r   e   k   l   a   m   a
r   e   k   l   a   m   a

Dr.Web i Bitdefender odszyfrowują zaatakowane przez ransomware pliki

Strona główna AktualnościBEZPIECZEŃSTWO

Sporo ostanio się dzieje w dziedzinie ransomware, złośliwego oprogramowania, szyfrującego dane użytkowników i żądającego okupu za jego odszyfrowanie. Cyberprzestępcy ulepszają metody zastraszania, ukrywania swojej komunikacji, a nawet dobierają się do Linuksa. Tym razem mamy jednak dla Was dobre wieści, dwie firmy z branży bezpieczeństwa, rosyjski Dr.Web i rumuński BitDefender pochwaliły się znaczącymi sukcesami w walce z tymi szkodnikami. Inna sprawa, że internauci już zaczynają się zastanawiać – kto faktycznie stoi za falą ataków ransomware.

Zacznijmy od ransomware Vault, wykrywanego przez niektóre programy antywirusowe jako Trojan.Encoder. Jego najnowsza wersja (2843) rozprowadzana w Sieci od początku listopada poprzez masowo rozsyłane e-maile zawierające złośliwy JavaScript. Po jego uruchomieniu do rejestru Windows dodawana jest zaszyfrowana biblioteka DLL, a do procesu explorer.exe wstrzykiwany kod, służący do załadowania biblioteki, odszyfrowania jej i uruchomienia funkcji malware. Każdy plik zaatakowany przez Trojan.Encodera szyfrowany jest za pomocą Blowfisha z wykorzystaniem unikatowego klucza i otrzymuje rozszerzenie .vault, zaś klucz sesji szyfrowany jest przez windowsowe CryptoAPI za pomocą prywatnego klucza RSA.

Eksperci rosyjskiej firmy ogłosili teraz, że są w stanie odszyfrować pliki zaatakowane przez Vaulta. Zalecają ofiarom, by zawiadomiły policję, samemu niczego w komputerze nie robiły, nie stosowały żadnych innych narzędzi, niczego nie kasowały – i skontaktowały się z wsparciem technicznym. Darmowa usługa odszyfrowująca jest faktycznie darmowa… ale wyłącznie dla posiadaczy licencji na płatne wersje Dr.Weba. Należy przesłać przykładowe zaszyfrowane pliki, a także w miarę możliwości ich wersje oryginalne. Więcej szczegółów technicznych nie ujawniono.

r   e   k   l   a   m   a

Wszystko to wygląda dość dziwnie w świetle informacji pochodzących od rumuńskiego BitDefendera. Firma ta zajęła się odkrytym niedawno właśnie przez Dr.Web robakiem Linux.Encoder.1, który ostatnio dał się we znaki właścicielom wielu sklepów internetowych. Stosując techniki odwrotnej inżynierii, rumuńscy badacze odkryli, że wcale nie trzeba kupować od napastników klucza RSA, pozwalającego na odszyfrowanie kluczy AES wykorzystanych do zaszyfrowania plików. Twórcy złośliwego oprogramowania popełnili bowiem podręcznikowy błąd – ich klucze szyfrujące i wektory inicjujące szyfru AES nie są losowe.

Wykorzystano bowiem do ich generowania funkcję rand(), w której ziarnem generatora pseudolosowego był znacznik czasu utworzenia plików. To pozwoliło na łatwe odtworzenie kluczy AES. BitDefender udostępnił gotowy skrypt, który po uruchomieniu na zaatakowanym linuksowym hoście odszyfruje wszystkie nasze pliki. Znajdziecie go na blogu BitDefender Labs (nie podajemy bezpośredniego linka, gdyż skrypt był już kilka razy zmieniany)

To nie jedyne osiągnięcie rumuńskiej firmy. Udało się jej stworzyć szczepionkę przeciwko CryptoWallowi 4.0, pozwalającą na zablokowanie prób szyfrowania plików przez tego szkodnika. Co szczególnie istotne, zarówno skrypt deszyfrujący Linux.Encodera.1, jak i szczepionka na CryptoWalla 4.0 dostępne są dla każdego, za darmo. Swoje osiągnięcie ludzie z BitDefendera doprawili ciekawym odkryciem – otóż serwery CryptoWalla stoją w Rosji, i co ciekawe, nie atakują samych Rosjan. Szkodnik przerywa proces szyfrowania, jeśli wykryje, że klawiatura ustawiona jest na rosyjski układ klawiszy.

Jak można się domyślić, wnioski internauci w tej kwestii wysnuwają przeróżne.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.