So stellen Sie verlorene Dateien von CrypBoss Ransomware wieder her

Es gibt großartige Neuigkeiten für alle, die von Ransomware CrypBoss, HydraCrypt und UmbreCrypt betroffen sind. Fabian Wosar, Forscher bei Emsisoft, hat es geschafft, sie rückzuentwickeln und hat dabei ein Programm veröffentlicht, mit dem Dateien entschlüsselt werden können, die andernfalls verloren gehen würden.

Diese drei Malware-Programme sind sehr ähnlich. Hier erfahren Sie, was Sie darüber wissen müssen und wie Sie Ihre Dateien zurückholen können.

Treffen mit der CrypBoss-Familie

Die Erstellung von Malware war schon immer eine Milliarden-Dollar-Industrie. Unbeabsichtigte Softwareentwickler schreiben neuartige Malware-Programme und versteigern sie an organisierte Kriminelle in den schmutzigsten Bereichen des dunklen Web. Reise ins verborgene Web: Ein Leitfaden für neue Forscher Reise in das versteckte Web: Ein Leitfaden für neue Forscher Dieses Handbuch wird mitgehen Sie auf einer Tour durch die vielen Ebenen des Deep Web: Datenbanken und Informationen, die in wissenschaftlichen Zeitschriften verfügbar sind. Schließlich kommen wir an den Toren von Tor an. Weiterlesen .

Diese Verbrecher verteilen sie dann weit und breit, wobei sie Tausende von Maschinen infizieren und eine gottlose Menge Geld verdienen. Was motiviert Menschen, Computer zu hacken? Hinweis: Geld, was Menschen dazu motiviert, Computer zu hacken? Hinweis: Geldverbrecher können mit Technologie Geld verdienen. Du weißt das. Sie wären jedoch überrascht, wie genial sie sein können, vom Hacken und Weiterverkauf von Servern bis hin zur Neukonfiguration als lukrative Bitcoin-Minenarbeiter. Weiterlesen .

Es scheint, dass das hier passiert ist.

Sowohl HydraCrypt als auch UmbreCrypt sind leicht modifizierte Varianten eines anderen Malware-Programms mit dem Namen CrypBoss. Sie verfügen nicht nur über eine gemeinsame Abstammung, sondern werden auch über das Angler Exploit Kit verteilt, das die Methode der Drive-by-Downloads zum Infizieren von Opfern verwendet. Dann Albright hat ausführlich über Exploit-Kits geschrieben. So werden sie gehackt: Die Murky-Welt der Exploit-Kits So werden sie gehackt: Die Murky-Welt der Exploit-Kits Betrüger können mithilfe von Software-Suites Schwachstellen ausnutzen und Malware erstellen. Aber was sind diese Exploit-Kits? Woher kommen sie? Und wie können sie gestoppt werden? Lesen Sie mehr in der Vergangenheit.

Einige der größten Namen in der Computersicherheitsforschung haben die CrypBoss-Familie intensiv erforscht. Der Quellcode für CrypBoss wurde letztes Jahr auf PasteBin durchgesickert und fast sofort von der Sicherheitsgemeinschaft verschlungen. Ende letzter Woche veröffentlichte McAfee eine der besten Analysen von HydraCrypt, in der erklärt wurde, wie es auf den niedrigsten Ebenen funktioniert.

Die Unterschiede zwischen HydraCrypt und UmbreCrypt

HydraCrypt und UmbreCrypt machen in ihrer grundlegenden Funktionalität dasselbe. Wenn sie ein System zum ersten Mal infizieren, beginnen sie mit der Verschlüsselung von Dateien anhand ihrer Dateierweiterung und verwenden dabei eine starke asymmetrische Verschlüsselung.

Sie haben auch andere Verhaltensmerkmale, die in Ransomware-Software häufig vorkommen.

