Καλέστε μας:
2310 402675
Θεσσαλονίκη
210 3314829 Αθήνα

Από ιούς Ransomware

Τα τελευταία χρόνια υπάρχει έξαρση στους λεγόμενους Ransomware Viruses, οι οποίοι επίσης κυκλοφορούν με διάφορες ονομασίες όπως Cryptowall, Troldesh, Locky, Helpme κλπ

 

ΓΕΝΙΚΑ

Ο τρόπος λειτουργίας τους είναι λίγο - πολύ ο ίδιος:
Ο υπολογιστής μολύνεται με τον ιο (συνήθως από κάποιο παραπλανητικό email που ζητάει να γίνει click σε κάποιο link ή από επίσκεψη σε ιστοσελίδες αμφιβόλου ποιότητας), ο οποίος κρυπτογραφεί τα δεδομένα με AES256 κρυπτογράφηση και στέλνει το κλειδί στον επιτιθέμενο.
Το αποτέλεσμα είναι τα αρχεία να γίνονται μη-λειτουργικά, με περίεργες επεκτάσεις (πχ. Scan001.locky ή σε γενικές γραμμές scan001.jpg.*) και είναι αδύνατον να χρησιμοποιηθούν.

Ανάκτηση ransom tesla locky

Στη συνέχεια ο ιός δημιουργεί μια αρχική οθόνη στην οποία ο χρήστης ενημερώνεται για το γεγονός ότι τα δεδομένα του δίσκου έχουν κρυπτογραφηθεί και ζητείται να καταβληθούν λύτρα έτσι ώστε να τους δοθεί το κλειδί για την αποκρυπτογράφηση των δεδομένων. Συνήθως τα λύτρα καταβάλλονται μέσω bitcoin και η όλη διαδικασία γίνεται μέσω Tor για να μην είναι δυνατός ο εντοπισμός των δραστών.

Αξίζει να σημειωθεί πως ακόμα και αν καταβληθεί το ποσό που ζητείται, δεν υπάρχει καμία εγγύηση ότι οι δράστες θα παραχωρήσουν το κλειδί για την αποκρυπτογράφηση.

Επίσης αξίζει να σημειωθεί πως η αρχική έκδοση του ιου στόχευε μόνο Windows Servers (και κυρίως τις εκδόσεις 2003 και νωρίτερες) οι οποίοι είχαν ενεργοποιημένο το ενσωματωμένο Remote Desktop των Windows στην default port (3389). Οι δράστες αξιοποιούσαν ένα κενό ασφαλείας της συγκεκριμένης εφαρμογής, εγκαθιστούσαν τον ιό στον δίσκο, κρυπτογραφούσαν τα δεδομένα με τη δημιουργία ενός random κλειδιού 128bit το οποίο έστελναν στον εαυτό τους και στη συνέχεια το διέγραφαν από τον τοπικό δίσκο με sdelete έτσι ώστε να μην είναι δυνατή η ανάκτηση του ίχνους του.
Στη συνέχεια ο ιός εξελίχθηκε με 256bit κρυπτογράφηση και με μη-αποθήκευση του κλειδιού τοπικά έτσι ώστε να είναι αδύνατη η αποκρυπτογράφηση των δεδομένων.

ανάκτηση δεδομένων ransom crypto locky

Θα πρέπει επίσης να τονίσουμε πως ο ιός στοχεύει σε όλους τους τοπικούς δίσκους του υπολογιστή, καθώς και σε όλους τους εξωτερικούς που είναι συνδεδεμένοι αλλά και στους δικτυακούς δίσκους. Γενικά, χτυπάει όλους τους δίσκους που έχουν γράμμα δίσκου (C:, D:, X: κλπ)

Πως λειτουργούν οι Ransom/Crypto Ιοί:


1. Ο υπολογιστής μολύνεται από άνοιγμα links ή επισυναπτόμενων των email ή μέσω ιστοσελίδων. Ο ιός εγκαθίσταται στον υπολογιστή που δέχεται την επίθεση. Δεν ζητείται η συγκατάθεση του χρήστη.
2.Ο ιός επικοινωνεί με τον server του επιτιθέμενου και ζητάει ένα public RSA κλειδί. Το public RSA κλειδί μπορεί να κρυπτογραφήσει αλλά όχι να αποκρυπτογραφήσει.
3. Ο ιός δημιουργεί ένα AES κλειδί (μερικές φορές δημιουργεί ένα κλειδί για κάθε αρχείο) και κρυπτογραφεί το αρχείο χρησιμοποιώντας AES κρυπτογράφηση. Το πρωτότυπο αρχείο στη συνέχεια διαγράφεται.
4. Το AES κλειδί κρυπτογραφείται με το Public RSA κλειδί και αποθηκεύεται σε κάποιο σημείο του κρυπτογραφημένου αντιγράφου του πρωτότυπου αρχείου.
5. Ο ιός ενημερώνει το θύμα για το συμβάν και ζητά λύτρα για την αποκρυπτογράφηση.

 

Το πρόβλημα:


Χωρίς το Private RSA κλειδί από το server του επιτιθέμενου είναι αδύνατον να αποκρυπτογραφηθούν τα κλειδιά AES και επομένως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα.

 

H Λύση:


Ο μόνος τρόπος για την αποκρυπτογράφηση των δεδομένων που έχουν προσβληθεί από ιούς για τους οποίους δεν υπάρχει λύση, είναι με την απόκτηση των Private RSA κλειδιών και υπάρχουν δύο πιθανές λύσεις για αυτό:
cerber ανάκτηση δεδομένων1. Να πληρωθούν τα λύτρα. Το αποτέλεσμα δεν είναι εγγυημένο, φυσικά, και η πληρωμή του ποσού βοηθάει στην εξάπλωση του προβλήματος με τη δημιουργία κι άλλων αντίστοιχων ιών.
2. Η αναμονή. Με "κάποιον" τρόπο μπορεί να αποκτηθούν τα κλειδιά και να είναι δυνατή η αποκρυπτογράφηση. Επίσης δεν υπάρχει καμία εγγύηση πως κάτι τέτοιο θα συμβεί.

Υπάρχουν πολλές φορές κενά στον τρόπο με τον οποίο έχει γραφτεί ο κώδικας για την λειτουργία των ιών αυτών, αλλά ο εντοπισμός του κενού και η εκμετάλλευσή του απαιτούν ανάλυση και Reverse Engineering.

Πλέον κυκλοφορούν εκατοντάδες παραλλαγές του αρχικού ιού, πιο εξελιγμένες και πολλές φορές αδιαπέραστες. Μπορεί ακόμα κάποιος που δεν έχει καμία γνώση προγραμματισμού να αγοράσει έτοιμα kits, να τα τροποποιήσει και να αρχίσει τη διασπορά τους με σκοπό να πιάσει ανυποψίαστους ή απρόσεκτους χρήστες και να τους εκβιάσει.

Στην Northwind Data Recovery υπάρχουν μηχανικοί λογισμικού οι οποίοι έχουν συμβάλλει στην εξεύρεση τρωτών σημείων σε πολλούς από τους ιούς που κυκλοφορούν, με αποτέλεσμα να είναι δυνατή η αποκρυπτογράφηση των δεδομένων.tesla .xxx .mp3 .micro .ecc ανάκτηση δεδομένωνΓια να ενημερωθείτε αν μπορούμε να σας βοηθήσουμε να αποκρυτπογραφηθούν τα δεδομένα σας, ακολουθήστε τις εξής οδηγίες:

  • Στείλτε μας σε ένα email 2-3 κρυπτογραφημένα αρχεία
  • Στείλτε μας στο ίδιο email το ransom note που αφήνει ο ιός. Συνήθως αυτό είναι αρχείο .txt .html κλπ ονομασία τύπου help_decrypt.txt, decrypt_info.txt κλπ και υπάρχει σε όλους τους κρυπτογραφημένους φακέλους
  • Αν υπάρχει, στείλτε μας και ένα αρχείο κρυπτογραφημένο, μαζί με την κανονική του έκδοση που πιθανώς να έχετε από κάποιο παλιότερο backup.
  • Μην μας στέλνετε τροποποιημένα / αλλοιωμένα αρχεία από άλλες προσπάθειες που πιθανώς έχετε κάνει.

Στη συνέχεια κάποιος εξειδικευμένος τεχνικός μας θα απαντήσει με τα αποτελέσματα της ανάλυσης των αρχείων που στείλατε.

Find us

WD Trusted Partners

Συχνές Ερωτήσεις

  • για Σκληρούς Δίσκους >

    Συχνές ερωτήσεις για την ανάκτηση δεδομένων σκληρών δίσκων Ο δίσκος μου χτύπησε!! Τι να κάνω? Αν διαπιστώσετε πρόβλημα στο μέσο Read More
  • για συστήματα RAID >

    Συχνές ερωτήσεις για την ανάκτηση δεδομένων συστημάτων RAID Το σύστημα RAID / NAS Box σταμάτησε να λειτουργεί. Τι να κάνω? Αν Read More
  • για USB & Memory Stick >

    Συχνές ερωτήσεις για την ανάκτηση δεδομένων USB Stick & Καρτών Μνήμης Το USB Stick / Η κάρτα μνήμης δεν αναγνωρίζεται. Τι Read More
  • 1