Come ripristinare i file persi da CrypBoss Ransomware
Ci sono ottime notizie per chiunque sia interessato al ransomware CrypBoss, HydraCrypt e UmbreCrypt. Fabian Wosar, un ricercatore di Emsisoft, è riuscito a decodificarli e nel processo ha rilasciato un programma in grado di decodificare i file che altrimenti andrebbero persi.
Questi tre programmi malware sono molto simili. Ecco cosa devi sapere su di loro e come recuperare i tuoi file.
Incontro con la famiglia CrypBoss
La creazione di malware è sempre stata un'industria di cottage da miliardi di dollari. Gli sviluppatori di software malintenzionati scrivono nuovi programmi di malware e li mettono all'asta per criminali organizzati nei meandri più oscuri del web oscuro Journey Into The Hidden Web: una guida per i nuovi ricercatori Journey into the Hidden Web: una guida per i nuovi ricercatori Questo manuale prenderà sei in un tour attraverso i molti livelli del deep web: database e informazioni disponibili su riviste accademiche. Finalmente arriveremo alle porte di Tor. Leggi di più .
Questi criminali poi li distribuiscono in lungo e in largo, nel processo che infettano migliaia di macchine e fanno una quantità di denaro irrilevante. Che cosa motiva le persone a hackerare i computer? Suggerimento: denaro Cosa motiva le persone a hackerare i computer? Suggerimento: i criminali del denaro possono usare la tecnologia per fare soldi. Lo sai. Ma ti sorprenderebbe quanto possano essere ingegnosi, dall'hacking e alla rivendita dei server alla riconfigurazione come minatori redditizi di Bitcoin. Leggi di più .
Sembra che sia quello che è successo qui.
Sia HydraCrypt che UmbreCrypt sono varianti leggermente modificate di un altro malware chiamato CrypBoss. Oltre ad avere una discendenza condivisa, sono anche distribuiti attraverso il kit di exploit Angler, che utilizza il metodo dei download drive-by per infettare le vittime. Dann Albright ha scritto ampiamente sui kit di exploit Questo è il modo in cui ti prendono in giro: il mondo oscuro dei kit di exploit Ecco come ti prendono in giro: il mondo oscuro dei kit di exploit Gli scammer possono utilizzare suite di software per sfruttare le vulnerabilità e creare malware. Ma quali sono questi kit di exploit? Da dove vengono? E come possono essere fermati? Leggi di più in passato.
Ci sono state molte ricerche sulla famiglia CrypBoss da parte di alcuni dei più grandi nomi nella ricerca sulla sicurezza informatica. Il codice sorgente di CrypBoss è stato trapelato l'anno scorso su PasteBin, e fu quasi subito divorato dalla comunità di sicurezza. Alla fine della scorsa settimana, McAfee ha pubblicato una delle migliori analisi di HydraCrypt, che ha spiegato come funziona ai suoi livelli più bassi.
Le differenze tra HydraCrypt e UmbreCrypt
In termini di funzionalità essenziale, HydraCrypt e UmbreCrypt fanno entrambe la stessa cosa. Quando per la prima volta infettano un sistema, iniziano a crittografare i file in base all'estensione del file, utilizzando una forma forte di crittografia asimmetrica.
Hanno anche altri comportamenti non core che sono piuttosto comuni nel software ransomware.
Ad esempio, entrambi consentono all'autore dell'attacco di caricare ed eseguire software aggiuntivo sulla macchina infetta. Entrambi eliminano le copie shadow dei file crittografati, rendendo impossibile il loro ripristino.
Forse la più grande differenza tra i due programmi è il modo in cui essi “riscatto” i file indietro.
UmbreCrypt è molto pratico. Racconta alle vittime che sono state infettate e non c'è possibilità che recuperino i loro file senza cooperare. Affinché la vittima possa avviare il processo di decodifica, è necessario inviare un'email a uno dei due indirizzi. Questi sono ospitati su “engineer.com” e “consultant.com” rispettivamente.
Poco dopo, qualcuno da UmbreCrypt risponderà con le informazioni di pagamento. L'avviso del ransomware non dice alla vittima quanto pagheranno, anche se dice alla vittima che la tassa sarà moltiplicata se non pagano entro 72 ore.
Esilarante, le istruzioni fornite da UmbreCrypt informano la vittima di non inviarle tramite e-mail “minacce e maleducazione”. Forniscono anche un formato email di esempio per le vittime da usare.
HydraCrypt differisce leggermente nel modo in cui è la loro richiesta di riscatto lontano più minaccioso.
Dicono che a meno che la vittima non paghi entro 72 ore, emetteranno una sanzione. Questo può essere un aumento del riscatto o la distruzione della chiave privata, rendendo impossibile la decodifica dei file.
Inoltre minacciano di rilasciare le informazioni private Ecco quanto può valere la tua identità sul Web oscuro Ecco quanto può valere la tua identità sul Web oscuro È scomodo pensare a te stesso come a una merce, ma a tutti i tuoi dettagli personali, da nome e indirizzo per i dettagli del conto bancario, valgono qualcosa per i criminali online. quanto vali? Ulteriori informazioni, file e documenti dei non paganti sul web Dark. Questo lo rende un po 'una rarità tra i ransomware, in quanto ha una conseguenza che è molto peggio che non recuperare i tuoi file.
Come recuperare i tuoi file
Come accennato in precedenza, Fabian Wosar di Emisoft è stato in grado di rompere la crittografia utilizzata e ha rilasciato uno strumento per recuperare i file, chiamati DecryptHydraCrypt.
Perché funzioni, è necessario avere due file a portata di mano. Questi dovrebbero essere tutti i file crittografati, oltre a una copia non crittografata di quel file. Se hai un documento sul tuo disco rigido di cui hai eseguito il backup su Google Drive o sul tuo account di posta elettronica, utilizza questo.
In alternativa, se non si dispone di questo, basta cercare un file PNG crittografato e utilizzare qualsiasi altro file PNG casuale creato da te o scaricato da Internet.
Quindi, trascinali e rilasciali nell'app di decrittografia. Quindi entrerà in azione e inizierà a provare a determinare la chiave privata.
Dovresti essere avvisato che questo non sarà istantaneo. Il decryptor eseguirà alcuni calcoli matematici piuttosto complicati per elaborare la chiave di decrittografia e questo processo potrebbe richiedere diversi giorni, a seconda della CPU.
Una volta elaborata la chiave di decodifica, si aprirà una finestra e ti permetterà di selezionare le cartelle di cui decodificare i contenuti. Funziona in modo ricorsivo, quindi se hai una cartella in una cartella, dovrai solo selezionare la cartella principale.
Vale la pena notare che HydraCrypt e UmbreCrypt hanno un difetto, in cui i 15 byte finali di ogni file crittografato sono danneggiati irrimediabilmente.
Questo non dovrebbe disturbare troppo, in quanto questi byte vengono solitamente utilizzati per il riempimento o metadati non essenziali. Fluff, fondamentalmente. Ma se non riesci ad aprire i tuoi file decrittografati, prova ad aprirli con uno strumento di ripristino file.
Senza fortuna?
C'è una possibilità che questo non funzioni per te. Questo potrebbe essere per una serie di motivi. Il più probabile è che tu stia cercando di eseguirlo su un programma ransomware che non sia HydraCrypt, CrypBoss o UmbraCrypt.
Un'altra possibilità è che i creatori del malware lo abbiano modificato per utilizzare un algoritmo di crittografia diverso.
A questo punto, hai un paio di opzioni.
La scommessa più veloce e più promettente è pagare il riscatto. Questo varia un po ', ma generalmente si aggira intorno al segno di $ 300 e vedrà i tuoi file ripristinati in poche ore.
Dovresti dire che hai a che fare con criminali organizzati, quindi non ci sono garanzie che decifrano effettivamente i file, e se non sei felice, non hai possibilità di ottenere un rimborso.
Dovresti anche considerare l'argomento secondo cui pagare questi riscatti perpetua la diffusione del ransomware, e continua a renderlo economicamente redditizio per gli sviluppatori di scrivere programmi ransomware.
La seconda opzione è aspettare nella speranza che qualcuno rilascerà uno strumento di decodifica per il malware con cui sei stato colpito. Questo è successo con CryptoLocker CryptoLocker è morto: ecco come recuperare i file! CryptoLocker è morto: ecco come recuperare i file! Leggi altro, quando le chiavi private sono trapelate da un server di comando e controllo. Qui, il programma di decodifica era il risultato di codice sorgente trapelato.
Non c'è alcuna garanzia per questo però. Molto spesso, non esiste una soluzione tecnologica per recuperare i file senza pagare un riscatto.
La prevenzione è meglio di una cura
Naturalmente, il modo più efficace di gestire i programmi di ransomware è quello di assicurarsi che tu non sia infetto in primo luogo. Prendendo alcune semplici precauzioni, come l'esecuzione di un antivirus completamente aggiornato e non il download di file da posizioni sospette, è possibile ridurre le possibilità di contrarre l'infezione.
Eri affetto da HydraCrypt o UmbreCrypt? Sei riuscito a recuperare i tuoi file? Fatemi sapere nei commenti qui sotto.
Crediti immagine: utilizzo di un laptop, dito sul touchpad e tastiera (Scyther5 tramite ShutterStock), Bitcoin sulla tastiera (AztekPhoto via ShutterStock)
Scopri di più su: Ransomware.