对于受CrypBoss,HydraCrypt和UmbreCrypt勒索软件影响的任何人来说,这都是一个好消息。 Emsisoft的研究人员Fabian Wosar对其进行了反向工程,并在此过程中发布了一个程序,该程序能够解密否则会丢失的文件。
这三个恶意软件程序非常相似。这是您需要了解的内容,以及如何取回文件。
开会CrypBoss家族
恶意软件的创造一直是一个价值十亿美元的家庭手工业。有恶意的软件开发人员编写了新颖的恶意软件程序,并将其拍卖给了黑暗网络最暗处的有组织犯罪分子。
这些犯罪分子随后将它们散布到各处,并感染了数千台机器,
似乎就是这里发生的事情。
HydraCrypt和UmbreCrypt都是另一个名为CrypBoss的恶意软件程序的轻微修改的变体。除了具有共同的血统外,它们还通过Angler Exploit Kit进行分发,该工具包使用偷渡式下载方法感染受害者。丹恩·奥尔布赖特(Dann Albright)过去写过很多有关漏洞利用工具包的文章。
计算机安全研究领域的一些知名人士对CrypBoss家族进行了大量研究。去年,CrypBoss的源代码在PasteBin上泄露,几乎立即被安全社区吞噬。上周晚些时候,迈克菲发布了HydraCrypt的最佳分析之一,解释了其最低水平的工作方式。
HydraCrypt和UmbreCrypt之间的区别
在基本功能方面,HydraCrypt和UmbreCrypt都做同样的事情。当他们初次感染系统时,便开始使用强大的非对称加密形式,根据文件扩展名对文件进行加密。
它们还具有勒索软件中很常见的其他非核心行为。
例如,两者都允许攻击者上载并执行其他软件到受感染的计算机。两者都删除了加密文件的卷影副本,因此无法还原它们。
也许这两个程序之间最大的区别是它们“赎回"文件的方式。
UmbreCrypt非常实际。它告诉受害者他们已经被感染了,如果没有合作,他们将不可能取回文件。为了使受害者开始解密过程,他们需要向两个地址之一发送电子邮件。这些分别托管在“ engineer.com"和“ consultant.com"上。
不久之后,UmbreCrypt的某人将提供付款信息。勒索软件通知没有告诉受害者他们要支付多少费用,尽管它确实告诉受害者,如果他们在72小时内不付款,费用将会成倍增加。
UmbreCrypt提供的说明告诉受害者不要给他们发送“威胁和粗鲁"的电子邮件。他们甚至提供了示例电子邮件格式供受害者使用。
HydraCrypt的勒索票据的威胁程度稍有不同。
说除非受害者在72小时内没有付款,否则他们将予以制裁。这可能是赎金的增加,或者是私钥的破坏,从而使文件无法解密。
它们还威胁要在网上释放非付款人的私人信息,文件和文件。黑暗的网。这在勒索软件中显得很少见,因为其后果远比不将文件找回更糟糕。
如何找回文件
就像我们提到的早些时候,Emisoft的Fabian Wosar能够破解使用的加密,并发布了一个名为 DecryptHydraCrypt 的工具来取回文件。
要使其正常工作,您需要手上有两个文件。这些应该是任何加密文件,再加上该文件的未加密副本。如果您的硬盘驱动器上有备份到Google云端硬盘或电子邮件帐户的文档,请使用此文件。
或者,如果您没有此文件,只需寻找加密的PNG文件,并使用您自己创建或从Internet下载的任何其他随机PNG文件。
然后将其拖放到解密应用中。然后它将开始生效,并开始尝试确定私钥。
您应该被警告,这不会是瞬时的。解密器将执行一些相当复杂的数学运算来得出您的解密密钥,并且此过程可能要花费几天的时间,具体取决于您的CPU。
一旦确定出解密密钥,它就会打开一个窗口,并允许您选择要解密其内容的文件夹。这是递归的,因此,如果您在文件夹中有一个文件夹,则只需选择根文件夹。
值得注意的是HydraCrypt和UmbreCrypt有一个缺陷,其中最后15个字节
这应该不会给您带来太多麻烦,因为这些字节通常用于填充或非必要的元数据。 基本上是绒毛。但是,如果您无法打开解密的文件,请尝试使用文件还原工具打开它们。
没有运气吗?
有一个有机会对您不起作用。这可能有多种原因。最有可能是您试图在不是HydraCrypt,CrypBoss或UmbraCrypt的勒索软件程序上运行它。
另一种可能性是,恶意软件的制造商对其进行了修改,以使用其他加密方式。
这时,您有两个选择。
最快和最有前途的赌注是支付赎金。差异很大,但通常会徘徊在300美元左右,并且会在几小时内看到文件被还原。
它应该不用说您正在与有组织犯罪分子打交道,所以没有保证他们会真正解密文件,如果您不满意,就没有机会获得退款。
您还应该考虑以下说法:支付这些赎金可以使勒索软件,并继续使开发人员编写勒索软件程序在财务上有利可图。
第二种选择是等待,以希望有人能够为您所困扰的恶意软件发布解密工具。 。当私钥从命令和控制服务器泄漏时,这发生在CryptoLocker中。在这里,解密程序是源代码泄漏的结果。
但是,这不能保证。通常,没有技术解决方案可以在不支付赎金的情况下取回文件。
预防胜于治疗
当然,处理勒索软件程序最有效的方法是确保您没有被第一时间感染。通过采取一些简单的预防措施,例如运行完全更新的防病毒软件,以及不从可疑位置下载文件,可以减轻感染病毒的可能性。
您受到HydraCrypt或UmbreCrypt的影响吗?您设法取回文件了吗?在下面的评论中让我知道。
标签:
