Kā atjaunot pazaudētos failus no CrypBoss Ransomware

Reklāma

Ir lieliskas ziņas ikvienam, ko skārusi CrypBoss, HydraCrypt un UmbreCrypt izpirkuma programmatūra. Fabians Vosars, Emsisoft pētnieks, ir izdevās tos pārveidot, un šajā procesā ir izlaidusi programmu, kas spēj atšifrēt failus, kas pretējā gadījumā tiktu zaudēti.

Šīs trīs ļaunprātīgas programmatūras programmas ir ļoti līdzīgas. Lūk, kas jums par tiem jāzina un kā varat atgūt savus failus.

Tikšanās ar CrypBoss ģimeni

Ļaunprātīgas programmatūras radīšana vienmēr ir bijusi miljarda dolāru vērta mājas industrija. Ļaunprātīgi programmatūras izstrādātāji raksta jaunas ļaunprogrammatūras programmas un izsolē tās organizētajiem noziedzniekiem sliktākajās vietās. tumšais tīmeklis Ceļojums slēptajā tīmeklī: ceļvedis jaunajiem pētniekiemŠī rokasgrāmata ļaus jums izpētīt dziļā tīmekļa daudzos līmeņus: datu bāzes un informāciju, kas pieejama akadēmiskajos žurnālos. Beidzot mēs nonāksim pie Toras vārtiem. Lasīt vairāk .

Pēc tam šie noziedznieki tos izplata tālu un plaši, tādējādi inficējot tūkstošiem mašīnu un radot

bezdievīga naudas summa Kas motivē cilvēkus uzlauzt datorus? Padoms: naudaNoziedznieki var izmantot tehnoloģijas, lai pelnītu naudu. Tu to zini. Bet jūs būtu pārsteigts, cik tie var būt ģeniāli, sākot no serveru uzlaušanas un tālākpārdošanas līdz to pārkonfigurēšanai par ienesīgiem Bitcoin kalnračiem. Lasīt vairāk .

Šķiet, ka tas šeit ir noticis.

Abi Hidrakripts un UmbreCrypt ir viegli pārveidoti citas ļaunprātīgas programmatūras programmas CrypBoss varianti. Papildus tam, ka tiem ir kopīgs senči, tie tiek izplatīti arī cauri Angler Exploit Kit, kurā upuru inficēšanai tiek izmantota lejupielādes metode. Denam Olbraitam ir plaši rakstīts par izmantošanas komplektiem Lūk, kā viņi jūs uzlauž: eksploatīvo komplektu neskaidrā pasauleKrāpnieki var izmantot programmatūras komplektus, lai izmantotu ievainojamības un izveidotu ļaunprātīgu programmatūru. Bet kas ir šie ekspluatācijas komplekti? No kurienes viņi nāk? Un kā tos var apturēt? Lasīt vairāk pagātnē.

Daži no lielākajiem datoru drošības pētījumu uzņēmumiem ir daudz pētījuši CrypBoss saimi. CrypBoss avota kods tika nopludināts pagājušajā gadā vietnē PasteBin, un drošības kopiena to gandrīz nekavējoties aprija. Pagājušās nedēļas beigās McAfee publicēja viena no labākajām HydraCrypt analīzēm, kurā paskaidrots, kā tas darbojas zemākajā līmenī.

Atšķirības starp HydraCrypt un UmbreCrypt

Pamatfunkciju ziņā HydraCrypt un UmbreCrypt veic vienu un to pašu. Kad viņi pirmo reizi inficē sistēmu, viņi sāk šifrēt failus, pamatojoties uz to faila paplašinājumu, izmantojot spēcīgu asimetriskas šifrēšanas veidu.

Viņiem ir arī citas neparastas darbības, kas ir diezgan izplatītas izspiedējvīrusa programmatūrā.

Piemēram, abi ļauj uzbrucējam augšupielādēt un izpildīt papildu programmatūru inficētajā datorā. Abi izdzēš šifrēto failu ēnu kopijas, padarot tos neiespējamus atjaunot.

Iespējams, ka lielākā atšķirība starp abām programmām ir veids, kādā tās "izpērk" failus atpakaļ.

UmbreCrypt ir ļoti lietišķs. Tajā upuriem tiek paziņots, ka viņi ir inficēti, un nav iespēju, ka viņi atgūs savus failus, nesadarbojoties. Lai upuris varētu sākt atšifrēšanas procesu, viņam ir jānosūta e-pasts uz vienu no divām adresēm. Tie tiek mitināti attiecīgi vietnēs “engineer.com” un “consultant.com”.

Drīz pēc tam kāds no UmbreCrypt atbildēs ar maksājuma informāciju. Paziņojumā par izspiedējvīrusu upurim nav norādīts, cik daudz viņš gatavojas maksāt, taču tajā ir norādīts, ka maksa tiks palielināta, ja viņš nesamaksās 72 stundu laikā.

Smieklīgi, ka UmbreCrypt sniegtie norādījumi upurim liek nesūtīt e-pasta ziņojumus ar “draudiem un rupjībām”. Viņi pat nodrošina e-pasta formāta paraugu upuriem lietošanai.

HydraCrypt nedaudz atšķiras no to izpirkuma naudas zīmes tālu draudīgāks.

Viņi saka, ka, ja vien upuris nesamaksās 72 stundu laikā, viņi piemēros sankciju. Tas var būt izpirkuma maksas palielinājums vai privātās atslēgas iznīcināšana, tādējādi padarot neiespējamu failu atšifrēšanu.