Zum Beispiel erlauben beide dem Angreifer, zusätzliche Software auf den infizierten Computer hochzuladen und auszuführen. Beide löschen die Schattenkopien der verschlüsselten Dateien, sodass sie nicht wiederhergestellt werden können.

Der größte Unterschied zwischen den beiden Programmen ist vielleicht die Art und Weise, in der sie durchgeführt werden “Lösegeld” die Dateien zurück.

UmbreCrypt ist sehr selbstverständlich. Es sagt den Opfern, dass sie infiziert wurden, und es besteht keine Chance, dass sie ihre Dateien ohne Zusammenarbeit zurückbekommen. Damit das Opfer den Entschlüsselungsvorgang starten kann, muss es eine E-Mail an eine von zwei Adressen senden. Diese werden am gehostet “engineer.com” und “consultant.com” beziehungsweise.

Kurz darauf wird jemand von UmbreCrypt mit Zahlungsinformationen antworten. Die Ransomware-Mitteilung sagt dem Opfer nicht, wie viel es bezahlen wird, obwohl es dem Opfer sagt, dass die Gebühr multipliziert wird, wenn es nicht innerhalb von 72 Stunden bezahlt wird.

Die Anweisungen von UmbreCrypt weisen das Opfer an, es nicht per E-Mail zu senden “Drohungen und Unhöflichkeit”. Sie bieten sogar ein Beispiel-E-Mail-Format für die Opfer.

HydraCrypt unterscheidet sich geringfügig in der Art und Weise, wie ihre Lösegeldnote ist weit bedrohlicher.

Sie sagen, dass, wenn das Opfer nicht in 72 Stunden bezahlt wird, eine Sanktion verhängt wird. Dies kann eine Erhöhung des Lösegelds oder die Zerstörung des privaten Schlüssels sein, wodurch das Entschlüsseln der Dateien unmöglich wird.

Sie drohen auch, die privaten Informationen zu veröffentlichen. Hier ist, wie viel Ihre Identität im Dunklen Web wert sein könnte Hier ist, wie viel Ihre Identität im Dunklen Web wert sein könnte Es ist unbequem, sich als eine Ware vorzustellen, aber alle Ihre persönlichen Daten Name und Adresse der Bankverbindung sind für Online-Kriminelle etwas wert. Wie viel bist du wert? Lesen Sie mehr, Dateien und Dokumente von Nichtzahlern im Dark Web. Dies macht es zu einer Seltenheit unter Ransomware, da dies eine weitaus schlimmere Folge hat, als dass Sie Ihre Dateien nicht zurückerhalten.

So erhalten Sie Ihre Dateien zurück

Wie bereits erwähnt, hat Fabian Wosar von Emisoft die verwendete Verschlüsselung aufheben können und hat ein Tool veröffentlicht, mit dem Sie Ihre Dateien zurückholen können DecryptHydraCrypt.

Damit es funktioniert, müssen Sie zwei Dateien zur Hand haben. Hierbei sollte es sich um eine verschlüsselte Datei sowie um eine unverschlüsselte Kopie dieser Datei handeln. Wenn sich auf Ihrer Festplatte ein Dokument befindet, das Sie in Google Drive oder in Ihrem E-Mail-Konto gesichert haben, verwenden Sie dieses.

Wenn Sie dies nicht haben, suchen Sie alternativ nach einer verschlüsselten PNG-Datei und verwenden Sie eine beliebige zufällige PNG-Datei, die Sie entweder selbst erstellen oder aus dem Internet herunterladen.

Ziehen Sie sie dann in die Entschlüsselungs-App. Es wird dann aktiv und versucht, den privaten Schlüssel zu ermitteln.

Sie sollten gewarnt sein, dass dies nicht sofort geschieht. Der Entschlüsseler führt einige recht komplizierte Berechnungen durch, um den Entschlüsselungsschlüssel zu ermitteln. Dieser Vorgang kann je nach CPU mehrere Tage dauern.

