Содержание
Хорошие новости для тех, кто пострадал от Cryptolocker. Фирмы по информационной безопасности FireEye и Fox-IT запустили долгожданный сервис для дешифрования файлов, находящихся в заложниках у пресловутого вымогателя
,
Это произошло вскоре после того, как исследователи, работающие в Kyrus Technology, опубликовали сообщение в блоге, в котором подробно рассказывается о том, как работает CryptoLocker, и как они реверсируют его для получения закрытого ключа, используемого для шифрования сотен тысяч файлов.
Троян CryptoLocker был впервые обнаружен Dell SecureWorks в сентябре прошлого года. Он работает, зашифровывая файлы с определенными расширениями, и расшифровывая их только после уплаты выкупа в размере 300 долларов.
Хотя сеть, которая обслуживала троян, была в конечном счете разрушена, тысячи пользователей остаются отделенными от своих файлов. До сих пор.
Вы были поражены Cryptolocker? Хотите знать, как вы можете получить свои файлы обратно? Читайте дальше для получения дополнительной информации.
Cryptolocker: давайте вспомним
Когда Cryptolocker впервые появился на сцене, я назвал его самым грязным вредоносным ПО за всю историю
«. Я собираюсь поддержать это заявление. Как только он попадет в вашу систему, он захватит ваши файлы с практически неразрушимым шифрованием и потребует небольшую сумму в биткойнах, чтобы вернуть их.
Он не просто атаковал локальные жесткие диски. Если к зараженному компьютеру подключен внешний жесткий диск или подключенный сетевой диск, он также будет атакован. Это вызвало хаос в компаниях, где сотрудники часто сотрудничают и обмениваются документами на сетевых накопителях.
Вирулентное распространение CryptoLocker также было чем-то, что можно увидеть, как и феноменальное количество денег, которые он потратил. Оценки колеблются от 3 до 27 миллионов долларов, поскольку жертвы платили выкуп, который требовался в массовом порядке, стремясь получить свои файлы. назад.
Вскоре после этого серверы, используемые для обслуживания и контроля вредоносного ПО Cryptolocker, были уничтожены в «Операционном Товаре», и была восстановлена база данных жертв. Это были объединенные усилия полицейских сил из разных стран, включая США, Великобританию и большинство европейских стран, и они стали главой банды, стоящей за вредоносным ПО, обвиняемым ФБР.
Что подводит нас к сегодняшнему дню. CryptoLocker официально мертв и похоронен, хотя многие люди не могут получить доступ к их изъятым файлам, особенно после того, как серверы платежей и контроля были отключены как часть Operation Server.
Но надежда все еще есть. Вот как CryptoLocker был полностью изменен, и как вы можете получить ваши файлы обратно.
Как Cryptolocker был полностью изменен
После того, как Kyrus Technologies реверс-разработал CryptoLocker, они разработали механизм расшифровки.
Файлы, зашифрованные с помощью вредоносного ПО CryptoLocker, имеют определенный формат. Каждый зашифрованный файл создается с помощью ключа AES-256, который является уникальным для этого конкретного файла. Этот ключ шифрования затем впоследствии шифруется парой открытого / секретного ключей, используя более сильный почти непроницаемый алгоритм RSA-2048.
Созданный открытый ключ является уникальным для вашего компьютера, а не зашифрованный файл. Эта информация в сочетании с пониманием формата файлов, используемых для хранения зашифрованных файлов, означала, что Kyrus Technologies смогла создать эффективный инструмент дешифрования.
Но была одна проблема. Хотя был инструмент для расшифровки файлов, он был бесполезен без закрытых ключей шифрования. В результате единственным способом разблокировать файл, зашифрованный с помощью CryptoLocker, был закрытый ключ.
К счастью, FireEye и Fox-IT приобрели значительную долю закрытых ключей Cryptolocker. Подробности о том, как им это удалось, на земле невелики; они просто говорят, что получили их через «различные партнерские отношения и обратное проектирование».
Эта библиотека закрытых ключей и программа дешифрования, созданная Kyrus Technologies, означает, что жертвы CryptoLocker теперь могут получить свои файлы обратно и бесплатно. Но как ты это используешь?
Расшифровка жесткого диска, зараженного CryptoLocker
Сначала перейдите на decryptcryptolocker.com. Вам понадобится образец файла, который был зашифрован с помощью вредоносного ПО Cryptolocker.
Затем загрузите его на веб-сайт DecryptCryptoLocker. Затем он будет обработан и (надеюсь) вернет закрытый ключ, связанный с файлом, который затем будет отправлен вам по электронной почте.
Затем нужно загрузить и запустить небольшой исполняемый файл. Это выполняется в командной строке и требует, чтобы вы указали файлы, которые вы хотите расшифровать, а также ваш личный ключ. Команда для запуска это:
Decryptolocker.exe — ключ «»
Просто для повторения — это не будет автоматически запускаться для каждого затронутого файла. Вам нужно будет либо выполнить сценарий с помощью Powershell или пакетного файла, либо запустить его вручную для каждого файла отдельно.
Итак, что за плохие новости?
Это не все хорошие новости, хотя. Есть ряд новых вариантов CryptoLocker, которые продолжают циркулировать. Хотя они работают аналогично CryptoLocker, для них пока нет никаких решений, кроме как заплатить выкуп.
Еще плохие новости. Если вы уже заплатили выкуп, вы, вероятно, больше никогда не увидите эти деньги. Хотя были предприняты некоторые отличные усилия по демонтажу сети CryptoLocker, ни одна из денег, заработанных от вредоносного ПО, не была возвращена.
Здесь есть еще один, более подходящий урок. Многие люди приняли решение стереть свои жесткие диски и начать все заново, а не платить выкуп. Это понятно. Однако эти люди не смогут использовать DeCryptoLocker для восстановления своих файлов.
Если вы получили удар с подобным вымогателей
и вы не хотите платить, вы можете инвестировать в дешевый внешний жесткий диск или USB-накопитель и копировать зашифрованные файлы поверх. Это оставляет открытой возможность их восстановления на более поздний срок.
Расскажите мне о вашем опыте CryptoLocker
Вас поразил криптолокер? Вам удалось вернуть ваши файлы? Расскажи мне об этом. Поле для комментариев ниже.
Фото предоставлены: System Lock (Юрий Самойлов), OWC внешний жесткий диск (Карен).
