Como restaurar arquivos perdidos de ransomware crypboss
Há uma grande notícia para qualquer pessoa afectada pelo ransomware CrypBoss, HydraCrypt e UmbreCrypt. Fabian Wosar, pesquisador Emsisoft, conseguiu reverter a engenharia deles, e no processo lançou um programa que é capaz de decifrar arquivos que de outra forma seriam perdidos.
Conteúdo
Estes três programas de malware são muito semelhantes. Aqui está o que você precisa saber sobre eles, e como você pode obter seus arquivos de volta.
Encontro da Família CrypBoss
criação de malware sempre foi uma indústria de bilhões de dólares. desenvolvedores de software mal-intencionados escrever novos programas de malware, e leilão-los para criminosos organizados nas dingiest alcances a web escura.Journey Into The Hidden Web: Um Guia Para novos pesquisadoresJourney Into The Hidden Web: Um Guia Para novos pesquisadoresEste manual irá levá-lo em uma excursão através dos muitos níveis da web profunda: bancos de dados e informações disponíveis em revistas acadêmicas. Finalmente, vamos chegar às portas de Tor.consulte Mais informação
Esses criminosos, em seguida, distribuí-los em toda parte, no processo de infectar milhares de máquinas, e fazer uma ateu quantidade de dinheiro.
Parece que é o que aconteceu aqui.
Ambos HydraCrypt e UmbreCrypt são variantes de um outro programa de malware chamado CrypBoss levemente modificado. Além de ter uma ancestralidade comum, eles também são distribuídos através do Angler Exploit Kit, que utiliza o método de drive-by downloads para infectar vítimas. Dann Albright tem escrito extensivamente sobre kits de exploração no passado.Isto é como eles dica Você: O Muricy Mundial de Exploit KitsIsto é como eles dica Você: O Muricy Mundial de Exploit KitsScammers pode usar conjuntos de software para explorar vulnerabilidades e criar malware. Mas o que são estes exploram kits? De onde eles vêm? E como eles podem ser parado?consulte Mais informação
Houve um monte de investigação sobre a família CrypBoss por alguns dos maiores nomes da pesquisa de segurança do computador. O código fonte para CrypBoss vazou no ano passado no Pastebin, e foi quase imediatamente devorado pela comunidade de segurança. Na semana passada, a McAfee publicou um dos melhores análises de HydraCrypt, que explicaram como funciona em seus níveis mais baixos.
As diferenças entre HydraCrypt e UmbreCrypt
Em termos de sua funcionalidade essencial, HydraCrypt e UmbreCrypt ambos fazem a mesma coisa. Quando eles infectam um sistema, eles começam a criptografia de arquivos com base em sua extensão de arquivo, usando uma forte forma de criptografia assimétrica.
Eles também têm outros comportamentos não-essenciais que são bastante comum no software ransomware.
Por exemplo, tanto permitir que o invasor para carregar e executar software adicional para a máquina infectada. Ambos excluir as cópias de sombra dos arquivos criptografados, o que torna impossível para restaurá-los.
Talvez a maior diferença entre os dois programas é a maneira em que “resgate” os arquivos de volta.
UmbreCrypt é muito matéria-de-fato. Ele diz que as vítimas que eles foram infectados, e não há nenhuma chance de que eles vão obter os seus arquivos de volta, sem co-operar. Para a vítima para iniciar o processo de descriptografia, eles precisam enviar um email para um dos dois endereços. Estes são hospedados em “engineer.com” e “consultant.com”, respectivamente.
Pouco tempo depois, alguém de UmbreCrypt responderá com informações de pagamento. O aviso ransomware não diz a vítima quanto eles vão pagar, embora não dizer a vítima que a taxa será multiplicado se não pagar no prazo de 72 horas.
Video: como recuperar arquivos perdidos acidentalmente em hd externo e interno, como recuperar arquivos do
Divertida, as instruções fornecidas pelo UmbreCrypt dizer a vítima não para enviá-las com “ameaças e grosseria”. Eles ainda fornecer um formato de e-mail de exemplo para vítimas de usar.
HydraCrypt difere ligeiramente da maneira que sua nota de resgate é longe mais ameaçador.
Eles dizem que a menos que a vítima não pagar em 72 horas, eles vão emitir uma sanção. Isso pode ser um aumento no resgate, ou a destruição da chave privada, tornando assim impossível para descriptografar os arquivos.
Eles também ameaçam liberar as informações privadas, arquivos e documentos de não-contribuintes na web escuro. Isto o torna um pouco de uma raridade entre ransomware, já que tem uma consequência que é muito pior do que não receber seus arquivos de volta.Aqui é o quanto a sua identidade poderia valer a pena na Web escuroAqui é o quanto a sua identidade poderia valer a pena na Web escuroÉ desconfortável para pensar em si mesmo como uma mercadoria, mas todos os seus detalhes pessoais, de nome e endereço para detalhes de contas bancárias, valem alguma coisa para criminosos online. Quanto você vale?consulte Mais informação
Como obter seus arquivos de volta
Como mencionamos anteriormente, de Emisoft Fabian Wosar tem sido capaz de quebrar a criptografia usada, e lançou uma ferramenta para obter seus arquivos de volta, chamado DecryptHydraCrypt.
Para que ele funcione, você precisa ter dois arquivos na mão. Estes devem ser qualquer arquivo criptografado, além de uma cópia não criptografada do arquivo. Se você tem um documento no seu disco rígido que você fez backup para o Google Drive ou a sua conta de e-mail, use este.
Alternativamente, se você não tem isso, basta olhar para um arquivo PNG criptografada, e usar qualquer outro arquivo PNG aleatório que você quer criar a si mesmo, ou fazer o download da Internet.
Em seguida, arraste e solte-os no aplicativo de descriptografia. Ele vai então entrar em acção, e começar a tentar determinar a chave privada.
Você deve ser avisado de que isso não será instantânea. O decryptor vai fazer alguma matemática muito complicada para trabalhar fora do seu chave de decodificação, e este processo poderia demorar vários dias, dependendo da sua CPU.
Uma vez que é elaborado a chave de decodificação, que vai abrir uma janela e permitir que você selecione as pastas cujo conteúdo pretende desencriptar. Isso funciona de forma recursiva, por isso, se você tem uma pasta em uma pasta, você só precisa selecionar a pasta raiz.
É interessante notar que HydraCrypt e UmbreCrypt tem uma falha, em que os últimos 15 bytes de cada arquivo criptografado está danificado irremediavelmente.
Este não deve incomodá-lo muito, uma vez que estes bytes são normalmente utilizados para enchimento ou metadados não-essencial. Fluff, basicamente. Mas se você não pode abrir seus arquivos descriptografados, tente abri-los com um arquivo ferramenta de restauração.
Sem sorte?
Há uma chance de que isso não vai funcionar para você. Isso poderia ser para um número de razões. O mais provável é que você está tentando executá-lo em um programa de ransomware que não é HydraCrypt, CrypBoss, ou UmbraCrypt.
Outra possibilidade é que os criadores do malware modificado para utilizar um algoritmo de criptografia diferente.
Neste ponto, você tem um par de opções.
A aposta mais rápida e mais promissor é para pagar o resgate. Isso varia um pouco, mas geralmente gira em torno da marca de US $ 300, e verá seus arquivos restaurados em poucas horas.
Deve ir sem dizer que você está lidando com criminosos organizados, então não há nenhuma garantia de que eles vão realmente descriptografar os arquivos, e se você não está feliz, você não tem chance de conseguir um reembolso.
Você também deve considerar o argumento de que o pagamento desses resgates perpetua a propagação do ransomware, e continua a fazê-lo financeiramente lucrativo para os desenvolvedores escrevam programas ransomware.
A segunda opção é esperar na esperança de que alguém vai lançar uma ferramenta de decodificação para o malware que você foi ferido com. este aconteceu com CryptoLocker, quando as chaves privadas vazaram a partir de um servidor de comando e controle. Aqui, o programa de decodificação foi o resultado do código-fonte vazou.CryptoLocker Is Dead: Aqui está como você pode obter seus arquivos de volta!CryptoLocker Is Dead: Aqui está como você pode obter seus arquivos de volta!consulte Mais informação
Não há nenhuma garantia para este embora. Muitas vezes, não há nenhuma solução tecnológica para a obtenção de seus arquivos de volta sem pagar um resgate.
A prevenção é melhor do que uma cura
Naturalmente, a maneira mais eficaz de lidar com programas de ransomware é garantir que você não está infectado, em primeiro lugar. Ao tomar algumas precauções simples, como correr um antivírus completamente atualizados, e não o download de arquivos a partir de lugares suspeitos, você pode atenuar as suas chances de ficar infectado.
você foram afetados pela HydraCrypt ou UmbreCrypt? Você conseguiu seus arquivos de volta? Deixe-me saber nos comentários abaixo.