Wenn Sie den Entschlüsselungsschlüssel erstellt haben, wird ein Fenster geöffnet, in dem Sie die Ordner auswählen können, deren Inhalt Sie entschlüsseln möchten. Dies funktioniert rekursiv. Wenn Sie also einen Ordner in einem Ordner haben, müssen Sie nur den Stammordner auswählen.

Es ist erwähnenswert, dass HydraCrypt und UmbreCrypt einen Fehler aufweisen, bei dem die letzten 15 Bytes jeder verschlüsselten Datei unwiederbringlich beschädigt werden.

Dies sollte Sie nicht zu sehr stören, da diese Bytes normalerweise für das Auffüllen oder nicht unbedingt erforderliche Metadaten verwendet werden. Flusen im Grunde. Wenn Sie Ihre entschlüsselten Dateien jedoch nicht öffnen können, öffnen Sie sie mit einem Wiederherstellungsprogramm.

Kein Glück?

Es besteht die Möglichkeit, dass dies für Sie nicht funktioniert. Das kann verschiedene Gründe haben. Am wahrscheinlichsten ist, dass Sie versuchen, es mit einem Ransomware-Programm auszuführen, das nicht HydraCrypt, CrypBoss oder UmbraCrypt ist.

Eine andere Möglichkeit besteht darin, dass die Hersteller der Malware diese geändert haben, um einen anderen Verschlüsselungsalgorithmus zu verwenden.

Zu diesem Zeitpunkt haben Sie mehrere Möglichkeiten.

Die schnellste und vielversprechendste Wette besteht darin, das Lösegeld zu zahlen. Dies ist ziemlich unterschiedlich, bewegt sich aber im Allgemeinen um die 300-Dollar-Marke und Ihre Dateien werden in wenigen Stunden wiederhergestellt.

Es versteht sich von selbst, dass Sie mit organisierten Kriminellen zu tun haben. Es gibt also keine Garantie, dass die Dateien tatsächlich entschlüsselt werden. Wenn Sie nicht glücklich sind, haben Sie keine Chance, eine Rückerstattung zu erhalten.

Sie sollten auch das Argument berücksichtigen, dass das Bezahlen dieser Lösegeldern die Verbreitung von Ransomware verewigt und es weiterhin für die Entwickler finanziell lukrativ macht, Ransomware-Programme zu schreiben.

Die zweite Möglichkeit besteht darin, in der Hoffnung zu warten, dass jemand ein Entschlüsselungs-Tool für die Malware veröffentlicht, mit der Sie befallen sind. Dies geschah mit CryptoLocker CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! Lesen Sie mehr, wenn die privaten Schlüssel von einem Befehls- und Steuerungsserver durchgesickert wurden. Hier war das Entschlüsselungsprogramm das Ergebnis eines durchgesickerten Quellcodes.

Es gibt jedoch keine Garantie dafür. Häufig gibt es keine technologische Lösung, um Ihre Dateien ohne Lösegeld zurückzubekommen.

Vorbeugen ist besser als eine Heilung

Natürlich ist der effektivste Weg im Umgang mit Ransomware-Programmen, um sicherzustellen, dass Sie gar nicht erst infiziert sind. Wenn Sie einige einfache Vorsichtsmaßnahmen treffen, z. B. das Ausführen eines vollständig aktualisierten Antivirenprogramms, und das Herunterladen von Dateien nicht von verdächtigen Orten aus, können Sie die Wahrscheinlichkeit einer Infektion verringern.

Waren Sie von HydraCrypt oder UmbreCrypt betroffen? Haben Sie Ihre Dateien zurückbekommen? Lass es mich in den Kommentaren wissen.

Bildnachweis: Mit einem Laptop, einem Finger auf dem Touchpad und der Tastatur (Scyther5 über ShutterStock), Bitcoin auf der Tastatur (AztekPhoto über ShutterStock)

Erfahren Sie mehr über: Ransomware.