CryptoDefense Ransomware et comment Symantec l’a aidé à corriger sa faille!
CryptoDefense le ransomware domine les discussions ces jours-ci. Les victimes victimes de cette variante de Ransomware se sont tournées vers un grand nombre de forums, cherchant le soutien d'experts. Considéré comme un type de ransomware, le programme singe le comportement de CryptoLocker, mais ne peut pas être considéré comme un dérivé complet de celui-ci, car le code qu'il exécute est complètement différent. De plus, les dégâts qu’il cause sont potentiellement vastes.
CryptoDefense Ransomware
La féroce concurrence entre cyber-gangs qui a eu lieu à la fin du mois de février 2014 a permis de déterminer l'origine du scélérat Internet. Elle a conduit au développement d'une variante potentiellement néfaste de ce programme de ransomware, capable de brouiller les fichiers d'une personne et de l'obliger à effectuer un paiement. pour récupérer les fichiers.
CryptoDefense, comme il est connu, cible les fichiers texte, image, vidéo, PDF et MS Office. Lorsqu'un utilisateur final ouvre la pièce jointe infectée, le programme commence à chiffrer ses fichiers cible avec une clé RSA-2048 puissante qu'il est difficile d'annuler. Une fois que les fichiers sont cryptés, le malware installe des fichiers à la demande d'une rançon dans chaque dossier contenant des fichiers cryptés..
À l'ouverture des fichiers, la victime trouve une page CAPTCHA. Si les fichiers sont trop importants pour lui et qu'il veut les récupérer, il accepte le compromis. Pour aller plus loin, il doit remplir correctement le CAPTCHA et les données sont envoyées à la page de paiement. Le prix de la rançon est prédéterminé, doublé si la victime ne se conforme pas aux instructions du développeur dans un délai défini de quatre jours..
La clé privée nécessaire pour déchiffrer le contenu est disponible avec le développeur du logiciel malveillant et est renvoyée au serveur de l'attaquant uniquement lorsque le montant souhaité est livré intégralement sous forme de rançon. Les attaquants semblent avoir créé un site Web «caché» pour recevoir des paiements. Une fois que le serveur distant a confirmé le destinataire de la clé de déchiffrement privée, une capture d'écran du bureau compromis est téléchargée sur l'emplacement distant. CryptoDefense vous permet de payer la rançon en envoyant des Bitcoins à une adresse indiquée dans la page du service de décryptage du logiciel malveillant..
Bien que tout le schéma des choses semble être bien élaboré, CryptoDefense ransomware lors de sa première apparition comportait quelques bugs. Il a laissé la clé à droite sur l'ordinateur de la victime! 😀Bien entendu, cela nécessite des compétences techniques qu'un utilisateur moyen pourrait ne pas posséder pour comprendre la clé. La faille a été remarquée pour la première fois par Fabian Wosar de Emsisoft et conduit à la création d'un Decrypter outil qui pourrait potentiellement récupérer la clé et décrypter vos fichiers.
L'une des principales différences entre CryptoDefense et CryptoLocker est le fait que CryptoLocker génère sa paire de clés RSA sur le serveur de commande et de contrôle. CryptoDefense, en revanche, utilise Windows CryptoAPI pour générer la paire de clés sur le système de l'utilisateur. Maintenant, cela ne ferait pas trop de différence s'il n'y avait pas quelques bizarreries peu connues et mal documentées de Windows CryptoAPI. Une de ces bizarreries est que si vous ne faites pas attention, il créera des copies locales des clés RSA avec lesquelles votre programme fonctionne. Celui qui a créé CryptoDefense n'était clairement pas au courant de ce comportement et, à leur insu, la clé pour déverrouiller les fichiers d'un utilisateur infecté était en fait conservée sur le système de l'utilisateur, a déclaré Fabian dans un article de blog intitulé L'histoire de clés de ransomware non sécurisées et de blogueurs égoïstes.
La méthode était témoin du succès et d'aider les gens, jusqu'à Symantec décidé de faire un exposé complet de la faille et de répandre les fèves via son blog. La démarche de Symantec a incité le développeur de programmes malveillants à mettre à jour CryptoDefense afin qu’il ne laisse plus la clé derrière lui..
Les chercheurs de Symantec ont écrit:
En raison de la faible implémentation de la fonctionnalité cryptographique des attaquants, ils ont littéralement laissé à leurs otages une clé pour s'échapper ».
À cela, les pirates ont répondu:
Spasiba Symantec (“Merci” en russe). Ce bogue a été corrigé, dit KnowBe4.
Actuellement, le seul moyen de résoudre ce problème est de vous assurer que vous disposez d'une sauvegarde récente des fichiers pouvant être restaurés. Effacer et reconstruire la machine à partir de zéro, et restaurer les fichiers.
Ce post sur BleepingComputers est une excellente lecture si vous voulez en savoir plus sur ce Ransomware et lutter contre la situation d’avance. Malheureusement, les méthodes énumérées dans la "Table des matières" ne fonctionnent que pour 50% des cas d'infection. Néanmoins, cela donne une bonne chance de récupérer vos fichiers.