CryptoLocker е мъртъв: Ето как можете да си върнете файловете!

CryptoLocker е мъртъв: Ето как можете да си върнете файловете!

Добра новина за всеки, засегнат от Cryptolocker. ИТ фирмите за сигурност FireEye и Fox-IT стартираха дългоочакваната услуга за декриптиране на файлове, държани като заложници от прословутия рансъмуер.





Това се случва малко след като изследователи, работещи за Kyrus Technology, публикуват публикация в блог, в която подробно се описва как работи CryptoLocker, както и как те са го проектирали обратно, за да получат частния ключ, използван за криптиране на стотици хиляди файлове.



Троянецът CryptoLocker е открит за първи път от Dell SecureWorks миналия септември. Той работи чрез шифроване на файлове, които имат специфични файлови разширения, и ги декриптира само след като е платен откуп от $ 300.





Въпреки че мрежата, обслужваща троянския кон, в крайна сметка беше свалена, хиляди потребители остават отделени от файловете си. Досега.

Ударен ли си от Cryptolocker? Искате ли да знаете как можете да си върнете файловете? Прочетете за повече информация.



Cryptolocker: Нека резюмираме

Когато Cryptolocker за пръв път излезе на сцената, аз го описах като „най -гадния зловреден софтуер досега“. Ще остана при това твърдение. След като се добере до вашата система, той ще изземе вашите файлове с почти нечупливо криптиране и ще ви таксува малко богатство в биткойн да ги върна.

Той също не атакува само локални твърди дискове. Ако имаше външен твърд диск или картографиран мрежов диск, свързан към заразен компютър, той също щеше да бъде атакуван. Това предизвика хаос в бизнеса, където служителите често си сътрудничат и споделят документи на свързани към мрежата устройства за съхранение.



Вирулентното разпространение на CryptoLocker също беше нещо, което трябва да се види, както и феноменалната сума пари, която той изтегли. от $ 3 млн към а зашеметяващите 27 милиона долара , тъй като жертвите плащаха масово искания откуп, нетърпеливи да си върнат досиетата.

Не след дълго сървърите, използвани за обслужване и контрол на злонамерения софтуер на Cryptolocker, бяха свалени през ' Оперативни стоки “и беше възстановена база данни с жертви. Това бяха обединените усилия на полицейски сили от множество страни, включително САЩ, Великобритания и повечето европейски страни, и видяха водача на бандата зад злонамерения софтуер, обвинен от ФБР.



Което ни води до днес. CryptoLocker е официално мъртъв и погребан, въпреки че много хора не могат да получат достъп до конфискуваните им файлове, особено след като сървърите за плащане и контрол бяха свалени като част от Operation Server.

Но все още има надежда. Ето как CryptoLocker беше отменен и как можете да си върнете файловете.

Как Cryptolocker беше обърнат

След като Kyrus Technologies обратно проектира CryptoLocker, следващото нещо, което направиха, беше да разработят механизъм за декриптиране.

Файловете, криптирани със злонамерения софтуер CryptoLocker, следват определен формат. Всеки шифрован файл се прави с ключ AES-256, който е уникален за този конкретен файл. След това този ключ за шифроване се криптира с двойка публичен/частен ключ, като се използва по-силен почти непроницаем алгоритъм RSA-2048.

Създаденият публичен ключ е уникален за вашия компютър, а не за шифрования файл. Тази информация, заедно с разбирането за файловия формат, използван за съхраняване на криптирани файлове, означаваше, че Kyrus Technologies успя да създаде ефективен инструмент за декриптиране.

Но имаше един проблем. Въпреки че имаше инструмент за декриптиране на файлове, той беше безполезен без частните ключове за криптиране. В резултат на това единственият начин да отключите файл, криптиран с CryptoLocker, беше с частния ключ.

За щастие, FireEye и Fox-IT са придобили значителна част от частните ключове на Cryptolocker. Подробности за това как са се справили с това са тънки на земята; те просто казват, че са ги получили чрез „различни партньорства и ангажименти в обратния инженеринг“.

Тази библиотека с лични ключове и програмата за декриптиране, създадена от Kyrus Technologies, означава, че жертвите на CryptoLocker сега имат начин да си върнат файловете , и без никакви разходи за тях. Но как го използвате?

Декриптиране на заразен с CryptoLocker твърд диск

Първо отидете на decryptcryptolocker.com. Ще ви е необходим примерен файл, който е бил криптиран със злонамерен софтуер Cryptolocker.

След това го качете на уебсайта DecryptCryptoLocker. След това това ще бъде обработено и (да се надяваме) да върне частния ключ, свързан с файла, който след това ще ви бъде изпратен по имейл.

След това е въпрос на изтегляне и стартиране на малък изпълним файл. Това работи в командния ред и изисква да посочите файловете, които искате да декриптирате, както и личния си ключ. Командата за неговото изпълнение е:

можете ли да надстроите macbook pro ram

Decryptolocker.exe - ключ

Само за повторение - Това няма да се изпълнява автоматично във всеки засегнат файл. Ще трябва да скриптирате това с Powershell или партиден файл или да го стартирате ръчно на база файл по файл.

И така, какви са лошите новини?

Не всичко е добра новина обаче. Има редица нови варианти на CryptoLocker, които продължават да се разпространяват. Въпреки че работят по подобен начин на CryptoLocker, за тях все още няма поправка, освен плащането на откупа.

Още лоши новини. Ако вече сте платили откупа, вероятно никога повече няма да видите тези пари. Въпреки че са направени някои отлични усилия за демонтиране на мрежата CryptoLocker, никой от парите, спечелени от зловреден софтуер, не е възстановен.

Тук има още един, по -уместен урок, който трябва да се научи. Много хора взеха решението да изтрият твърдите си дискове и да започнат отначало, вместо да плащат откупа. Това е разбираемо. Тези хора обаче няма да могат да се възползват от DeCryptoLocker, за да възстановят файловете си.

Ако получите удар с подобен рансъмуер и не искате да плащате, може да искате да инвестирате в евтин външен твърд диск или USB устройство и да копирате криптираните си файлове. Това оставя отворена възможността за възстановяването им на по -късна дата.

Разкажете ми за вашия опит с CryptoLocker

Ударени ли сте от Cryptolocker? Успяхте ли да си върнете файловете? Разкажи ми. Полето за коментари е по -долу.

Снимки: System Lock (Yuri Samoiliv) , OWC външен твърд диск (Karen) .

Дял Дял Туит електронна поща Трябва ли незабавно да надстроите до Windows 11?

Windows 11 идва скоро, но трябва ли да актуализирате възможно най -скоро или да изчакате няколко седмици? Нека разберем.

Прочетете Напред Свързани теми
  • Сигурност
  • Шифроване
  • Троянски кон
  • Анти-зловреден софтуер
За автора Матю Хюз(386 статии са публикувани)

Матю Хюз е софтуерен разработчик и писател от Ливърпул, Англия. Рядко се среща без чаша силно черно кафе в ръка и абсолютно обожава своя Macbook Pro и фотоапарата си. Можете да прочетете неговия блог на http://www.matthewhughes.co.uk и да го последвате в Twitter в @matthewhughes.

Още от Матю Хюз

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате