CryptoDefense Ransomware y cómo Symantec lo ayudó a solucionar su problema.
CryptoDefense ransomware está dominando las discusiones en estos días. Las víctimas que caen presa de esta variante de Ransomware han recurrido a diferentes foros en gran número, buscando el apoyo de expertos. Considerado como un tipo de ransomware, el programa simula el comportamiento de CryptoLocker, pero no puede considerarse como un derivado completo de él, ya que el código que ejecuta es completamente diferente. Además, el daño que causa es potencialmente vasto..
CryptoDefense Ransomware
El origen del infractor de Internet se puede rastrear a partir de la furiosa competencia entre las pandillas cibernéticas a finales de febrero de 2014. Esto llevó al desarrollo de una variante potencialmente dañina de este programa de ransomware, capaz de codificar los archivos de una persona y obligarlos a realizar un pago. para recuperar los archivos.
CryptoDefense, como se le conoce, se enfoca en archivos de texto, imagen, video, PDF y MS Office. Cuando un usuario final abre el archivo adjunto infectado, el programa comienza a cifrar sus archivos de destino con una clave RSA-2048 fuerte que es difícil de deshacer. Una vez que los archivos están encriptados, el malware presenta archivos de demanda de rescate en cada carpeta que contiene archivos encriptados..
Al abrir los archivos, la víctima encuentra una página de CAPTCHA. Si los archivos son demasiado importantes para él y él los quiere de vuelta, acepta el compromiso. Continuando, debe completar el CAPTCHA correctamente y los datos se envían a la página de pago. El precio del rescate está predeterminado, se duplica si la víctima no cumple con las instrucciones del desarrollador dentro de un período de tiempo definido de cuatro días.
La clave privada necesaria para descifrar el contenido está disponible con el desarrollador del malware y se envía de vuelta al servidor del atacante solo cuando la cantidad deseada se entrega en su totalidad como rescate. Los atacantes parecen haber creado un sitio web "oculto" para recibir pagos. Una vez que el servidor remoto confirma el destinatario de la clave de descifrado privada, se carga una captura de pantalla del escritorio comprometido en la ubicación remota. CryptoDefense le permite pagar el rescate enviando Bitcoins a una dirección que se muestra en la página del Servicio de Descifrado de malware.
Aunque todo el esquema de las cosas parece estar bien resuelto, el ransomware CryptoDefense cuando apareció por primera vez tuvo algunos errores. Dejó la llave a la derecha en la computadora de la víctima.! 😀Esto, por supuesto, requiere habilidades técnicas, que un usuario promedio podría no poseer, para descubrir la clave. El defecto fue primero notado por Fabian Wosar de Emsisoft y condujo a la creación de un Descifrar Herramienta que potencialmente podría recuperar la clave y descifrar sus archivos.
Una de las diferencias clave entre CryptoDefense y CryptoLocker es el hecho de que CryptoLocker genera su par de claves RSA en el servidor de comando y control. CryptoDefense, por otro lado, utiliza CryptoAPI de Windows para generar el par de claves en el sistema del usuario. Ahora, esto no haría una gran diferencia si no fuera por algunos caprichos poco conocidos y mal documentados de la CryptoAPI de Windows. Una de esas peculiaridades es que si no tiene cuidado, creará copias locales de las claves RSA con las que trabaja su programa. Quien haya creado CryptoDefense claramente no estaba al tanto de este comportamiento y, sin saberlo, la clave para desbloquear los archivos de un usuario infectado se mantuvo en el sistema del usuario, dijo Fabian, en una publicación del blog titulada La historia de claves de ransomware inseguras y bloggers independientes.
El método fue presenciar el éxito y ayudar a la gente, hasta Symantec decidí hacer una exposición completa de la falla y derramar los frijoles a través de su publicación en el blog. El acto de Symantec instó al desarrollador de malware a actualizar CryptoDefense, para que ya no deje la clave atrás..
Los investigadores de Symantec escribieron:
Debido a la mala implementación de la funcionalidad criptográfica por parte de los atacantes, literalmente, han dejado a sus rehenes como una clave para escapar ".
A esto los hackers respondieron:
Spasiba Symantec ("Gracias" en ruso). Ese error ha sido arreglado, dice KnowBe4.
Actualmente, la única forma de solucionar este problema es asegurarse de tener una copia de seguridad reciente de los archivos que realmente se pueden restaurar. Limpie y reconstruya la máquina desde cero y restaure los archivos.
Esta publicación en BleepingComputers es una excelente lectura si desea obtener más información sobre este Ransomware y combatir la situación por adelantado. Desafortunadamente, los métodos enumerados en su "Tabla de contenido" funcionan solo para el 50% de los casos de infección. Sin embargo, ofrece una buena posibilidad de recuperar sus archivos..