CryptoLocker nie żyje: oto jak odzyskać swoje pliki!

CryptoLocker nie żyje: oto jak odzyskać swoje pliki!

Dobra wiadomość dla wszystkich dotkniętych Cryptolockerem. Firmy zajmujące się bezpieczeństwem IT, FireEye i Fox-IT, uruchomiły długo oczekiwaną usługę odszyfrowywania plików przetrzymywanych jako zakładników przez znane oprogramowanie ransomware.





Dzieje się tak wkrótce po tym, jak badacze pracujący dla Kyrus Technology opublikowali post na blogu szczegółowo opisujący działanie CryptoLocker, a także sposób, w jaki dokonali inżynierii wstecznej, aby uzyskać klucz prywatny używany do szyfrowania setek tysięcy plików.



Trojan CryptoLocker został po raz pierwszy wykryty przez Dell SecureWorks we wrześniu ubiegłego roku. Działa poprzez szyfrowanie plików, które mają określone rozszerzenia i odszyfrowywanie ich dopiero po zapłaceniu okupu w wysokości 300 USD.





Chociaż sieć obsługująca trojana została ostatecznie usunięta, tysiące użytkowników pozostaje oddzielonych od swoich plików. Do teraz.

Czy zostałeś trafiony przez Cryptolocker? Chcesz wiedzieć, jak odzyskać swoje pliki? Czytaj dalej, aby uzyskać więcej informacji.



Cryptolocker: Podsumujmy

Kiedy Cryptolocker po raz pierwszy pojawił się na scenie, określiłem go jako „najgorszy złośliwy program w historii”. Będę trzymać się tego oświadczenia. Gdy dostanie się do twojego systemu, przechwyci twoje pliki za pomocą prawie niezniszczalnego szyfrowania i obciąży cię mała fortuna w Bitcoinie aby je odzyskać.

Atakował nie tylko lokalne dyski twarde. Gdyby do zainfekowanego komputera był podłączony zewnętrzny dysk twardy lub zmapowany dysk sieciowy, on również zostałby zaatakowany. Spowodowało to spustoszenie w firmach, w których pracownicy często współpracują i udostępniają dokumenty na dyskach podłączonych do sieci.



Zjadliwe rozprzestrzenianie się CryptoLockera było również czymś wartym uwagi, podobnie jak fenomenalna ilość pieniędzy, którą przyciągnął. od 3 mln $ do oszałamiające 27 milionów dolarów , ponieważ ofiary płaciły okup, którego zażądano masowo, chcąc odzyskać swoje pliki.

Niedługo potem serwery używane do obsługi i kontroli złośliwego oprogramowania Cryptolocker zostały usunięte w „ Towary operacyjne ” i odzyskano bazę danych ofiar. Były to połączone wysiłki sił policyjnych z wielu krajów, w tym USA, Wielkiej Brytanii i większości krajów europejskich, i zobaczyły przywódcę gangu stojącego za złośliwym oprogramowaniem oskarżonym przez FBI.



Co prowadzi nas do dnia dzisiejszego. CryptoLocker jest oficjalnie martwy i pogrzebany, chociaż wiele osób nie jest w stanie uzyskać dostępu do swoich przechwyconych plików, zwłaszcza po usunięciu serwerów płatności i kontroli w ramach Operation Server.

Ale wciąż jest nadzieja. Oto jak odwrócono CryptoLocker i jak możesz odzyskać swoje pliki.

Jak odwrócono Cryptolocker

Po tym, jak Kyrus Technologies wykonało inżynierię wsteczną CryptoLockera, następną rzeczą, którą zrobili, było opracowanie silnika deszyfrującego.

Pliki zaszyfrowane złośliwym oprogramowaniem CryptoLocker mają określony format. Każdy zaszyfrowany plik jest wykonywany za pomocą klucza AES-256, który jest unikalny dla tego konkretnego pliku. Ten klucz szyfrowania jest następnie szyfrowany za pomocą pary kluczy publiczny/prywatny, przy użyciu silniejszego, prawie nieprzepuszczalnego algorytmu RSA-2048.

Wygenerowany klucz publiczny jest unikalny dla Twojego komputera, a nie zaszyfrowanego pliku. Te informacje, w połączeniu ze zrozumieniem formatu pliku używanego do przechowywania zaszyfrowanych plików, umożliwiły firmie Kyrus Technologies stworzenie skutecznego narzędzia deszyfrującego.

