Antivírusové spoločnosti Android ransomwarom strašili, dešifrovací nástroj musel spraviť študent

Značky: Androidmalvérransomvéršifrovanie

DSL.sk, 19.6.2014

Potom ako prvá antivírusová spoločnosť informovala na začiatku mesiaca o prvom ransomware pre Android šifrujúcom súbory užívateľov ale žiadna antivírusová spoločnosť nevydala nástroj na ich dešifrovanie, takýto nástroj vytvoril a v utorok sprístupnil študent z univerzity v Sussexe.

Ako sme informovali v tomto článku, na začiatku júna informovala o prvom šifrujúcom ransomware označenom Android/Simplocker.A ako prvá slovenská antivírusová spoločnosť Eset.

Ransomware v podobe aplikácie evidentne v zachytenej verzii cielený na rusky hovoriace krajiny po spustení v pozadí vyhľadá na SD karte súbory s koncovkami jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 a zašifruje ich algoritmom AES s 256-bitovým kľúčom. Následne za odomknutie žiada výkupné vo výške v prepočte cca 16 eur.

Eset, ktorý ransomware získal podľa informácií analytika Róberta Lipovského pre DSL.sk od distribútora svojich produktov, nasledovali s informáciami o škodlivom kóde ďalšie antivírusové spoločnosti.

Ako server DSL.sk, ako prvý, na základe informácií Lipovského informoval, ransomware je ale pomerne amatérsky a na šifrovanie používa pevný kľúč zabudovaný vo svojom kóde. Odšifrovanie zašifrovaných súborov je tak triviálne.

Antivírusové spoločnosti síce upozorňovali na tento ransomware ako ďalšiu hrozbu pre Android, niektoré vrátane Esetu ale neeticky vo svojich oznámeniach ani neinformovali o jednoduchej odšifrovateľnosti dát. Zároveň žiadna počas uplynulých takmer dvoch týždňov nevydala nástroj odšifrovávajúci zašifrované súbory a spoločnosti typicky odporúčali inštalovanie antivírusových aplikácií.

Oznam trojana Simplocker.A a zašifrované súbory na zariadení

Simon Bell, študent z univerzity v Sussexe, tak uvedený ransomware analyzoval a v utorok sprístupnil Java triedu dešifrujúcu ransomwarom zašifrované súbory. Zároveň tým samozrejme odhalil použitý kľúč, ktorý je vytvorený ako kontrolná hash SHA-256 suma z hesla jndlasf074hr.

Bell síce nesprístupnil aplikáciu pre Android, zverejnenú Java triedu môžu ale technicky zdatnejší užívatelia použiť na vytvorenie takejto aplikácie respektíve ešte jednoduchšie ju môžu použiť na dešifrovanie súborov priamo na PC.

Až následne po sprístupnení nástroja informovala o vyvinutí podobného nástroja antivírusová spoločnosť Avast, ktorá sprístupnila nástroj v podobe komfortnej Android aplikácie avast! Ransomware Removal.

Samozrejme sa dá predpokladať, že Simplocker.A budú nasledovať sofistikovanejšie šifrujúce ransomwary s kvalitným manažmantom kľúčov bez možnosti odšifrovania súborov. Odporúčaním tak zostáva najmä svoje dáta a to aj z mobilných zariadení zálohovať a tým predísť ich strate po zašifrovaní ransomwarom.




Najnovšie články:



Diskusia:

facebook Od: unikovy_vychod | Pridané: 19.6.2014 10:16 ani vám nejde fasabúk ?? Odpovedať Známka: -9.0 Hodnotiť:

Re: facebook Od: 6aaaaaa | Pridané: 19.6.2014 10:19 nejde uz od cca 02:00 nocnyxh hodin Odpovedať Známka: -3.6 Hodnotiť:

Re: facebook Od: 6aaaaaa | Pridané: 19.6.2014 13:04 inak boli ste v noci o 2:00 aj hore? teda ti, co minuskuju... Odpovedať Známka: -5.4 Hodnotiť:

Re: facebook Od: neznečistuj | Pridané: 19.6.2014 15:22 boli ale nie kvôli Fujbuku Odpovedať Známka: 7.5 Hodnotiť:

Re: facebook Od: Otázka pre redakciu | Pridané: 19.6.2014 20:17 Neskúsite zistiť či je stým FB ? Videl som tu sťažnosti, ale mne fungoval, lebo som šiel cez VPN v Zurichu... teraz mi prestal ísť, ale zmenil som krajinu a frčím dalej ... Odpovedať Známka: -2.0 Hodnotiť:

Re: facebook Od: grun | Pridané: 19.6.2014 10:23 NSA asi robi hlbkovy audit ;) Odpovedať Známka: 9.5 Hodnotiť:

Re: facebook Od: 6aaaaaa | Pridané: 19.6.2014 13:03 FBI aktualizovala slovnik slov, tak spustili rescan SQL databazy a asi to kus vytazili Odpovedať Známka: 5.0 Hodnotiť:

Re: facebook Od reg.: pocitujlasku | Pridané: 19.6.2014 10:27 rano isiel, co len teraz budeme robit? este chvilu pockam a potom utekam do ulic s fotkami rannej stolice a budem kricat: daj mi lajk, daj mi lajk... Odpovedať Známka: 7.4 Hodnotiť:

Re: facebook Od: fuj feka | Pridané: 19.6.2014 15:22 To čo som ráno urobil by sa tam nezmestilo. Odpovedať Známka: 6.0 Hodnotiť:

asdadfgs Od: asasasa | Pridané: 19.6.2014 10:17 a preto teraz nejde fb ? :D Odpovedať Známka: -5.4 Hodnotiť:

Re: asdadfgs Od: Rubick | Pridané: 19.6.2014 10:26 Tak vám treba, dúfam, že ani nepôjde. Odpovedať Známka: 9.4 Hodnotiť:

Re: asdadfgs Od: rubikon | Pridané: 19.6.2014 14:46 ty asociál Odpovedať Známka: -3.8 Hodnotiť:

faceb Od: neiom | Pridané: 19.6.2014 10:28 už ide Odpovedať Známka: -8.7 Hodnotiť:

Re: faceb Od reg.: raketa | Pridané: 19.6.2014 10:31 ideeeeeee Odpovedať Známka: -7.1 Hodnotiť:

hluhluhluhlupppi Od: 6aaaaaa | Pridané: 19.6.2014 10:42 student nevie ako sa zaraba. vidiet, ze ho vydrziavaju rodicia a platia mu skolne, tak vo volnom case robi pracu za inych. AV spolocnosti cakali kym sa to viac rozsiri, a potom na tom zarobia Odpovedať Známka: -2.9 Hodnotiť:

Re: hluhluhluhlupppi Od: quix_ | Pridané: 19.6.2014 11:28 a mozno vie ako sa zaraba, lepsie ako ty :) Odpovedať Známka: 5.6 Hodnotiť:

dfasdf Od: gsdfgdfadf | Pridané: 19.6.2014 10:43 Pekne, student si urobil dobre meno. Snad dostane par zaujimavych ponuk na pracu. Posielam kvety. Je to celkom hanba, ze pred nim ine spolocnosti nevidali nic pre odstranenie sifrovania. Este ze mam iPhone a netyka sa ma to... Odpovedať Známka: -2.4 Hodnotiť:

Re: dfasdf Od: iclovek | Pridané: 19.6.2014 11:21 esteze si nevynechal tu poslednu vetu aby sa tu zase strhol nejaky boj :) Odpovedať Známka: 9.0 Hodnotiť:

Re: dfasdf Od: hsdfgfsgf ga | Pridané: 19.6.2014 16:04 to schvalne, je tu vela iphone haterov :) Odpovedať Známka: -3.3 Hodnotiť:

Re: dfasdf Od: Samael | Pridané: 19.6.2014 21:17 a aj sem tam nejaký troll tu je... Odpovedať Hodnotiť:

Re: dfasdf Od: sheddow | Pridané: 19.6.2014 23:29 ja som si zasa pri nadpise povedal, vďaka za to, že mám WP, našťastie ten je v tejto komunite celkom obľúbený, tak hateovanie neočakávam Odpovedať Hodnotiť:

Re: dfasdf Od: gsdfgdfadf | Pridané: 19.6.2014 11:23 pardon *nevydali Odpovedať Hodnotiť:

Re: dfasdf Od reg.: shapira | Pridané: 19.6.2014 11:31 este ze mam motorolu D520, mna sa to naozaj netyka... :-DDDDD Odpovedať Známka: 8.6 Hodnotiť:

Re: dfasdf Od: heheee | Pridané: 19.6.2014 11:52 a mas na to zbrojny preukaz? Odpovedať Známka: 10.0 Hodnotiť:

Re: dfasdf Od reg.: WinstonSmith | Pridané: 19.6.2014 11:50 Aj som Ti plánoval dať plusko, ale tou poslednou, zbytočnou, vetou si to posral. Odpovedať Známka: 5.6 Hodnotiť:

Re: dfasdf Od: rreqa | Pridané: 19.6.2014 15:12 preco ved ma pravdu :) Odpovedať Známka: 0.0 Hodnotiť:

užitočný nástroj Od: mucha12 | Pridané: 19.6.2014 11:58 Uz davno sa hovori ,ze skodlivy kod vyrabaju aj antivir. firmy aby si zvysil dopyt po svojich produktoch. a Fassbuk zasadne nepouzivam. Odpovedať Známka: 1.8 Hodnotiť:

Re: užitočný nástroj Od: 6aaaaaa | Pridané: 19.6.2014 13:00 užitočný prispevok :) Odpovedať Známka: 7.9 Hodnotiť:

neeticke? Od: jsmp | Pridané: 19.6.2014 12:10 Co je neeticke na tom ze komercna firma si zo svojich penazi zaplati analyzu virusu, ktoru sa rozhodne nezverejnit? Odpovedať Známka: -1.4 Hodnotiť:

Re: neeticke? Od: rodriguez | Pridané: 19.6.2014 12:14 presne toto Odpovedať Známka: 5.4 Hodnotiť:

Re: neeticke? Od: jsmp | Pridané: 19.6.2014 12:21 takze rovnako neeticke je predavat SW, vyberat peniaze za listky do kina? Odpovedať Známka: -6.0 Hodnotiť:

Re: neeticke? Od: 6aaaaaa | Pridané: 19.6.2014 13:02 este neetickejsie je vyrobit prechodnu demoverziu operacneho systemu a nechat ho za cenu 100+ EUR testovat uzivatelmi ako PRO ci Ultimate release :) Odpovedať Známka: 6.2 Hodnotiť:

Re: neeticke? Od: pica-cecky | Pridané: 19.6.2014 15:04 mas na vyber: - linux - nedostatocne zabezpeceny, nedorobeny, nespolahlivy, bez podpory, bez profesionalnych programov, gratis feature: botnet. ale zadarmo. - unix - zabezpeceny, vyspely, spolahlivy, bez podpory. oproti linuxu plus pro programy, minus botnet. zadarmo, ale prilis zlozity pre deti, ktore sa bez klikania ani nevyseru. - mac os - bohove dobre ovladatelne bsd za ceny vacsiny pokrocilych veci a nastaveni, fura profesionalych programov - top1 vec pre grafikov. bonus - poriadne predrazeny hw s obmedzenymi moznostami uprav. - windows - priemerny system s podporou, nic extra. mrte vela aplikacii pre bezneho uzivatela aj pre profikov. bonus mrte vela hier. ale treba zan zaplatit. vyber si svojho najmenej napicu favorita a nepicuj do inych, ktorym vyhovuje nieco ineho. Odpovedať Známka: -1.6 Hodnotiť:

Re: neeticke? Od: nazarit | Pridané: 20.6.2014 7:09 Zase ty? Tie tvoje cookie cutter názory a neustála snaha dospieť je na zaplakanie. Odpovedať Známka: 10.0 Hodnotiť:

Re: neeticke? Od reg.: Redakcia DSL.sk | Pridané: 19.6.2014 18:04 Problém je, že analýzu zverejnili a neuviedli v nej podstatné skutočnosti respektíve zavádzali. http://goo.gl/3JZ4fg Špecificky napríklad : Nevertheless, the malware is fully capable of encrypting the user’s files, which may be lost if the encryption key is not retrieved. While the malware does contain functionality to decrypt the files, we strongly recommend against paying up – not only because that will only motivate other malware authors to continue these kinds of filthy operations, but also because there is no guarantee that the crook will keep their part of the deal and actually decrypt them. Instead we encourage users to protect themselves against these threats using prevention and defensive measures. For example, a mobile security app such as ESET Mobile Security for Android will keep malware off your device. Odpovedať Známka: 10.0 Hodnotiť:

Re: neeticke? Od: tamtung | Pridané: 19.6.2014 23:48 mne sa stalo to, ze do androidu (cerstveho) som dal fungel novu microsd 8gb, tusim kingston a o par dni, karta sa zablokovala. nie je mozne naformatovat.(win xp aj win7 rozne aplikacie) ale udaje (zlozky a par android 20-30kb file) su tam "napevno" karta zamrazi cely android mobil (samsung B5512 ) v blackberry ju proste neprijme.. tak, bud 1. karta je zle vyrobena a chybna, po zapisani xyz MB sa zasekla 2. kartu pokazil mobil jeho zlym HW (menili mu uz raz MB) 3. kartu pokazil android a/alebo aplikacie, ktore na karte vytvorili velku subor (1GB), ktory som ale zmazal 4. karta zlyhala skratom/neodbornou manipulaciou (ale nevytahoval som ju, bola tam stale) any ideasa ? Odpovedať Hodnotiť:

Re: neeticke? Od: vhhgvhgcfx | Pridané: 20.6.2014 4:08 Daval si tam original, alebo falsovanu ? Aj ked nozno legendy o falsovanych USB klucoch a kartach rozsiruje sam vyrobca, ked sa mu podarilo az prilis lacno nakupit flash cipy... Odpovedať Hodnotiť:

Re: neeticke? Od: Muad'Dib | Pridané: 21.6.2014 13:49 No ako naznačil už predrečník – mohlo ísť o, povedzme, 4 GB kartu, ktorá bola firmwarom „sfalšovaná“, aby sa hlásila ako 8 GB... Odpovedať Hodnotiť:

Mega trapas Od: Chupacabra | Pridané: 19.6.2014 23:49 To vážne je v oficiálnom Android obchode aplikácia na odstránenie vírusu? :D :D ..sorry ale to je normálne na smiech :D asi ako ked Samsung vypustil polku funkcii z S5 ktore tak vražedne promoval na S4. Android je tu len na to aby iOS mohol byt lepší. Konkurencia je dobra vec. Odpovedať Známka: -4.0 Hodnotiť:

Pridať komentár