Reklama
Dobra wiadomość dla wszystkich osób dotkniętych przez Cryptolocker. Firmy bezpieczeństwa IT FireEye i Fox-IT uruchomiły długo oczekiwaną usługę odszyfrowywania plików przetrzymywanych przez znane oprogramowanie ransomware Don't Fall Foul of the Scammers: przewodnik po oprogramowaniu ransomware i innych zagrożeniach Czytaj więcej .
Dzieje się to wkrótce po tym, jak naukowcy pracujący dla Kyrus Technology opublikowali post na blogu opisujący szczegółowo CryptoLocker działa, a także sposób, w jaki dokonali inżynierii wstecznej w celu uzyskania klucza prywatnego używanego do szyfrowania setek tysięcy akta.
Trojan CryptoLocker został po raz pierwszy wykryty przez firmę Dell SecureWorks we wrześniu ubiegłego roku. Działa poprzez szyfrowanie plików o określonych rozszerzeniach i odszyfrowanie ich dopiero po zapłaceniu okupu w wysokości 300 USD.
Chociaż sieć, która obsługiwała trojana, została ostatecznie usunięta, tysiące użytkowników pozostają oddzielone od swoich plików. Do teraz.
Czy zostałeś uderzony przez Cryptolocker? Chcesz wiedzieć, jak odzyskać swoje pliki? Czytaj dalej, aby uzyskać więcej informacji.
Cryptolocker: Podsumujmy
Kiedy Cryptolocker po raz pierwszy wybuchł na scenie, opisałem to jako „najgorsze złośliwe oprogramowanie w historii CryptoLocker to najbardziej paskudne złośliwe oprogramowanie w historii i oto, co możesz zrobićCryptoLocker to rodzaj złośliwego oprogramowania, które sprawia, że komputer jest całkowicie bezużyteczny przez szyfrowanie wszystkich plików. Następnie domaga się płatności pieniężnej przed zwróceniem dostępu do komputera. Czytaj więcej ‘. Będę przestrzegać tego oświadczenia. Gdy przejmie kontrolę nad Twoim systemem, zajmie się Twoimi plikami z prawie niezniszczalnym szyfrowaniem i obciąży Cię opłatą mała fortuna w Bitcoin aby je odzyskać.
Nie tylko atakował także lokalne dyski twarde. Jeśli do zainfekowanego komputera podłączony jest zewnętrzny dysk twardy lub zmapowany dysk sieciowy, również zostanie zaatakowany. Spowodowało to spustoszenie w firmach, w których pracownicy często współpracują i udostępniają dokumenty na dyskach pamięci masowej podłączonych do sieci.
Zjadliwe było rozprzestrzenianie się CryptoLocker, podobnie jak fenomenalna ilość pieniędzy, które przyciągnął. Szacunkowy zakres od 3 mln $ do oszałamiające 27 milionów dolarów, gdy ofiary płaciły okup, którego zażądano masowo, chcąc odzyskać swoje pliki.
Niedługo potem serwery służące do obsługi i kontrolowania złośliwego oprogramowania Cryptolocker zostały usunięte w „Tovar operacyjny„I odzyskano bazę ofiar. Były to połączone wysiłki sił policyjnych z wielu krajów, w tym ze Stanów Zjednoczonych, Wielkiej Brytanii, i większość krajów europejskich, i widział przywódcę gangu odpowiedzialnego za szkodliwe oprogramowanie, którego oskarżono FBI.
Co prowadzi nas do dzisiaj. CryptoLocker jest oficjalnie martwy i pochowany, chociaż wiele osób nie jest w stanie uzyskać do nich dostępu zajęte pliki, szczególnie po tym, jak serwery płatności i kontroli zostały usunięte w ramach operacji Serwer.
Ale wciąż jest nadzieja. Oto, w jaki sposób CryptoLocker został odwrócony i jak odzyskać swoje pliki.
Jak Cryptolocker został odwrócony
Po inżynierii wstecznej CryptoLocker firmy Kyrus Technologies, następną rzeczą, którą zrobili, było opracowanie silnika odszyfrowującego.
Pliki zaszyfrowane za pomocą złośliwego oprogramowania CryptoLocker mają określony format. Każdy zaszyfrowany plik jest wykonywany za pomocą klucza AES-256, który jest unikalny dla tego konkretnego pliku. Ten klucz szyfrowania jest następnie szyfrowany za pomocą pary kluczy publiczny / prywatny przy użyciu silniejszego, prawie nieprzepuszczalnego algorytmu RSA-2048.
