Das Crypto Ransomware-Programm verschlüsselt Benutzerdateien offline



    Verschiedene Arten von Ransomware und Crypto-Ransomware-Programmen haben sich inzwischen ziemlich oft geschieden. Einige blockieren einfach den PC, bis der Benutzer bezahlt. Andere Arten solcher Software verschlüsseln Dateien, indem sie einen Schlüssel an einen von Betrügern kontrollierten Server senden. Es gibt aber auch andere Arten von Crypto Ransomware, die noch origineller wirken.

    Forscher am Check Point führten kürzlich eine Analyse durch.die Arbeit einer der Arten von Programmen, die eine alternative Methode zum Verschlüsseln von Dateien und zum Bereitstellen eines Schlüssels für ihre Ersteller verwenden. Das Programm selbst ist nicht neu, es wurde zum ersten Mal im Juni letzten Jahres bemerkt. Seitdem hat der Autor seine Kreation wiederholt aktualisiert (ungefähr alle zwei Monate), die Crypto Ransomware wird ständig weiterentwickelt und verbessert. Laut Informationssicherheitsexperten wurde dieses Beispiel von russischsprachigen Angreifern erstellt, und diese Software funktioniert in der Regel mit Benutzern aus Russland.

    Beim Herunterladen auf den PC des Opfers verschlüsselt diese Software alle Benutzerdateien und benennt sie um. Neue Namen werden durch Maske vergeben:

    E-Mail- [Zu kontaktierende Adresse] .ver- [Ransomware-interne Version] .id- [Gerätekennung] - [Datum und Uhrzeit] [Zufällige Ziffern] .randomname- [Zufälliger Name für die verschlüsselte Datei] .cbf (Beispiel: E-Mail -Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-NPEULAODSHUJYMAPESHVKYNBQETHWKZOBQFT-10 @ 6 @ 2015 9 @ 53 @ 19 AM5109895.randomname-EFWMERGVKYNBPETHVKZNBQETHWKZ.b)

    Gleichzeitig werden keine Daten an den Angreifer-Server übertragen, es werden keine Informationen von der Software empfangen (wie ein Verschlüsselungsschlüssel).

    Der Anfang jeder Datei (die ersten 30.000 Bytes) jeder Datei wird mit zwei Sätzen von Zahlen und Buchstaben verschlüsselt, die zufällig auf dem infizierten Computer generiert werden. Der Rest der Datei wird mit dem öffentlichen RSA-Schlüssel verschlüsselt, der ebenfalls zufällig auf dem Benutzercomputer generiert wird, zusammen mit dem geheimen RSA-Schlüssel, der zum Entschlüsseln der Daten erforderlich ist.

    Zufällig generierte Zeichensätze und ein lokaler RSA-Schlüssel (geheim) werden als Metadaten zu jeder verschlüsselten Datei hinzugefügt und dann mit drei komplexen öffentlichen RSA 768-Schlüsseln verschlüsselt, die bereits remote erstellt wurden. Ein geeigneter geheimer RSA-Schlüssel ist erforderlich, um die Metadaten auf der Seite des Angreifers zu entschlüsseln.

    Wenn ein Angreifer das Opfer per E-Mail kontaktiert, bittet er darum, ein Beispiel der verschlüsselten Datei zu senden. Anschließend extrahiert er die verschlüsselten Metadaten aus der Datei, entschlüsselt die Daten mit dem RSA-Geheimschlüssel und erhält so die Zeichensätze und den lokalen RSA-Geheimschlüssel, die das Opfer zum Entschlüsseln der Dateien benötigt.

    Die vom Betrüger verwendete Kontaktadresse ist häufig ein Google Mail- oder AOL-Konto. Die Forscher kontaktierten den Angreifer und meldeten sich als Opfer einer Krypto-Ransomware. Er forderte 20.000 Rubel für die Entschlüsselung der Daten.

    In diesem Fall ist laut Experten, die die Software studiert haben, das Bezahlen die einzige Möglichkeit, Ihre Daten zurückzugewinnen (wenn Sie kein Backup haben).

    Das Entschlüsseln von Dateien ohne den entsprechenden Schlüssel ist unrealistisch. Die erforderliche Brute-Force-Zeit für ein gesamtes Netzwerk leistungsstarker PCs beträgt ungefähr zwei Jahre.

    Jetzt auch beliebt: