Securitate

CryptoLocker este mort Iată cum puteți obține fișierele înapoi!

CryptoLocker este mort Iată cum puteți obține fișierele înapoi! / Securitate

Veste bună pentru oricine este afectat de Cryptolocker. Firmele de securitate IT FireEye și Fox-IT au lansat un serviciu mult-așteptat pentru a decripta fișierele ținute ostatec de răscumpărarea notorică Nu scăpați de faultul scamatorilor: Un ghid pentru Ransomware și alte amenințări Nu scăpați de legea scandalilor: A Ghidul pentru Ransomware și alte amenințări Citiți mai multe .

Acest lucru vine la scurt timp dupa ce cercetatorii care lucreaza pentru Kyrus Technology au lansat o postare pe blog detaliind modul in care functioneaza CryptoLocker, precum si modul in care au inversat-o pentru a obtine cheia privata folosita pentru a cripta sute de mii de fisiere.

Troianul CryptoLocker a fost descoperit pentru prima oară de Dell SecureWorks în septembrie anul trecut. Funcționează prin criptarea fișierelor care au extensii specifice de fișiere și le decriptează numai după ce au fost plătite rambursări de 300 $.

Deși rețeaua care a servit troianul a fost în cele din urmă descoperită, mii de utilizatori rămân separați de fișierele lor. Pana acum.

Ați fost lovit de Cryptolocker? Vrei să știi cum poți să-ți duci fișierele înapoi? Citiți mai departe pentru mai multe informații.

Cryptolocker: Să recapitulăm

Când Cryptolocker a izbucnit pentru prima oară pe scenă, l-am descris ca fiind "cel mai nasol malware vreodată CryptoLocker este cel mai rău malware vreodată și aici e ceea ce puteți face CryptoLocker este cel mai rău malware vreodată și aici e ceea ce puteți face CryptoLocker este un tip de software rău intenționat care redă computerul este complet inutilizabil prin criptarea tuturor fișierelor. Apoi, solicită plata în avans înainte de a vă întoarce accesul la computer. Citeste mai mult '. Voi susține declarația. Odată ce i se pune mâna pe sistem, va profita de fișierele dvs. cu criptare aproape incomodă și vă va percepe o mică avere în Bitcoin pentru a le aduce înapoi.

Nu a atacat doar hard disk-urile locale. Dacă a existat o unitate hard disk externă sau o unitate de rețea mapată conectată la un computer infectat, aceasta ar fi atacată. Acest lucru a provocat un dezastru în firmele unde colaboratorii adesea colaborează și partajează documente pe unități de stocare atașate în rețea.

Răspândirea virulentă a lui CryptoLocker a fost, de asemenea, ceva de văzut, la fel ca și suma fenomenală a banilor încasați. Estimările variază de la 3 milioane USD la 27 milioane de dolari, deoarece victimele au plătit răscumpărarea solicitată en masse, dornici să-și primească dosarele înapoi.

Nu după mult timp, serverele folosite pentru a servi și a controla malware-ul Cryptolocker au fost descoperite în "Operational Tovar", iar o bază de date a victimelor a fost recuperată. Acestea au fost eforturile combinate ale forțelor de poliție din mai multe țări, inclusiv SUA, Marea Britanie și majoritatea țărilor europene, și au văzut conducătorul bandei din spatele malware-ului inculpat de FBI.

Ceea ce ne aduce astăzi. CryptoLocker este oficial mort și îngropat, deși mulți oameni nu reușesc să obțină acces la fișierele confiscate, mai ales după ce serverele de plată și de control au fost descoperite ca parte a serviciului Server.

Dar există încă speranță. Iată cum a fost inversat CryptoLocker și cum puteți obține fișierele înapoi.

Cum a fost inversat Cryptolocker

După ce Kyrus Technologies a inversat CryptoLocker, următorul lucru pe care l-au făcut a fost să dezvolte un motor de decriptare.

Fișierele criptate cu malware-ul CryptoLocker urmează un anumit format. Fiecare fișier criptat se face cu o cheie AES-256 care este unică pentru fișierul respectiv. Această cheie de criptare este apoi criptată ulterior cu o pereche de chei publice / private, utilizând un algoritm RSA-2048 mai puternic imperceptibil.

Cheia publică generată este unică pentru calculatorul dvs., nu pentru fișierul criptat. Aceste informații, coroborate cu o înțelegere a formatului de fișier utilizat pentru stocarea fișierelor criptate, au făcut ca Kyrus Technologies să poată crea un instrument eficient de decriptare.

Dar a existat o problemă. Deși era un instrument pentru a decripta fișierele, era inutil fără cheile private de criptare. Ca urmare, singura modalitate de a debloca un fișier criptat cu CryptoLocker a fost cu cheia privată.

Din fericire, FireEye și Fox-IT au dobândit o proporție semnificativă de chei private Cryptolocker. Detalii despre modul în care au reușit acest lucru sunt subțiri pe teren; pur și simplu spun că le-au primit prin "diverse parteneriate și angajamente de inginerie inversă".

Această bibliotecă de chei private și programul de decriptare creat de Kyrus Technologies înseamnă că victimele CryptoLocker au acum posibilitatea de a-și primi fișierele înapoi și fără nici un cost pentru ei. Dar cum îl folosiți?

Decriptarea unui hard disk infectat cu CryptoLocker

Mai întâi, căutați la decryptcryptolocker.com. Veți avea nevoie de un fișier exemplu care a fost criptat cu malware-ul Cryptolocker la îndemână.

Apoi, încărcați-l pe site-ul DecryptCryptoLocker. Acesta va fi apoi procesat și (sperăm) să returnați cheia privată asociată fișierului, care va fi apoi trimisă prin e-mail.

Apoi, este o chestiune de a descărca și rula un mic executabil. Aceasta rulează pe linia de comandă și vă cere să specificați fișierele pe care doriți să le decriptați, precum și cheia privată. Comanda pentru a rula este:

Decryptolocker.exe -key “

Doar pentru a re-itera - Aceasta nu se va executa automat pe fiecare fișier afectat. Va trebui să scrieți scriptul cu Powershell sau cu un fișier Batch sau să îl rulați manual pe bază de fișiere.

Deci, Care este știrea proastă?

Totuși, nu toate știrile bune. Există o serie de noi variante de CryptoLocker care continuă să circule. Deși funcționează într-o manieră asemănătoare cu cea a CryptoLocker, nu există încă o soluție pentru ei, altul decât plata răscumpărării.

Mai multe vesti proaste. Dacă ați plătit deja răscumpărarea, probabil că niciodată nu veți mai vedea acei bani vreodată. Deși s-au făcut eforturi deosebite în vederea dezmembrării rețelei CryptoLocker, niciunul dintre banii câștigați din malware nu a fost recuperat.

Există o altă lecție mai pertinentă care trebuie învățată aici. O mulțime de oameni au luat decizia de a șterge hard-urile și de a începe din nou, mai degrabă decât să plătească răscumpărarea. Acest lucru este de înțeles. Cu toate acestea, acești oameni nu vor putea să profite de DeCryptoLocker pentru a-și recupera fișierele.

Dacă sunteți lovit cu ransomware similare Nu plătiți - Cum să bată Ransomware! Nu plătiți - cum să bateți Ransomware! Imaginați-vă dacă cineva sa arătat la ușa dvs. și a spus: "Hei, în casa ta sunt șoareci pe care nu le știi. Dă-ne 100 $ și vom scăpa de ei". Acesta este Ransomware ... Citiți mai mult și nu doriți să plătiți, ați putea dori să investiți într-o unitate de hard disk externă externă sau USB și copiați fișierele criptate. Acest lucru lasă deschisă posibilitatea recuperării acestora la o dată ulterioară.

Spune-mi despre experiența ta CryptoLocker

Ați fost lovit de Cryptolocker? Ai reușit să-ți duci fișierele înapoi? Povesteste-mi. Caseta de comentarii este de mai jos.

Credite foto: sistem de blocare (Yuri Samoiliv), hard disk extern OWC (Karen).

Explorați mai multe despre: Anti-Malware, Criptare, Troian Horse.