Umbrecrypt

W jaki sposób odzyskać pliki zaszyfrowane przez Hydracrypt i Umbrecrypt

Author: \ luty 26, 2016 \ Aktualności \ 2 komentarze

Ostatnio coraz powszechniejsze jest szkodliwe oprogramowanie ransomware, które szyfruje pliki na dysku twardym ofiary. Aby odzyskać utracone dane, należy zapłacić „okup” (ang. ransom), jednak istnieją również alternatywne rozwiązania tego problemu.

Ransomware to złośliwe oprogramowanie, które atakuje nasze prywatne pliki i uniemożliwia ich otwarcie. Dodatkowo pojawia się komunikat, który informuje, że jeśli nie zapłacimy określonej kwoty (poprzez BitCoin, umożliwiający anonimowe transakcje), to dane przepadną na zawsze (w przypadku Hydracrypt czas na uregulowanie zapłaty wynosi 72 godziny). Użytkownikom przypisany zostaje numer identyfikacyjny, który muszą podać hakerom, by otrzymać klucz deszyfrujący oraz aplikację, dzięki której dane zostaną odzyskane. W praktyce nie zawsze jest to możliwe, nawet jeśli zastosujemy się do instrukcji, a ulegając żądaniom tak naprawdę wspieramy proceder.

Walka z ransomware

Ten „nowy” typ złośliwego oprogramowania jest prawdziwą zmorą użytkowników internetu, a jego ekspansja jest niezwykle dynamiczna. Chociaż programy tego typu powstawały już wcześniej, sama analiza Google Trends pokazuje, że jest to problem, który w grudniu 2014 roku był wyszukiwany aż pięć razy rzadziej niż w lutym 2016 roku, natomiast przed rokiem 2012 był zjawiskiem marginalnym. Śledząc obecną sytuację możemy się spodziewać, że w najbliższych latach ransomware może być jednym z głównych problemów obniżających bezpieczeństwo w sieci.

W odpowiedzi na rosnące zagrożenie pojawiły się narzędzia do samodzielnego odszyfrowywania plików. Niektóre z nich to Cryptolocker, Coinvault i Rescue Kit. Działanie nowych ransomeware, np. Hydracrypt i Umbrecrypt (należących do rodziny CrypBoss Ransomware), może być również zneutralizowane dzięki metodzie opracowanej przez Fabiana Wosara z Emsisoft, po tym, gdy kod źródłowy szkodliwego oprogramowania wyciekł do sieci. Udało mu się złamać algorytm szyfrujący stosowany przez aplikacje CrypBoss. Odzyskanie danych jest możliwe w przypadku 99% plików, ponieważ samo złośliwe oprogramowanie szyfrujące uszkadza ostatnie 15 bajtów pliku. Zwykle są to dane buforowe, których utrata nie wiąże się z groźnymi konsekwencjami – pliki można zreperować dowolnym programem przeznaczonym do tego typu zadań. Program deszyfrujący pliki zaatakowane przez ransomware udostępniony został tutaj.

Odzyskiwanie danych

Aby odzyskać dane, najpierw należy uzyskać klucz. Po pobraniu aplikacji musimy ściągnąć z internetu dowolny obrazek z rozszerzeniem PNG. Gdy ulegnie on zaszyfrowaniu przez złośliwe oprogramowanie, ściągamy go ponownie, by dysponować tym samym plikiem w wersji zaszyfrowanej i niezaszyfrowanej. To właśnie porównanie obydwu plików przez aplikację Emisoft jest punktem wyjściowym do uporania się ze szkodliwymi programami CrypBoss, takimi jak Hydrasoft czy Umbrecrypt. Gdy już je posiadamy, należy zaznaczyć oba pliki i przeciągnąć na ikonkę programu deszyfrującego.

Dzięki analizie obydwu plików program będzie mógł pozyskać klucz szyfrujący. Należy się uzbroić w cierpliwość, jest to bowiem zadanie czasochłonne i uzależnione od mocy obliczeniowej komputera – odzyskanie klucza może trwać nawet kilka dni, jednak gdy już nam się to uda, możemy rozpocząć proces automatycznego deszyfrowania plików komputera. Warto zrobić kopię zapasową klucza poza komputerem, chociażby przez zrobienie zdjęcia smartfonem (klucz jest długi, posiada wielkie i małe litery, wobec czego spisanie go na kartkę może być problematyczne). Proces automatycznego łamania szyfru najlepiej zacząć na małej ilości plików, by zobaczyć, czy klucz jest prawidłowy. Należy uwzględnić też czynniki takie jak posiadanie wystarczającej ilości miejsca na dysku twardym, potrzebnej by utworzyć odzyskane kopie plików.

Ochrona przed ransomware

Ransomware jest wirusem rozprzestrzenianym w internecie na wszelkie możliwe sposoby – poprzez e-mail, fałszywe instalatory, sieci P2P. Istotne jest posiadanie dobrego oprogramowania antywirusowego oraz dokonywanie częstych aktualizacji. Program powinien zawierać zestaw narzędzi umożliwiających kompleksową ochronę komputera. Należy przy tym korzystać ze sprawdzonych zasobów internetowych. Atakowane są pliki, warto więc pamiętać o regularnym tworzeniu kopii zapasowych ważnych danych, np. w chmurze.

Gdy już padniemy ofiarami ataku, warto spróbować rozwiązać problem we własnym zakresie, poprzez poszukanie rzetelnych informacji i metod odzyskania zaszyfrowanych plików. Zapłacenie „okupu” nie gwarantuje, że faktycznie uda nam się uratować dane.

Tags: , ,
Powiązane posty

Curador ucieka z więzienia

lipiec 7, 2001

Nowości filmowe legalnie w sieci?

lipiec 7, 2005

Operation Bucaneer

grudzień 22, 2001
  • Marko

    A jak sie ma, gdy mamy zaszyfrowane pliki trucryptem i jest yo szyfrowanie rsa2048?

  • hoaxer

    Z tego co mi wiadomo to Cryptowall używa tego szyfrowania. Jest to dość skomplikowane żeby odszyfrować RSA-2048. Z pewnością należało by w jakiś sposób uzyskać dostęp do klucza prywatnego. Klucz publiczny służący do zaszyfrowania plików z pewnością musiał być przetransporotowany na komputer „ofiary” a klucz prywatny slużący do deszyfrowania …hmmm no cóż… wiadomo kto jest w jego posiadaniu xD

©2016 - Hacking.pl. Wszystkie prawa zastrzeżone ;-)