Wygenerowany klucz publiczny jest unikalny dla twojego komputera, a nie zaszyfrowanego pliku. Informacje te w połączeniu ze zrozumieniem formatu plików używanych do przechowywania zaszyfrowanych plików oznaczały, że Kyrus Technologies był w stanie stworzyć skuteczne narzędzie deszyfrujące.
Ale był jeden problem. Chociaż istniało narzędzie do odszyfrowywania plików, bez prywatnych kluczy szyfrowania było bezużyteczne. W rezultacie jedynym sposobem odblokowania pliku zaszyfrowanego za pomocą CryptoLocker był klucz prywatny.
Na szczęście FireEye i Fox-IT nabyły znaczną część kluczy prywatnych Cryptolocker. Szczegóły na temat tego, jak sobie z tym poradzili, są cienkie na ziemi; po prostu mówią, że udało im się to dzięki „różnym partnerstwom i zaangażowaniu inżynierii odwrotnej”.
Ta biblioteka kluczy prywatnych i program deszyfrujący stworzony przez Kyrus Technologies oznacza, że teraz ofiary CryptoLocker mają sposób na odzyskanie swoich plikówi bez żadnych kosztów. Ale jak tego używasz?
Deszyfrowanie zainfekowanego dysku twardego CryptoLocker
Najpierw przejdź do decryptcryptolocker.com. Będziesz potrzebować przykładowego pliku, który został zaszyfrowany za pomocą złośliwego oprogramowania Cryptolocker.
Następnie prześlij go na stronę DecryptCryptoLocker. Zostanie to następnie przetworzone i (miejmy nadzieję) zwróci klucz prywatny powiązany z plikiem, który zostanie następnie przesłany e-mailem.
Następnie należy pobrać i uruchomić mały plik wykonywalny. Działa to w wierszu poleceń i wymaga podania plików, które chcesz odszyfrować, a także klucza prywatnego. Polecenie do uruchomienia to:
Decryptolocker.exe –key “
”
Wystarczy powtórzyć iterację - nie będzie automatycznie działać na każdym pliku, którego dotyczy problem. Musisz albo napisać skrypt za pomocą programu Powershell lub pliku wsadowego, albo uruchomić go ręcznie dla poszczególnych plików.
Jakie są złe wieści?
To jednak nie wszystkie dobre wiadomości. Istnieje wiele nowych wariantów CryptoLocker, które nadal się rozpowszechniają. Mimo że działają w podobny sposób jak CryptoLocker, nie ma jeszcze dla nich poprawki, poza płaceniem okupu.
Więcej złych wieści. Jeśli już zapłaciłeś okup, prawdopodobnie nigdy więcej nie zobaczysz tych pieniędzy. Chociaż podjęto doskonałe wysiłki w celu demontażu sieci CryptoLocker, żadna z pieniędzy zarobionych na szkodliwym oprogramowaniu nie została odzyskana.
Jest jeszcze jedna, bardziej odpowiednia lekcja do nauczenia się tutaj. Wiele osób zdecydowało się wyczyścić dyski twarde i zacząć od nowa, zamiast płacić okup. To jest zrozumiałe. Jednak osoby te nie będą mogły skorzystać z DeCryptoLocker do odzyskania swoich plików.
Jeśli dostaniesz uderzył w podobne oprogramowanie ransomware Don't Pay Up - How Beat Ransomware!Wyobraź sobie, że ktoś pojawił się u twojego progu i powiedział: „Hej, w twoim domu są myszy, o których nie wiedziałeś. Daj nam 100 USD, a my się ich pozbędziemy. ”To jest Ransomware ... Czytaj więcej i nie chcesz płacić, możesz zainwestować w tani zewnętrzny dysk twardy lub dysk USB i skopiować zaszyfrowane pliki. Daje to możliwość odzyskania ich w późniejszym terminie.
Opowiedz mi o swoim doświadczeniu z CryptoLocker
Zostałeś dotknięty przez Cryptolocker? Czy udało Ci się odzyskać swoje pliki? Opowiedz mi o tym. Pole komentarzy znajduje się poniżej.
Kredyty fotograficzne: Blokada systemu (Jurij Samoiliv), Zewnętrzny dysk twardy OWC (Karen).
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.