バックアップはありますか? 分散コンピューティングを使用して 1024 ビット RSA キーを直接攻撃する無駄な試みに関するセキュリティ コミュニティのコメントに応えて、Kaspersky Lab は現在、合理的に 暗号化されたデータのバックアップが不足している影響を受けるエンド ユーザーには、データ回復ツールを利用することを推奨します。現在、暗号化されたファイルを復号化することはできません。 GPコード。
バックアップはありますか? 直接攻撃する無駄な試みに対するセキュリティコミュニティのコメントに応えて、 分散コンピューティングを使用して 1024 ビット RSA キーを攻撃する、カスペルスキー 今では合理的に推奨しています 暗号化されたデータのバックアップが不足しているエンド ユーザーが影響を受ける場合は、データ回復ツールを利用してください。
現時点では、Gpcode.ak によって暗号化されたファイルを復号化することはできません。
秘密鍵。 ただし、暗号化されたファイルを元の状態に復元できる方法があります。 ファイルを暗号化するとき、Gpcode.ak は暗号化するファイルの隣に新しいファイルを作成します。 Gpcode は、元のファイル データの暗号化されたデータをこの新しいファイルに書き込み、元のファイルを削除します。 ディスク上のデータが大幅に変更されない限り、削除されたファイルを復元できることが知られています。 これが、最初からユーザーにコンピュータを再起動せず、代わりに当社に連絡することをお勧めした理由です。 私たちは、問い合わせをしてきたユーザーに対し、ディスクから削除されたファイルを復元するためにさまざまなユーティリティを使用するように指示しました。 残念ながら、利用可能なユーティリティのほとんどはシェアウェアです。私たちは、Gpcode によって削除されたファイルの復元に役立つ、効果的でアクセスしやすいユーティリティを提供したいと考えていました。 私たちは何を決めたのでしょうか? PhotoRec と呼ばれる優れた無料ユーティリティ。Christophe Grenier によって作成され、General Public License (GPL) の下で配布されています。
GPcode ランサムウェアが元のファイルを削除するプロセスの弱点を利用して、GPcode ランサムウェアによって暗号化されたファイルを復元する方法を調べます。その理由は次のとおりです。 暗号化アルゴリズムを直接攻撃することは最初から無駄な試みでした。マルウェア作成者は今後どのように適応するのでしょうか、そして何ができるでしょうか それについて?
以前の投稿でも指摘しましたが、「GPcode ランサムウェアの背後にいるのは誰ですか?「たとえ彼らが成功したとしても、
今回は暗号化アルゴリズムを実装しましたが、このプロセスにおける唯一の弱点は、マルウェア作成者が安全にデータを削除していないという事実です。 元のファイルは、データ カービング技術を使用したり、単純なポイント アンド クリック フォレンジックを使用したりして復元できるようになります。 ソフトウェア。 バックアップが存在しない場合は、すべてのバックアップが存在するわけではないことを考慮して、ある程度の限界的な考え方を適用する必要があります。 影響を受けたファイルは回復できるため、1,000 個中 500 個を回復する方が、何も回復しないよりも優れています。 そうじゃない? どのようなアプローチを取るにしても、状況に適応するよう努め、お金を払わないでください。 詳細については、 Kaspersky がリリースした Stopgpcode ユーティリティ:回復プロセスを完了するために、復元されたファイルを並べ替えて名前を変更する StopGpcode という無料のユーティリティを作成しました。 このユーティリティはディスク全体を処理し、暗号化されたファイルと復元されたファイルのサイズを比較します。 プログラムは、復元された各ファイルの元の場所と名前を決定するための基礎としてファイル サイズを使用します。 ユーティリティは、各ファイルの正しい名前と場所を決定し、「sorted」という名前のフォルダー内に元のフォルダーとファイル名を再作成しようとします。 ユーティリティが元のファイル名を特定できない場合、ファイルは「conflicted」というフォルダーに保存されます。
のそばに PhotoRec の使用に関するステップバイステップのチュートリアル、データ回復ユーティリティでは、次のこともできます。 プロセスのビデオを見る、または使用を検討してください サードパーティのデータ回復ユーティリティ 彼らの隣に ウェブベースの代替手段.
そもそも分散クラッキングはなぜ無駄だったのでしょうか?
その主な理由は、投資収益率の測定が容易でないことと、実際の状況での適用性が欠如しているためであり、単純に開始することもできたはずです。 バリアントごとに新しく強力なキーを持つ GPcode バリアントを使用する. また、マルウェア作成者は、すべてのキャンペーンの秘密キーを含むユニバーサル復号化プログラムをリリースせず、代わりにカスタム構築された復号化プログラムを提供するという賢明さも備えていました。 影響を受ける当事者は、まず暗号化プロセスで使用される公開キーを要求し、その後、その公開キーを使用して暗号化されたファイルに対してのみ機能する顧客向けの復号化ツールを出荷します。 質問。 できる限り多くのホストへの感染を試みるマルウェア亜種の大部分と比較して、GPcode が現在ターゲットとしているアプローチは、効率性をある程度犠牲にして品質を重視しています。
マルウェア作成者は将来どのように適応するのでしょうか?
Gpcodeの作者によると、または復号リクエストの処理を担当する担当者は、より強力な暗号化を備えた新しいバージョンがすでに提供されています。 アンチサンドボックス、ポリモーフィズム、自己増殖などの汎用マルウェア機能を含む開発中 能力。 これにより、たとえば、当面は GPcode の作成者が使用する 4 通の電子メールのうち 2 通が、 感染した当事者にわざわざ返信することすら面倒なので、GPcode が開始されることを考えると、応答の遅れが想像できるでしょう。 自己増殖する。 基本的に、影響を受ける人の数が彼らの数を上回る状況に陥るだろう。 誰かが喜んでお金を払ったとしても、カスタム構築された復号器をタイムリーに提供する機能 身代金。
GPcode ランサムウェアの大失敗全体が徐々にバックアップ会社のマーケティング武器となり、恐怖を煽る戦術として GPcode を使用できるようになりました。 マルウェアのないバックアップ またまたです それらの有用性を私たちに思い出させます.