چگونه باج‌افزار Hydracrypt و Umbercrypt را رمزگشایی کنیم؟

طی سال های اخیر، شاهد انواع مختلف نرم افزارهای مخرب باج‌افزار که برای بازیابی پرونده‌های حساس قفل‌شده‌ی در معرض خطر کاربران، مقدار زیادی پول تقاضا می‌کنند، بوده‌ایم.
همچنین شاهد رمزگشایی بعضی از باج‌افزارها مثل Cryptolocker (جزئی)، Coinvault، و Rescue Kit بوده‌ایم.
یک راه حل نوظهور برای رمزگشایی باج‌افزار، ملقب به Hydracrypt و Umbercrypt که توسط بسته‌ی نفوذیAngler تبلیغ شده، منتشر شده است.
هر دو از نرم افزارهای مخرب متعلق به CrypBoss از خانواده‌ی باج‌افزار هستند.
کد منبع باج‌افزار CrypBoss سال گذشته در Pastebin لو رفت، که بعداً توسط فابین وُسار، محقق امنیتی در Emsisoft تجزیه و تحلیل شد.
با کمک کد منبع CrypBoss، وُسار موفق به شکستن الگوریتم رمزنگاری باج‌افزار شد و به سرعت ابزار رمزگشایی برای CrypBoss و انواع آن را (Hydracrypt و Umbercrypt) ساخت.
کشف شده است که هر دوی Umbercryptو Hydracrypt پیشینه‌ی یکسانی با باج‌افزار CrypBoss دارند، البته با تغییرات کوچکی در پیاده‌سازی که توسط نویسندگانشان ایجاد شده است.
وُسار اعلام کرد: «متأسفانه تغییرات ایجادشده توسط نویسندگان Hydracrypt و Umbercrypt باعث می‌شود که تا ۱۵ بایت در پایان پرونده‌ به صورت غیرقابل بازگشتی آسیب ببیند.»
بایت‌های آسیب‌دیده در پرونده‌‌های رمزنگاری‌شده (در اکثر موارد) بی‌اهمیت هستند. زیرا می‌توانند به عنوان یک داده‌ی بافر یا بایت انتهایی استفاده شوند، که می‌توان آن‌ها را به سادگی توسط هر ابزار تعمیر پرونده‌ی دوباره‌‌ی ساخت (برای آن ۱۵ بایت).
این مسأله روی بیشتر فرآیند رمزگشایی تأثیر نمی‌گذارد. به طوری‌که ۹۹ درصد پرونده‌‌ها بدون هیچ‌گونه آسیبی توسط ابزار رمزگشای منتشرشده که به صورت رایگان برای بارگیری در دسترس است، بازیابی می‌شوند.

چگونه پرونده‌‌های باج‌افزار را رمزگشایی کنیم؟
با دوبار کلیک کردن روی پرونده‌ی‌ اجرایی رمزگشا فرآیند رمزگشایی را شروع می‌شود و می‌توانید هنگامی‌که کار تکمیل شد، کلید را دریافت کنید. زمان صرف‌شده برای شکستن رمزنگاری بستگی به قدرت فلیپ فلاپ سامانه‌ی شما نیز دارد.
هنگامی‌که کلید رمزگشایی تولید شد، بهتر است که آن را به صورت یک رونوشت سخت ذخیره کنید (با نوشتن روی کاغذ). حالا می‌توانید ابزار رمزگشا را اجرا کنید و پوشه‌های مورد نظر را برای باز شدن، انتخاب کنید. کلید را هنگامی‌که ابزار رمزگشا خواست، وارد کنید.
به کاربران توصیه می‌شود که برای جلوگیری از آشفتگی موارد زیر را رعایت کنند:
– برای بررسی این‌که روش رمزگشایی به درستی اجرا می‌شود، ابتدا رمزگشا را برای تعداد کمی از پرونده‌‌ها اجرا کنید.
– این مسأله از تلف شدن وقتتان جلوگیری می‌کند.
– مطمئن شوید که آیا فضای کافی در دیسک سخت برای اجرای رمزگشایی وجود دارد.

چگونه مطمئن شویم که اطلاعات رمزگشایی‌شده‌ی ما قانونی است؟
اگرچه تیم امنیتی اظهار داشته است که ممکن است نتیجه‌ی رمزگشایی صحیح نباشد، زیرا باج‌افزار، متأسفانه هیچ اطلاعاتی را درباره‌ی پرونده‌ی‌ اصلی باقی نمی‌گذارد.
برای اطمینان از بازیابی درست پرونده‌‌ها، در ابتدا باید پرونده‌‌های رمزگذاری‌شده را همراه نسخه‌ی اصلی آن‌ها (در جایی از ابر خود یا هر جای دیگر) انتخاب کنید و بعد با یک کشیدن و رها کردن ساده، تحویل به رمزگشا بدهید.
(توجه: اگر نتواستید نسخه‌ی اصلی را پیدا کنید، آن‌گاه می توانید یک پرونده‌‌ی رمزگذاری‌شده به صورت تصادفی و یک عکس PNG تصادفی را از اینترنت دریافت کنید.)
اگر خروجی حاصل، قانونی باشد آن‌گاه می‌توانید همین کار را بر روی دیگر پرونده‌‌های باقی‌مانده انجام دهید. به دلیل این‌که الگوریتم مشابهی روی پرونده‌‌های رمزگذاری‌شده‌ی باقی‌مانده اجرا می‌شود، در نتیجه شما می‌توانید پرونده‌‌های خود را به صورت عادی دریافت کنید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap