Sikkerhet

CryptoLocker er død Her er hvordan du kan få dine filer tilbake!

CryptoLocker er død Her er hvordan du kan få dine filer tilbake! / Sikkerhet

Gode ​​nyheter for alle som er berørt av Cryptolocker. IT-sikkerhetsfirmaene FireEye og Fox-IT har lansert en etterlengtet tjeneste for å dekryptere filer som holdes som gidsel av den beryktede ransomware. Ikke fall feil av svindlere. En veiledning til Ransomware og andre trusler faller ikke i stykker av svindlere: A Guide til Ransomware og andre trusler Les mer .

Dette kommer snart etter at forskere som jobbet for Kyrus Technology, har gitt ut et blogginnlegg som beskriver hvordan CryptoLocker fungerer, samt hvordan de omvendt konstruerte den for å skaffe seg den private nøkkelen som ble brukt til å kryptere hundretusener av filer.

CryptoLocker-trojanen ble først oppdaget av Dell SecureWorks i september i fjor. Det fungerer ved å kryptere filer som har spesifikke filtillegg, og bare dekryptere dem når en løsepenge på $ 300 var betalt.

Selv om nettverket som serverte trojanen, ble til slutt tatt ned, blir tusenvis av brukere skilt fra sine filer. Inntil nå.

Har du blitt rammet av Cryptolocker? Vil du vite hvordan du kan få filene dine tilbake? Les videre for mer info.

Cryptolocker: La oss hente

Når Cryptolocker først briste på scenen, beskrev jeg det som den nestiest malware noensinne CryptoLocker er det nestiest malware Ever & Her er hva du kan gjøre CryptoLocker er den nestiest malware Ever & Her er hva du kan gjøre CryptoLocker er en type ondsinnet programvare som gjør datamaskinen din helt ubrukelig ved å kryptere alle filene dine. Det krever deretter monetær betaling før tilgang til datamaskinen din returneres. Les mer '. Jeg kommer til å stå ved denne utsagnet. Når det kommer hendene på systemet, vil det ta filene dine med nesten ubrytelig kryptering og belaste deg en liten formue i Bitcoin for å få dem tilbake.

Det angrep ikke bare lokale harddisker, heller. Hvis det var en ekstern harddisk eller en kartlagt nettverksstasjon som var koblet til en infisert datamaskin, ville den også bli angrepet. Dette forårsaket ødeleggelse i bedrifter hvor ansatte ofte samarbeider og deler dokumenter på nettverksansatte lagringsstasjoner.

Den virulente spredningen av CryptoLocker var også noe å se, som det var den enorme mengden penger det tok inn. Estimater varierer fra $ 3m til en svimlende $ 27m, da ofrene betalte løsesummen som ble krevd en masse, ivrige etter å få sine filer tilbake.

Ikke lenge etter, ble serverne som ble brukt til å betjene og kontrollere Cryptolocker-malware, tatt ned i Operational Tovar, og en database over ofre ble gjenopprettet. Dette var den samlede innsats fra politistyrker fra flere land, inkludert USA, Storbritannia, og de fleste europeiske land, og så lederen av gjengen bak malware påtalte av FBI.

Som bringer oss til i dag. CryptoLocker er offisielt død og begravet, selv om mange ikke klarer å få tilgang til sine beslaglagte filer, spesielt etter at betalings- og kontrollserverne ble tatt ned som en del av Operation Server.

Men det er fortsatt håp. Slik er CryptoLocker reversert, og hvordan du kan få filene dine tilbake.

Hvordan kryptolocker ble reversert

Etter at Kyrus Technologies reverserte konstruert CryptoLocker, var det neste som de gjorde å utvikle en dekrypteringsmotor.

Filer kryptert med CryptoLocker malware følger et bestemt format. Hver kryptert fil er utført med en AES-256-nøkkel som er unik for den aktuelle filen. Denne krypteringsnøkkelen blir deretter kryptert med et offentlig / privat nøkkelpar, ved hjelp av en sterkere, nesten ugjennomtrengelig RSA-2048-algoritme.

Den genererte publiserte nøkkelen er unik for datamaskinen, ikke den krypterte filen. Denne informasjonen, sammen med en forståelse av filformatet som ble brukt til å lagre krypterte filer, innebar at Kyrus Technologies kunne lage et effektivt dekrypteringsverktøy.

Men det var et problem. Selv om det var et verktøy for dekryptering av filer, var det ubrukelig uten de private krypteringsnøklene. Som et resultat var den eneste måten å låse opp en fil kryptert med CryptoLocker, med den private nøkkelen.

Heldigvis har FireEye og Fox-IT fått en betydelig andel av Cryptolocker private nøkler. Detaljer om hvordan de klarte dette er tynne på bakken; de sier rett og slett at de fikk dem gjennom "ulike partnerskap og omvendt tekniske engasjementer".

Dette biblioteket med private nøkler og dekrypteringsprogrammet som er opprettet av Kyrus Technologies, betyr at ofre for CryptoLocker nå har mulighet til å få sine filer tilbake, og uten kostnad for dem. Men hvordan bruker du det?

Dekryptere en CryptoLocker-infisert harddisk

Først blar du til decryptcryptolocker.com. Du skal trenge en prøvefil som er kryptert med Cryptolocker-skadelig programvare.

Deretter laster du opp den til DecryptCryptoLocker-nettsiden. Dette blir deretter behandlet, og (forhåpentligvis) returnerer den private nøkkelen som er knyttet til filen, som deretter vil bli sendt til deg.

Så er det et spørsmål om å laste ned og kjøre en liten kjørbar. Dette kjører på kommandolinjen, og krever at du spesifiserer filene du ønsker å dekryptere, så vel som din private nøkkel. Kommandoen til å kjøre den er:

Decryptolocker.exe -key “

Bare for å re-iterate - Dette vil ikke automatisk kjøre på hver berørt fil. Du må enten skanne dette med Powershell eller en Batch-fil, eller kjør det manuelt på en fil-for-fil basis.

Så, hva er de dårlige nyhetene?

Det er ikke alle gode nyheter skjønt. Det finnes en rekke nye varianter av CryptoLocker som fortsetter å sirkulere. Selv om de opererer på samme måte som CryptoLocker, er det ingen løsning for dem ennå, annet enn å betale løsepenge.

Mer dårlige nyheter. Hvis du allerede har betalt løsesummen, vil du sannsynligvis aldri se pengene igjen. Selv om det har vært noen gode anstrengelser gjort ved demontering av CryptoLocker-nettverket, har ingen av pengene opptjent fra skadelig programvare blitt gjenopprettet.

Det er en annen, mer relevant leksjon som skal læres her. Mange mennesker tok beslutningen om å tørke harddiskene sine og begynne på nytt i stedet for å betale løsesummen. Dette er forståelig. Disse personene vil imidlertid ikke kunne utnytte DeCryptoLocker til å gjenopprette filene sine.

Hvis du blir rammet med lignende ransomware Ikke betal opp - Slik slår du Ransomware! Ikke betal deg - hvordan å slå Ransomware! Tenk deg om noen viste seg på dørstokken din og sa: "Hei, det er mus i huset ditt som du ikke visste om. Gi oss $ 100, og vi blir kvitt dem." Dette er Ransomware ... Les mer og du ikke vil betale opp, vil du kanskje investere i en billig ekstern harddisk eller USB-stasjon og kopiere dine krypterte filer over. Dette gir mulighet for å gjenopprette dem senere.

Fortell meg om din CryptoLocker Experience

Ble du rammet av Cryptolocker? Har du klart å få filene dine tilbake? Fortell meg om det. Kommentarboksen er under.

Photo Credits: System Lock (Yuri Samoiliv), OWC ekstern harddisk (Karen).

Utforsk mer om: Anti-Malware, Encryption, Trojan Horse.