heeft Fabian Wosar van Emisoft de gebruikte codering kunnen doorbreken en heeft een tool vrijgegeven om uw bestanden terug te halen, genaamd DecryptHydraCrypt.
Om het te laten werken, moet je twee bestanden bij de hand hebben. Dit moet een gecodeerd bestand zijn plus een niet-versleutelde kopie van dat bestand. Als u een document op uw harde schijf hebt waarop u een back-up hebt gemaakt naar Google Drive of uw e-mailaccount, gebruikt u dit.
Als u dit niet hebt, kunt u gewoon naar een gecodeerd PNG-bestand zoeken en elk willekeurig PNG-bestand gebruiken dat u zelf maakt of van internet downloaden..
Sleep ze vervolgens naar de decoderings-app. Het komt dan in actie en probeert de privésleutel te bepalen.
U zou gewaarschuwd moeten worden dat dit niet onmiddellijk zal zijn. De decryptor zal wat ingewikkelde wiskundige bewerkingen uitvoeren om je decoderingssleutel uit te werken, en dit proces kan mogelijk enkele dagen duren, afhankelijk van je CPU.
Zodra de decoderingssleutel is uitgewerkt, wordt er een venster geopend waarin u de mappen kunt selecteren waarvan u de inhoud wilt decoderen. Dit werkt recursief, dus als je een map in een map hebt, hoef je alleen de hoofdmap te selecteren.
Het is vermeldenswaard dat HydraCrypt en UmbreCrypt een fout hebben, waarbij de laatste 15 bytes van elk versleuteld bestand onherstelbaar beschadigd zijn.
Dit zou u niet teveel in de problemen moeten brengen, omdat deze bytes meestal worden gebruikt voor padding of niet-essentiële metadata. Fluff, eigenlijk. Maar als u uw gedecodeerde bestanden niet kunt openen, probeer ze dan te openen met een tool voor het herstellen van bestanden.
Geen geluk?
Er is een kans dat dit niet voor u werkt. Dat kan verschillende redenen hebben. Het meest waarschijnlijk is dat je het probeert uit te voeren met een ransomware-programma dat geen HydraCrypt, CrypBoss of UmbraCrypt is.
Een andere mogelijkheid is dat de makers van de malware het hebben aangepast om een ander versleutelingsalgoritme te gebruiken.
Op dit punt heb je een aantal opties.
De snelste en meest veelbelovende gok is om het losgeld te betalen. Dit varieert nogal, maar over het algemeen zweeft het rond de $ 300, en zullen je bestanden binnen een paar uur worden hersteld.
Het moet vanzelfsprekend zijn dat je te maken hebt met georganiseerde criminelen, dus er zijn geen garanties dat ze de bestanden echt zullen ontsleutelen, en als je niet gelukkig bent, heb je geen kans om geld terug te krijgen.
Je moet ook het argument overwegen dat het betalen van deze losgeld de verspreiding van ransomware bestendigt, en het nog steeds financieel lucratief maakt voor de ontwikkelaars om ransomware programma's te schrijven.
De tweede optie is wachten, in de hoop dat iemand een decoderingstool vrijgeeft voor de malware waarmee je bent geconfronteerd. Dit gebeurde met CryptoLocker CryptoLocker Is Dead: Hier is hoe u uw bestanden terug kunt krijgen! CryptoLocker Is Dead: Hier is hoe u uw bestanden terug kunt krijgen! Lees Meer, wanneer de privésleutels uit een command-and-control-server zijn gelekt. Hier was het ontcijferingsprogramma het resultaat van gelekte broncode.
Er is echter geen garantie hiervoor. Heel vaak is er geen technologische oplossing om uw bestanden terug te krijgen zonder een losgeld te betalen.
Preventie is beter dan genezen
Natuurlijk is de meest effectieve manier om met ransomware-programma's om te gaan, te zorgen dat je niet bent geïnfecteerd. Door enkele eenvoudige voorzorgsmaatregelen te nemen, zoals het uitvoeren van een volledig bijgewerkte antivirus en het niet downloaden van bestanden van verdachte plaatsen, kunt u uw kansen om geïnfecteerd te raken verminderen.
Ben je beïnvloed door HydraCrypt of UmbreCrypt? Ben je erin geslaagd je bestanden terug te krijgen? Laat het me weten in de reacties hieronder.
Beeldpunten: gebruik van een laptop, vinger op touchpad en toetsenbord (Scyther5 via ShutterStock), Bitcoin op toetsenbord (AztekPhoto via ShutterStock)
Ontdek meer over: Ransomware.