Hur man återställer förlorade filer från CrypBoss Ransomware

Annons

Det finns fantastiska nyheter för alla som påverkas av ransomwaren CrypBoss, HydraCrypt och UmbreCrypt. Fabian Wosar, en forskare vid Emsisoft, har lyckats omvända dem, och har i processen släppt ett program som kan dekryptera filer som annars skulle gå förlorade.

Dessa tre skadliga program är väldigt lika. Här är vad du behöver veta om dem och hur du kan få tillbaka dina filer.

Möte med familjen CrypBoss

Skadlig programvara har alltid varit en miljard dollar stugindustri. Oavsiktliga mjukvaruutvecklare skriver nya skadliga program och auktionerar ut dem till organiserade brottslingar i de snålaste områdena det mörka nätet Journey Into The Hidden Web: En guide för nya forskareDen här manualen tar dig med på en rundtur genom de många nivåerna av den djupa webben: databaser och information tillgänglig i akademiska tidskrifter. Slutligen kommer vi fram till Tors portar. Läs mer .

Dessa brottslingar distribuerar dem sedan långt och brett och infekterar i processen tusentals maskiner och gör en

ogudaktig summa pengar Vad motiverar människor att hacka datorer? Tips: PengarBrottslingar kan använda teknik för att tjäna pengar. Du vet detta. Men du skulle bli förvånad över hur geniala de kan vara, från att hacka och sälja servrar till att omkonfigurera dem som lukrativa Bitcoin-gruvarbetare. Läs mer .

Det verkar vara det som har hänt här.

Både HydraCrypt och UmbreCrypt är lätt modifierade varianter av ett annat skadligt program som heter CrypBoss. Förutom att ha en delad härkomst distribueras de också genom Angler Exploit Kit, som använder metoden för drive-by-nedladdningar för att infektera offer. Dann Albright har skrivit mycket om exploateringssatser Så här hackar de dig: The Murky World of Exploit KitsBedragare kan använda programvarupaket för att utnyttja sårbarheter och skapa skadlig programvara. Men vad är dessa exploateringssatser? Var kommer de ifrån? Och hur kan de stoppas? Läs mer förr.

Det har gjorts mycket forskning om CrypBoss-familjen av några av de största namnen inom datasäkerhetsforskning. Källkoden till CrypBoss läckte förra året på PasteBin och slukades nästan omedelbart av säkerhetsgemenskapen. I slutet av förra veckan publicerade McAfee en av de bästa analyserna av HydraCrypt, som förklarade hur det fungerar på sina lägsta nivåer.

Skillnaderna mellan HydraCrypt och UmbreCrypt

När det gäller deras väsentliga funktionalitet gör HydraCrypt och UmbreCrypt båda samma sak. När de först infekterar ett system börjar de kryptera filer baserat på deras filtillägg, med hjälp av en stark form av asymmetrisk kryptering.

De har också andra icke-kärnbeteenden som är ganska vanliga inom ransomware-programvara.

Till exempel tillåter båda angriparen att ladda upp och köra ytterligare programvara till den infekterade maskinen. Båda raderar skuggkopiorna av de krypterade filerna, vilket gör det omöjligt att återställa dem.

Den kanske största skillnaden mellan de två programmen är sättet på vilket de "löser ut" filerna.

UmbreCrypt är väldigt sakligt. Den berättar för offren att de har blivit smittade, och det finns ingen chans att de kommer att få tillbaka sina filer utan att samarbeta. För att offret ska kunna starta dekrypteringsprocessen måste de skicka ett e-postmeddelande till en av två adresser. Dessa finns på "engineer.com" respektive "consultant.com".

Kort därefter kommer någon från UmbreCrypt att svara med betalningsinformation. Meddelandet om ransomware berättar inte för offret hur mycket de kommer att betala, även om det talar om för offret att avgiften kommer att multipliceras om de inte betalar inom 72 timmar.

Lustigt nog säger instruktionerna från UmbreCrypt till offret att inte mejla dem med "hot och elakhet". De tillhandahåller till och med ett exempel på e-postformat som offren kan använda.

HydraCrypt skiljer sig något på det sätt som deras lösennota är långt mer hotfull.

De säger att om inte offret inte betalar inom 72 timmar kommer de att utfärda en sanktion. Detta kan vara en ökning av lösensumman, eller förstörelse av den privata nyckeln, vilket gör det omöjligt att dekryptera filerna.

Det hotar de också med lämna ut den privata informationen Här är hur mycket din identitet kan vara värd på den mörka webbenDet är obehagligt att se dig själv som en vara, men alla dina personliga uppgifter, från namn och adress till bankkontouppgifter, är värda något för brottslingar på nätet. Hur mycket är du värd? Läs mer , filer och dokument från icke-betalare på den mörka webben. Detta gör det lite av en sällsynthet bland ransomware, eftersom det har en konsekvens som är mycket värre än att inte få tillbaka dina filer.

Hur du får tillbaka dina filer

Som vi nämnde tidigare har Emisofts Fabian Wosar kunnat bryta krypteringen som används och har släppt ett verktyg för att få tillbaka dina filer, kallat DekrypteraHydraCrypt.

För att det ska fungera måste du ha två filer till hands. Dessa bör vara vilken krypterad fil som helst, plus en okrypterad kopia av den filen. Om du har ett dokument på din hårddisk som du har säkerhetskopierat till Google Drive eller ditt e-postkonto, använd detta.

Alternativt, om du inte har detta, leta bara efter en krypterad PNG-fil och använd någon annan slumpmässig PNG-fil som du antingen skapar själv eller laddar ner från Internet.

Dra och släpp dem sedan i dekrypteringsappen. Det kommer sedan att sätta igång och börja försöka fastställa den privata nyckeln.

Du bör varnas för att detta inte kommer att ske omedelbart. Dekryptören kommer att göra en ganska komplicerad matematik för att räkna ut din dekrypteringsnyckel, och denna process kan potentiellt ta flera dagar, beroende på din CPU.

När den har utarbetat dekrypteringsnyckeln öppnar den ett fönster och låter dig välja de mappar vars innehåll du vill dekryptera. Detta fungerar rekursivt, så om du har en mapp i en mapp behöver du bara välja rotmappen.

Det är värt att notera att HydraCrypt och UmbreCrypt har ett fel, där de sista 15 byten av varje krypterad fil skadas oåterkalleligt.

Detta bör inte bekymra dig för mycket, eftersom dessa byte vanligtvis används för utfyllnad eller icke-essentiell metadata. Fluff, i princip. Men om du inte kan öppna dina dekrypterade filer, försök öppna dem med ett filåterställningsverktyg.

Ingen tur?

Det finns en chans att detta inte kommer att fungera för dig. Det kan bero på flera anledningar. Det mest troliga är att du försöker köra det på ett ransomware-program som inte är HydraCrypt, CrypBoss eller UmbraCrypt.

En annan möjlighet är att skaparna av skadlig programvara modifierade den för att använda en annan krypteringsalgoritm.

Vid det här laget har du ett par alternativ.

Den snabbaste och mest lovande satsningen är att betala lösensumman. Detta varierar ganska mycket, men svävar i allmänhet runt $300-strecket, och dina filer kommer att återställas inom några timmar.

Det borde vara självklart att du har att göra med organiserade brottslingar, så det finns inga garantier de kommer faktiskt att dekryptera filerna, och om du inte är nöjd har du ingen chans att få en återbetalning.

Du bör också överväga argumentet att betala dessa lösensummor vidmakthåller spridningen av ransomware, och fortsätter att göra det ekonomiskt lukrativt för utvecklarna att skriva ransomware program.

Det andra alternativet är att vänta i hopp om att någon ska släppa ett dekrypteringsverktyg för skadlig programvara som du har drabbats av. Detta hände med CryptoLocker CryptoLocker Is Dead: Så här kan du få tillbaka dina filer! Läs mer , när de privata nycklarna läckte från en kommando-och-kontrollserver. Här var dekrypteringsprogrammet resultatet av läckt källkod.

Det finns dock ingen garanti för detta. Ganska ofta finns det ingen teknisk lösning för att få tillbaka dina filer utan att betala en lösensumma.

Förebyggande är bättre än ett botemedel

Naturligtvis är det mest effektiva sättet att hantera ransomware-program att se till att du inte är infekterad i första hand. Genom att vidta några enkla försiktighetsåtgärder, som att köra ett helt uppdaterat antivirus, och inte ladda ner filer från misstänkta platser, kan du minska dina chanser att bli smittad.

Blev du påverkad av HydraCrypt eller UmbreCrypt? Har du lyckats få tillbaka dina filer? Låt mig veta i kommentarerna nedan.

Bildkrediter: Använd en bärbar dator, finger på pekplatta och tangentbord (Scyther5 via ShutterStock), Bitcoin på tangentbordet (AztekPhoto via ShutterStock)