Viņi arī draud ar atbrīvot privāto informāciju Lūk, cik vērtīga varētu būt jūsu identitāte tumšajā tīmeklīIr neērti uzskatīt sevi par preci, taču visa jūsu personiskā informācija, sākot no vārda un adreses līdz bankas konta informācijai, ir kaut ko vērta tiešsaistes noziedzniekiem. Cik tu esi vērts? Lasīt vairāk , nemaksātāju faili un dokumenti tumšajā tīmeklī. Tas padara to par retumu starp izspiedējvīrusiem, jo ​​tam ir daudz sliktākas sekas nekā failu neatgūšana.

Kā atgūt failus

Kā jau minējām iepriekš, Emisoft Fabian Wosar ir spējis izjaukt izmantoto šifrēšanu un ir izlaidis rīku failu atgriešanai Atšifrēt HydraCrypt.

Lai tas darbotos, jums ir jābūt diviem failiem. Tiem jābūt jebkuram šifrētam failam, kā arī šī faila nešifrētai kopijai. Ja jūsu cietajā diskā ir dokuments, kuru esat dublējis Google diskā vai savā e-pasta kontā, izmantojiet šo.

Alternatīvi, ja jums tas nav, vienkārši meklējiet šifrētu PNG failu un izmantojiet jebkuru citu nejaušu PNG failu, ko izveidojat pats vai lejupielādējat no interneta.

Pēc tam velciet un nometiet tos atšifrēšanas lietotnē. Pēc tam tas sāks darboties un sāks mēģināt noteikt privāto atslēgu.

Jābrīdina, ka tas nenotiks uzreiz. Atšifrētājs veiks diezgan sarežģītus aprēķinus, lai izstrādātu jūsu atšifrēšanas atslēgu, un šis process var ilgt vairākas dienas atkarībā no jūsu centrālā procesora.

Kad būs izstrādāta atšifrēšanas atslēga, tas atvērs logu un ļaus jums atlasīt mapes, kuru saturu vēlaties atšifrēt. Tas darbojas rekursīvi, tādēļ, ja mapē ir mape, jums būs jāatlasa tikai saknes mape.

Ir vērts atzīmēt, ka programmām HydraCrypt un UmbreCrypt ir trūkums, proti, katra šifrētā faila pēdējie 15 baiti tiek neatgriezeniski bojāti.

Tam nevajadzētu jūs pārāk apgrūtināt, jo šie baiti parasti tiek izmantoti polsterēšanai vai nebūtiskiem metadatiem. Pūkas būtībā. Bet, ja nevarat atvērt atšifrētos failus, mēģiniet tos atvērt, izmantojot failu atjaunošanas rīku.

Nav laimes?

Pastāv iespēja, ka tas jums nedarbosies. Tas varētu būt vairāku iemeslu dēļ. Visticamāk, jūs mēģināt to palaist ar izspiedējvīrusu programmu, kas nav HydraCrypt, CrypBoss vai UmbraCrypt.

Vēl viena iespēja ir tāda, ka ļaunprātīgas programmatūras veidotāji to modificēja, lai izmantotu citu šifrēšanas algoritmu.

Šobrīd jums ir dažas iespējas.

Ātrākā un daudzsološākā likme ir samaksāt izpirkuma maksu. Tas nedaudz atšķiras, bet parasti svārstās ap 300 USD atzīmi, un jūsu faili tiks atjaunoti dažu stundu laikā.

Pats par sevi saprotams, ka jums ir darīšana ar organizētajiem noziedzniekiem, tāpēc nav nekādu garantiju viņi faktiski atšifrēs failus, un, ja jūs neesat apmierināts, jums nav iespēju iegūt a atmaksa.

Jums jāapsver arī arguments, ka šo izpirkuma maksu maksāšana turpina izplatību izspiedējvīrusu programmatūra, un turpina izstrādātājiem finansiāli ienesīgu rakstīt izspiedējvīrusu programmas.

Otrā iespēja ir gaidīt, cerot, ka kāds izlaidīs atšifrēšanas rīku ļaunprogrammatūrai, ar kuru esat saskāries. Šis notika ar CryptoLocker CryptoLocker ir miris: šādi varat atgūt savus failus! Lasīt vairāk , kad privātās atslēgas tika nopludinātas no komandu un kontroles servera. Šeit atšifrēšanas programma bija nopludināta pirmkoda rezultāts.

Tomēr tam nav garantijas. Diezgan bieži nav tehnoloģisku risinājumu, kā atgūt failus, nemaksājot izpirkuma maksu.

Profilakse ir labāka nekā ārstēšana

Protams, visefektīvākais veids, kā tikt galā ar izspiedējvīrusu programmām, ir nodrošināt, ka neesat inficēts. Veicot dažus vienkāršus piesardzības pasākumus, piemēram, palaižot pilnībā atjauninātu pretvīrusu programmu un nelejupielādējot failus no aizdomīgām vietām, varat samazināt inficēšanās iespēju.

Vai jūs ietekmēja HydraCrypt vai UmbreCrypt? Vai jums ir izdevies atgūt failus? Ļaujiet man zināt tālāk sniegtajos komentāros.

Attēlu kredīti: Izmantojot klēpjdatoru, pirkstu uz skārienpaliktņa un tastatūras (Scyther5, izmantojot ShutterStock), Bitcoin uz tastatūras (AztekPhoto, izmantojot ShutterStock)