Ale był jeden problem. Chociaż istniało narzędzie do odszyfrowywania plików, było ono bezużyteczne bez prywatnych kluczy szyfrujących. W rezultacie jedynym sposobem odblokowania pliku zaszyfrowanego za pomocą CryptoLocker było użycie klucza prywatnego.

Na szczęście FireEye i Fox-IT nabyły znaczną część kluczy prywatnych Cryptolocker. Szczegóły dotyczące tego, jak sobie z tym poradzili, są skąpe; po prostu mówią, że pozyskali je dzięki „różnym partnerstwom i zaangażowaniu w inżynierię odwrotną”.

Ta biblioteka kluczy prywatnych i program deszyfrujący stworzony przez Kyrus Technologies oznacza, że ​​ofiary CryptoLocker teraz mają sposób na odzyskanie swoich plików i bez żadnych kosztów. Ale jak tego używasz?

Odszyfrowywanie zainfekowanego dysku twardego CryptoLocker

Najpierw przejdź do decryptlocker.com. Będziesz potrzebować przykładowego pliku, który został zaszyfrowany za pomocą złośliwego oprogramowania Cryptolocker.

Następnie prześlij go na stronę DecryptCryptoLocker. To zostanie następnie przetworzone i (miejmy nadzieję) zwróci klucz prywatny powiązany z plikiem, który zostanie wysłany do Ciebie e-mailem.

Następnie jest to kwestia pobrania i uruchomienia małego pliku wykonywalnego. Działa to w wierszu poleceń i wymaga określenia plików, które chcesz odszyfrować, a także klucza prywatnego. Polecenie do jego uruchomienia to:

najlepsza strona do strumieniowego przesyłania darmowych filmów

Decryptlocker.exe – klucz

Aby powtórzyć — to nie będzie automatycznie uruchamiane dla każdego pliku, którego dotyczy problem. Będziesz musiał albo oskryptować to za pomocą programu Powershell lub pliku wsadowego, albo uruchomić go ręcznie na podstawie pliku po pliku.

Więc jakie są złe wieści?

To jednak nie wszystkie dobre wieści. Istnieje wiele nowych wariantów CryptoLocker, które nadal krążą. Chociaż działają w podobny sposób jak CryptoLocker, nie ma dla nich jeszcze rozwiązania, poza zapłaceniem okupu.

Więcej złych wiadomości. Jeśli już zapłaciłeś okup, prawdopodobnie już nigdy nie zobaczysz tych pieniędzy. Chociaż dokonano doskonałych wysiłków w celu demontażu sieci CryptoLocker, żadne pieniądze zarobione na złośliwym oprogramowaniu nie zostały odzyskane.

Jest jeszcze jedna, bardziej istotna lekcja, której można się tutaj nauczyć. Wiele osób zdecydowało się wymazać swoje dyski twarde i zacząć od nowa, zamiast płacić okup. To jest zrozumiałe. Jednak osoby te nie będą mogły skorzystać z DeCryptoLocker w celu odzyskania swoich plików.

Jeśli zostaniesz trafiony podobnym oprogramowaniem ransomware i nie chcesz płacić, możesz zainwestować w tani zewnętrzny dysk twardy lub dysk USB i skopiować zaszyfrowane pliki. Pozostawia to otwartą możliwość odzyskania ich w późniejszym terminie.

Opowiedz mi o swoim doświadczeniu z CryptoLocker

Czy zostałeś trafiony przez Cryptolocker? Czy udało Ci się odzyskać swoje pliki? Opowiedz mi o tym. Pole komentarzy znajduje się poniżej.

Kredyty fotograficzne: Blokada systemu (Jurij Samoiliv) , Zewnętrzny dysk twardy OWC (Karen) .

Udział Udział Ćwierkać E-mail Czy należy natychmiast uaktualnić do systemu Windows 11?

Windows 11 już wkrótce, ale czy powinieneś aktualizować jak najszybciej, czy poczekać kilka tygodni? Dowiedzmy Się.

Czytaj dalej Powiązane tematy
  • Bezpieczeństwo
  • Szyfrowanie
  • Koń trojański
  • Ochrona przed złośliwym oprogramowaniem
O autorze Mateusz Hughes(386 opublikowanych artykułów)

Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i swój aparat. Możesz przeczytać jego bloga na http://www.matthewhughes.co.uk i śledzić go na Twitterze pod adresem @matthewhughes.

Więcej od Matthew Hughesa

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować