Publicitate
Vești bune pentru oricine este afectat de Cryptolocker. Firmele de securitate IT FireEye și Fox-IT au lansat un serviciu mult așteptat pentru a decripta fișierele ținute ostatice de către ransomware notoriu Nu vă lăsați înșelători de escroci: un ghid pentru răscumpărare și alte amenințări Citeste mai mult .
Acest lucru vine la scurt timp după ce cercetătorii care lucrează pentru Kyrus Technology au lansat o postare pe blog în care detaliază modul în care CryptoLocker funcționează, precum și modul în care au proiectat-o invers pentru a achiziționa cheia privată folosită pentru a cripta sute de mii de fișiere.
Troianul CryptoLocker a fost descoperit pentru prima dată de Dell SecureWorks în septembrie trecut. Funcționează prin criptarea fișierelor care au extensii de fișiere specifice, și decriptarea acestora numai după ce a fost plătită o răscumpărare de 300 USD.
Deși rețeaua care a servit troianul a fost eliminată în cele din urmă, mii de utilizatori rămân separați de fișierele lor. Pana acum.
Ai fost lovit de Cryptolocker? Doriți să știți cum vă puteți recupera fișierele? Citiți mai departe pentru mai multe informații.
Cryptolocker: Recapitulăm
Când Cryptolocker a izbucnit prima dată pe scenă, am descris-o drept „cel mai urât malware CryptoLocker este cel mai nasolent program malware și iată ce poți faceCryptoLocker este un tip de software rău intenționat care face computerul dvs. inutilizabil complet criptând toate fișierele dvs. Apoi, solicită plata monetară înainte de returnarea accesului la computer. Citeste mai mult ‘. Voi fi alături de această afirmație. După ce va pune mâna pe sistemul dvs., vă va preda fișierele cu o criptare aproape incuperată și vă va percepe o mica avere în Bitcoin să-i recupereze.
Nici nu a atacat hard disk-urile locale. Dacă ar exista un hard disk extern sau o unitate de rețea mapată conectată la un computer infectat, acesta ar fi atacat. Acest lucru a provocat rău în întreprinderile în care angajații colaborează adesea și partajează documente pe unitățile de stocare atașate la rețea.
Răspândirea virulentă a CryptoLocker a fost de asemenea ceva de văzut, precum și suma fenomenală de bani pe care a scos-o. Intervalul estimărilor de la 3 milioane USD la o eșalonând 27 milioane dolari, întrucât victimele au plătit răscumpărarea care a fost solicitată în masă, dornici să-și recupereze dosarele.
Nu după mult timp, serverele folosite pentru a servi și controla malware-ul Cryptolocker au fost eliminate în „Tovar operațional„Și a fost recuperată o bază de date a victimelor. Aceasta a fost eforturile combinate ale forțelor de poliție din mai multe țări, inclusiv SUA, Marea Britanie, și majoritatea țărilor europene și au văzut căpetenia grupării din spatele malware-ului inculpat de acesta FBI.
Ceea ce ne aduce astăzi. CryptoLocker este oficial mort și îngropat, deși multe persoane nu sunt în măsură să aibă acces la ele fișiere confiscate, în special după ce serverele de plată și control au fost eliminate ca parte a operației Server.
Dar mai există speranță. Iată cum a fost inversat CryptoLocker și cum puteți recupera fișierele.
Cât a fost inversat Cryptolocker
După ce Kyrus Technologies a inversat CryptoLocker, următorul lucru pe care l-au făcut a fost să dezvolte un motor de decriptare.
Fișierele criptate cu malware CryptoLocker urmează un format specific. Fiecare fișier criptat este realizat cu o cheie AES-256 care este unică pentru acel fișier particular. Această cheie de criptare este ulterior criptată cu o pereche de chei publice / private, folosind un algoritm RSA-2048 mai puternic, aproape impermeabil.
Cheia publică generată este unică pentru computerul dvs., nu pentru fișierul criptat. Aceste informații, împreună cu o înțelegere a formatului de fișier utilizat pentru stocarea fișierelor criptate, a însemnat că Kyrus Technologies a fost capabil să creeze un instrument eficient de decriptare.
