Ang Bagong Tool ay Tumutulong sa Mga Biktima na Labanan ang Bitcoin Ransomware

I-UPDATE (Abril 17, 2015 10:36): Nagdagdag ang Kaspersky Lab ng isang karagdagang 711 decryption key sa database nito.

Ang Kaspersky Lab ay naglabas ng isang bagong tool upang matulungan ang mga libreng computer file na 'na-hostage' ng Bitcoin ransomware.

Ang CoinVault, na nag-impeksyon sa humigit-kumulang 700 mga computer sa Netherlands, ay isang strain ng malware na nangangailangan ng tumataas na halaga ng Bitcoin upang i-unlock ang mga file na na-encrypt nito.

Salamat sa Kaspersky's ransomware decrypter, maa-access na ngayon ng ilang partikular na biktima ang kanilang mga file nang walang bayad.

Nalikha ang tool pagkatapos ibahagi ng mga awtoridad ng Dutch <a href="https://www.politie.nl/nieuws/2015/april/13/11politie-zorgt-voor-doorbraak-in-recente-cryptoware-aanval.html">https://www.politie.nl/nieuws/2015/april/13/11politie-zorgt-voor-doorbraak-in-recente-cryptoware-aanval.html</a> isang database ng impormasyon ng CoinVault (kabilang ang mga IV, key at Bitcoin wallet) sa kumpanya bilang bahagi ng isang imbestigasyon.

Sinabi ni Jornt van der Wiel, isang security researcher sa global research and analysis unit ng Kaspersky, sa CoinDesk na umaasa ang kumpanya na magdagdag ng higit pang mga decryption key sa database nito. Sabi niya:

"Nag-upload kami ng malaking bilang ng mga susi sa site, at kasama ang National High Tech Crime Unit ng Netherlands' police, patuloy kaming nag-a-update ng impormasyon."

Magbabayad o hindi magbabayad

Bagama't natuklasan ng Kaspersky at ng mga awtoridad ng Dutch ang isang malaking bahagi ng data, ang mga user na ang mga susi ay wala sa listahan o ang mga na-target ng ibang uri ng ransomware ay nananatiling naka-lock.

Kapag nahaharap sa problemang ito, ang ilang mga biktima - kabilang ang mga departamento ng pulisya – pinipiling magbayad at umaasa sa pinakamahusay.

"Dahil kakaunti ang paraan para maibalik ang mga file nang hindi nagbabayad, kadalasang sumusuko ang mga user. Ito ang maling diskarte, ngunit kadalasan ito ang pinakamadali para sa user," sabi ni Van der Wiel.

Bilang karagdagan, ang mga pulis sa pagsisiyasat ng CoinVault ay nangangatuwiran na ang pagbabayad ay T palaging nangangahulugan na maibabalik mo ang mga file. Sa halip, ang pag-uugali na ito ay nagpapatuloy sa problema. Ang isinaling pahayag mula sa departamento ay nagbabasa ng:

"[Ang pagbabayad] ay nag-uudyok sa mga kriminal na patuloy na gamitin ang paraan ng pagbabayad na ito, at higit pa rito ay hindi palaging humahantong sa aktwal na pagpapalaya."

Sa katunayan, ipinakita ng isang pag-aaral noong 2014 mula sa security firm na ESNET na sa 39,760 tao na nagbayad ng ransom ng isang katulad na virus, Cryptolocker, 570 lang ay binigyan ng access sa decryption software pagkatapos gawin ang kanilang pagbabayad.

Dahil ang mga file ay maaaring makuha lamang kung ang mga tool tulad ng Kaspersky ay nilikha, ang pinakamahusay na pagpipilian, sabi ni Van der Wiel, ay proteksyon. Dapat KEEP na-update ng mga user ang kanilang anti-malware suite at ugaliing i-back up ang kanilang pinakamahahalagang file, idinagdag niya.

Tungkol sa CoinVault

Unang nakuha ng Kaspersky Lab ang CoinVault noong nakaraang Nobyembre. Ang virus, na naka-target sa higit sa 20 bansa, ay kadalasang nakakakuha ng access sa mga makina ng mga biktima sa pamamagitan ng mga phishing na email o mga link sa mga nakakahamak na website.

Hindi tulad ng iba pang mga strain, kabilang ang Cryptolocker, hinahayaan ng CoinVault ang mga biktima na i-decrypt ang ONE file 'sa bahay' - marahil upang maibsan ang mga alalahanin na ang mga dokumento ay mananatiling naka-lock pagkatapos maisagawa ang isang pagbabayad.

Pagkatapos ng 24 na oras ang ransom ay magsisimulang tumaas. Dahil ang Bitcoin address na ibinibigay ng CoinVault ay "dynamic", napakasalimuot na subaybayan ang mga pondong natatanggap nito, sabi ni Van der Wiel. Ang mga tagalikha ng CoinVault ay masigasig na protektahan din ang kanilang produkto, idinagdag niya:

"Sa mga tuntunin ng functionality, nakakita kami ng mga katulad na nakakahamak na application sa nakaraan, kabilang ang 'TorrentLocker' at ilang PowerShell ransomware. Sa katunayan, ang halaga ng pagsisikap na namuhunan sa pagprotekta sa code ng CoinVault ay nagpapakita na ang mga cybercriminal ay gumagamit ng mga naunang binuo na library at functionality upang maiwasan ang muling pag-imbento ng gulong."

Ang mga awtoridad ay walang ginawang anumang pag-aresto kaugnay ng CoinVault, ngunit sinasabi nila na iniimbestigahan pa rin nila ang salarin, na pinaniniwalaang nasa Netherlands.

Mahahanap ng mga user ang tool sa pag-decryption sa Kaspersky's website, na nagtatampok din ng decryption app ng kumpanya at mga gabay na 'paano' sa paksa.

Larawan sa keyboard sa pamamagitan ng Shutterstock