Cara Mengembalikan File yang Hilang Dari CrypBoss Ransomware

Iklan

Ada berita bagus untuk siapa saja yang terpengaruh oleh ransomware CrypBoss, HydraCrypt, dan UmbreCrypt. Fabian Wosar, seorang peneliti di Emsisoft, memiliki berhasil merekayasa balik mereka, dan dalam prosesnya telah merilis sebuah program yang mampu mendekripsi file yang seharusnya hilang.

Ketiga program malware ini sangat mirip. Inilah yang perlu Anda ketahui tentang mereka, dan bagaimana Anda bisa mendapatkan kembali file Anda.

Bertemu Keluarga CrypBoss

Penciptaan malware selalu menjadi industri rumahan bernilai miliaran dolar. Pengembang perangkat lunak yang berniat jahat menulis program malware baru, dan melelangnya ke penjahat terorganisir di tempat yang paling kotor web gelap Perjalanan Ke Web Tersembunyi: Panduan Untuk Peneliti BaruManual ini akan membawa Anda pada tur melalui berbagai tingkatan web yang dalam: database dan informasi yang tersedia di jurnal akademik. Akhirnya, kita akan tiba di gerbang Tor. Baca selengkapnya .

Para penjahat ini kemudian mendistribusikannya ke mana-mana, dalam proses menginfeksi ribuan mesin, dan membuat

jumlah uang yang tidak wajar Apa yang Memotivasi Orang Untuk Meretas Komputer? Petunjuk: UangPenjahat dapat menggunakan teknologi untuk menghasilkan uang. Kau tahu ini. Tetapi Anda akan terkejut betapa cerdiknya mereka, mulai dari meretas dan menjual kembali server hingga mengkonfigurasi ulang mereka sebagai penambang Bitcoin yang menguntungkan. Baca selengkapnya .

Sepertinya itulah yang terjadi di sini.

Keduanya HydraCrypt dan UmbreCrypt adalah varian yang dimodifikasi ringan dari program malware lain yang disebut CrypBoss. Selain memiliki nenek moyang yang sama, mereka juga didistribusikan melalui Kit Eksploitasi Pemancing, yang menggunakan metode unduhan drive-by untuk menginfeksi korban. Dann Albright memiliki ditulis secara ekstensif tentang exploit kit Beginilah Cara Mereka Meretas Anda: Dunia Keruh dari Exploit KitsScammers dapat menggunakan rangkaian perangkat lunak untuk mengeksploitasi kerentanan dan membuat malware. Tapi apa ini exploit kit? Mereka berasal dari mana? Dan bagaimana mereka bisa dihentikan? Baca selengkapnya di masa lalu.

Ada banyak penelitian tentang keluarga CrypBoss oleh beberapa nama besar dalam penelitian keamanan komputer. Kode sumber untuk CrypBoss bocor tahun lalu di PasteBin, dan segera dilahap oleh komunitas keamanan. Akhir minggu lalu, McAfee menerbitkan salah satu analisis terbaik dari HydraCrypt, yang menjelaskan cara kerjanya pada level terendah.

Perbedaan Antara HydraCrypt dan UmbreCrypt

Dalam hal fungsionalitas esensialnya, HydraCrypt dan UmbreCrypt keduanya melakukan hal yang sama. Ketika mereka pertama kali menginfeksi sistem, mereka mulai mengenkripsi file berdasarkan ekstensi file mereka, menggunakan bentuk enkripsi asimetris yang kuat.

Mereka juga memiliki perilaku non-inti lainnya yang cukup umum dalam perangkat lunak ransomware.

Misalnya, keduanya mengizinkan penyerang untuk mengunggah dan menjalankan perangkat lunak tambahan ke mesin yang terinfeksi. Keduanya menghapus salinan bayangan dari file terenkripsi, sehingga tidak mungkin untuk memulihkannya.

Mungkin perbedaan terbesar antara kedua program adalah cara mereka "menebus" file kembali.

UmbreCrypt sangat apa adanya. Ini memberi tahu para korban bahwa mereka telah terinfeksi, dan tidak ada kemungkinan mereka akan mendapatkan kembali file mereka tanpa bekerja sama. Bagi korban untuk memulai proses dekripsi, mereka perlu mengirim email ke salah satu dari dua alamat. Ini masing-masing di-host di "engineer.com" dan "consultant.com".

Tak lama setelah itu, seseorang dari UmbreCrypt akan merespons dengan informasi pembayaran. Pemberitahuan ransomware tidak memberi tahu korban berapa banyak yang akan mereka bayar, meskipun pemberitahuan itu memberi tahu korban bahwa biayanya akan berlipat ganda jika mereka tidak membayar dalam waktu 72 jam.

Lucunya, instruksi yang diberikan oleh UmbreCrypt memberi tahu korban untuk tidak mengirim email kepada mereka dengan "ancaman dan kekasaran". Mereka bahkan menyediakan contoh format email untuk digunakan para korban.

HydraCrypt sedikit berbeda dalam hal catatan tebusan mereka jauh lebih mengancam.

Mereka mengatakan bahwa kecuali korban tidak membayar dalam 72 jam, mereka akan mengeluarkan sanksi. Ini bisa berupa peningkatan tebusan, atau penghancuran kunci pribadi, sehingga tidak memungkinkan untuk mendekripsi file.

Mereka juga mengancam untuk rilis informasi pribadi Inilah Berapa Nilai Identitas Anda di Dark WebTidak nyaman untuk menganggap diri Anda sebagai komoditas, tetapi semua detail pribadi Anda, mulai dari nama dan alamat hingga detail rekening bank, berharga bagi penjahat online. Berapa nilaimu? Baca selengkapnya , file dan dokumen non-pembayar di web Gelap. Ini membuatnya sedikit langka di antara ransomware, karena memiliki konsekuensi yang jauh lebih buruk daripada tidak mendapatkan file Anda kembali.

Cara Mendapatkan Kembali File Anda

Seperti yang kami sebutkan sebelumnya, Fabian Wosar dari Emisoft telah mampu memecahkan enkripsi yang digunakan, dan telah merilis alat untuk mengembalikan file Anda, yang disebut DekripsiHydraCrypt.

Agar berfungsi, Anda harus memiliki dua file. Ini harus berupa file terenkripsi apa pun, ditambah salinan file yang tidak terenkripsi. Jika Anda memiliki dokumen di hard drive yang dicadangkan ke Google Drive atau akun email Anda, gunakan ini.

Atau, jika Anda tidak memilikinya, cari saja file PNG terenkripsi, dan gunakan file PNG acak lainnya yang Anda buat sendiri, atau unduh dari Internet.

Kemudian, seret dan lepas mereka ke dalam aplikasi dekripsi. Kemudian akan beraksi, dan mulai mencoba menentukan kunci pribadi.

Anda harus diperingatkan bahwa ini tidak akan instan. Decryptor akan melakukan beberapa matematika yang cukup rumit untuk mengetahui kunci dekripsi Anda, dan proses ini berpotensi memakan waktu beberapa hari, tergantung pada CPU Anda.

Setelah kunci dekripsi berhasil, itu akan membuka jendela dan memungkinkan Anda memilih folder yang isinya ingin Anda dekripsi. Ini bekerja secara rekursif, jadi jika Anda memiliki folder di dalam folder, Anda hanya perlu memilih folder root.

Perlu dicatat bahwa HydraCrypt dan UmbreCrypt memiliki kelemahan, di mana 15 byte terakhir dari setiap file terenkripsi rusak tidak dapat diperbaiki.

Ini seharusnya tidak terlalu merepotkan Anda, karena byte ini biasanya digunakan untuk padding atau metadata yang tidak penting. Fluff, pada dasarnya. Tetapi jika Anda tidak dapat membuka file yang didekripsi, coba buka dengan alat pemulihan file.

Tidak Beruntung?

Ada kemungkinan ini tidak akan berhasil untuk Anda. Itu bisa karena beberapa alasan. Kemungkinan besar Anda mencoba menjalankannya pada program ransomware yang bukan HydraCrypt, CrypBoss, atau UmbraCrypt.

Kemungkinan lain adalah pembuat malware memodifikasinya untuk menggunakan algoritma enkripsi yang berbeda.

Pada titik ini, Anda memiliki beberapa opsi.

Taruhan tercepat dan paling menjanjikan adalah membayar uang tebusan. Ini sedikit bervariasi, tetapi umumnya berkisar di sekitar $300, dan akan melihat file Anda dipulihkan dalam beberapa jam.

Seharusnya tidak perlu dikatakan bahwa Anda berurusan dengan penjahat terorganisir, jadi tidak ada jaminan mereka benar-benar akan mendekripsi file, dan jika Anda tidak senang, Anda tidak punya kesempatan untuk mendapatkan pengembalian dana.

Anda juga harus mempertimbangkan argumen bahwa membayar uang tebusan ini melanggengkan penyebaran ransomware, dan terus membuatnya menguntungkan secara finansial bagi para pengembang untuk menulis ransomware program.

Opsi kedua adalah menunggu dengan harapan seseorang akan merilis alat dekripsi untuk malware yang telah menyerang Anda. Ini terjadi dengan CryptoLocker CryptoLocker Sudah Mati: Inilah Cara Anda Dapat Mengembalikan File Anda! Baca selengkapnya , ketika kunci pribadi bocor dari server perintah-dan-kontrol. Di sini, program dekripsi adalah hasil dari kode sumber yang bocor.

Tidak ada jaminan untuk ini. Cukup sering, tidak ada solusi teknologi untuk mendapatkan kembali file Anda tanpa membayar uang tebusan.

Mencegah Lebih Baik Daripada Mengobati

Tentu saja, cara paling efektif untuk menangani program ransomware adalah memastikan Anda tidak terinfeksi sejak awal. Dengan mengambil beberapa tindakan pencegahan sederhana, seperti menjalankan antivirus yang diperbarui sepenuhnya, dan tidak mengunduh file dari tempat yang dicurigai, Anda dapat mengurangi kemungkinan terinfeksi.

Apakah Anda terpengaruh oleh HydraCrypt atau UmbreCrypt? Apakah Anda berhasil mendapatkan file Anda kembali? Beri tahu saya di komentar di bawah.

Kredit Gambar: Menggunakan laptop, jari di touchpad dan keyboard (Scyther5 via ShutterStock), Bitcoin di Keyboard (AztekPhoto melalui ShutterStock)