Dar a existat o singură problemă. Deși exista un instrument pentru a decripta fișierele, acesta era inutil fără cheile private de criptare. Drept urmare, singura modalitate de a debloca un fișier criptat cu CryptoLocker a fost cu cheia privată.
Din fericire, FireEye și Fox-IT au achiziționat o proporție semnificativă din cheile private ale Cryptolocker. Detaliile despre cum au reușit acestea sunt subțiri pe sol; pur și simplu spun că le-au obținut prin „diverse parteneriate și angajamente de inginerie inversă”.
Această bibliotecă de chei private și programul de decriptare creat de Kyrus Technologies înseamnă că victimele CryptoLocker sunt acum au un mod de a-și recupera fișierele, și fără costuri pentru ei. Dar cum îl folosești?
Decriptarea unui hard disk infectat de CryptoLocker
Mai întâi, navigați la decryptcryptolocker.com. Va trebui să aveți la dispoziție un fișier de probă care a fost criptat cu malware-ul Cryptolocker.
Apoi, încărcați-l pe site-ul web DecryptCryptoLocker. Aceasta va fi apoi procesată și, (sperăm), va returna cheia privată asociată cu fișierul care vă va fi trimis prin e-mail.
Apoi, este vorba despre descărcarea și executarea unui mic executabil. Aceasta rulează pe linia de comandă și necesită să specificați fișierele pe care doriți să le decriptați, precum și cheia privată. Comanda pentru a o rula este:
Decryptolocker.exe –key “
”
Doar pentru a reitera - Acest lucru nu va fi rulat automat pe fiecare fișier afectat. Va trebui să fie scriptul cu Powershell sau un fișier Lot, sau să-l executați manual pe baza fișierului.
Deci, care este Vestea proastă?
Nu este însă o veste bună. Există o serie de noi variante de CryptoLocker care continuă să circule. Deși operează într-o manieră similară cu CryptoLocker, nu există încă o soluție pentru ei, în afară de plata răscumpărării.
Mai multe vești proaste. Dacă ați plătit deja răscumpărarea, probabil că nu veți mai vedea banii niciodată. Deși s-au depus eforturi excelente pentru demontarea rețelei CryptoLocker, niciunul dintre banii câștigați din malware nu a fost recuperat.
Trebuie să se învețe aici o altă lecție, mai relevantă. Mulți oameni au luat decizia să șteargă hard disk-urile și să înceapă din nou, în loc să plătească răscumpărarea. Acest lucru este de înțeles. Cu toate acestea, acești oameni nu vor putea profita de DeCryptoLocker pentru a-și recupera fișierele.
Daca primesti lovit cu ransomware similar Nu plătiți - Cum să bateți Ransomware-ul!Imaginați-vă dacă cineva s-a prezentat în fața ușii dvs. și a spus: „Hei, există șoareci în casa ta despre care nu știai. Dă-ne 100 de dolari și vom scăpa de ei. "Acesta este Ransomware-ul ... Citeste mai mult și nu doriți să plătiți, este posibil să doriți să investiți într-un hard disk extern sau USB Drive ieftin și să copiați fișierele criptate. Acest lucru lasă deschisă posibilitatea recuperării acestora la o dată ulterioară.
Spune-mi despre experiența ta CryptoLocker
Ai fost lovit de Cryptolocker? Ați reușit să vă recuperați fișierele? Povesteste-mi. Caseta de comentarii este mai jos.
Credite foto: Blocare sistem (Yuri Samoiliv), Hard disk extern OWC (Karen).
Matthew Hughes este un dezvoltator de software și scriitor din Liverpool, Anglia. Foarte rar este găsit fără o ceașcă de cafea neagră puternică în mână și își adoră absolut Macbook Pro și camera foto. Îi poți citi blogul la http://www.matthewhughes.co.uk și urmăriți-l pe twitter la @matthewhughes.