Καλά νέα για όσους έχουν πληγεί από το Cryptolocker. Οι εταιρείες ασφάλειας FireEye και Fox-IT έχουν ξεκινήσει μια πολυαναμενόμενη υπηρεσία για την αποκρυπτογράφηση αρχείων που κρατούνται όμηροι από το διαβόητο ransomware Μην πέσετε Foul από τους απατεώνες: Ένας οδηγός για Ransomware & άλλες απειλές Μην πέσει Foul των απατεώνων: A Οδηγός για το Ransomware & άλλες απειλές Διαβάστε περισσότερα.
Αυτό έρχεται σύντομα μετά από ερευνητές που εργάζονται για την Kyrus Technology κυκλοφόρησαν μια δημοσίευση στο blog που περιγράφει λεπτομερώς το πώς λειτουργεί το CryptoLocker, καθώς και πώς αντιστρέφονταν το σχεδιασμό του για να αποκτήσει το ιδιωτικό κλειδί που χρησιμοποιείται για την κρυπτογράφηση εκατοντάδων χιλιάδων αρχείων.
Το trojan CryptoLocker ανακαλύφθηκε για πρώτη φορά από την Dell SecureWorks τον περασμένο Σεπτέμβριο. Λειτουργεί με την κρυπτογράφηση αρχείων που έχουν συγκεκριμένες επεκτάσεις αρχείων και αποκρυπτογραφεί μόνο αφού έχουν καταβληθεί λύτρα ύψους $ 300.
Αν και το δίκτυο που εξυπηρετούσε τον Trojan καταλήφθηκε τελικά, χιλιάδες χρήστες παραμένουν χωρισμένοι από τα αρχεία τους. Μέχρι τώρα.
Έχετε πληγεί από την Cryptolocker; Θέλετε να μάθετε πώς μπορείτε να πάρετε τα αρχεία σας πίσω; Διαβάστε παρακάτω για περισσότερες πληροφορίες.
Cryptolocker: Ας ανακεφαλαιώσουμε
Όταν το Cryptolocker έσπασε για πρώτη φορά στη σκηνή, το περιέγραψα ως το «πιο κακόβουλο λογισμικό ποτέ CryptoLocker είναι το πιο κακόβουλο λογισμικό ποτέ και εδώ είναι τι μπορείτε να κάνετε CryptoLocker είναι το πιο κακόβουλο λογισμικό ποτέ και εδώ τι μπορείτε να κάνετε Το CryptoLocker είναι ένα είδος κακόβουλου λογισμικού που αποδίδει ο υπολογιστής σας είναι εντελώς ακατάλληλος, κρυπτογράφοντας όλα τα αρχεία σας. Στη συνέχεια, απαιτεί χρηματική πληρωμή πριν να επιστραφεί η πρόσβαση στον υπολογιστή σας. Διαβάστε περισσότερα '. Πάω να σταθώ στη δήλωση αυτή. Μόλις φτάσει τα χέρια σας στο σύστημά σας, θα αδράξει τα αρχεία σας με σχεδόν ασύγκριτη κρυπτογράφηση και θα σας χρεώσει μια μικρή περιουσία στο Bitcoin για να τα πάρει πίσω.
Δεν επιτέθηκε μόνο στους τοπικούς σκληρούς δίσκους. Εάν υπήρχε ένας εξωτερικός σκληρός δίσκος ή μια αντιστοιχισμένη μονάδα δίσκου δικτύου συνδεδεμένη με έναν μολυσμένο υπολογιστή, θα επιτίθετο και αυτός. Αυτό προκάλεσε τον όλεθρο σε επιχειρήσεις όπου οι υπάλληλοι συχνά συνεργάζονται και μοιράζονται έγγραφα σε μονάδες αποθήκευσης συνδεδεμένες στο δίκτυο.
Η κυρίαρχη εξάπλωση του CryptoLocker ήταν επίσης κάτι που είδε, όπως και το φαινομενικό χρηματικό ποσό που τραβούσε. Οι εκτιμήσεις κυμαίνονται από 3 εκατομμύρια δολάρια έως ένα εκπληκτικό ποσό 27 εκατομμυρίων δολαρίων, καθώς τα θύματα πλήρωσαν τα λύτρα που απαίτησαν μαζικά, πρόθυμα να πάρουν τα αρχεία τους πίσω.
Λίγο αργότερα, οι διακομιστές που χρησίμευαν για την εξυπηρέτηση και τον έλεγχο του κακόβουλου λογισμικού Cryptolocker καταλήφθηκαν στο 'Operational Tovar' και ανακτήθηκε μια βάση δεδομένων για τα θύματα. Αυτές ήταν οι συνδυασμένες προσπάθειες των αστυνομικών δυνάμεων από πολλές χώρες, συμπεριλαμβανομένων των ΗΠΑ, του Ηνωμένου Βασιλείου και των περισσότερων ευρωπαϊκών χωρών, και είδε τον επικεφαλής της συμμορίας πίσω από το κακόβουλο λογισμικό που κατηγορήθηκε από το FBI.
Αυτό μας φέρνει σήμερα. Το CryptoLocker είναι επίσημα νεκρό και θαμμένο, αν και πολλοί άνθρωποι δεν είναι σε θέση να έχουν πρόσβαση στα κατασχεθέντα αρχεία τους, ειδικά αφού οι διακομιστές πληρωμών και ελέγχου έχουν ληφθεί ως μέρος του λειτουργικού εξυπηρετητή.
Αλλά υπάρχει ακόμα ελπίδα. Ακολουθεί ο τρόπος με τον οποίο αντιστρέφθηκε το CryptoLocker και πώς μπορείτε να πάρετε τα αρχεία σας πίσω.
Πώς το Cryptolocker αντιστράφηκε
Μετά την αναστροφή της τεχνολογίας του Kyrus στην CryptoLocker, το επόμενο πράγμα που έκανε ήταν να αναπτύξει μια μηχανή αποκρυπτογράφησης.
Τα αρχεία που κρυπτογραφούνται με το κακόβουλο λογισμικό CryptoLocker ακολουθούν μια συγκεκριμένη μορφή. Κάθε κρυπτογραφημένο αρχείο γίνεται με κλειδί AES-256 που είναι μοναδικό για το συγκεκριμένο αρχείο. Αυτό το κλειδί κρυπτογράφησης στη συνέχεια κρυπτογραφείται με ζεύγος δημόσιου / ιδιωτικού κλειδιού, χρησιμοποιώντας ισχυρότερο σχεδόν αδιαπέραστο αλγόριθμο RSA-2048.
Το δημόσιο κλειδί που δημιουργείται είναι μοναδικό στον υπολογιστή σας, όχι στο κρυπτογραφημένο αρχείο. Αυτές οι πληροφορίες, σε συνδυασμό με την κατανόηση της μορφής αρχείου που χρησιμοποιήθηκε για την αποθήκευση κρυπτογραφημένων αρχείων, σήμαιναν ότι η Kyrus Technologies ήταν σε θέση να δημιουργήσει ένα αποτελεσματικό εργαλείο αποκρυπτογράφησης.
Αλλά υπήρχε ένα πρόβλημα. Παρόλο που υπήρχε ένα εργαλείο για την αποκρυπτογράφηση των αρχείων, ήταν άχρηστο χωρίς τα ιδιωτικά κλειδιά κρυπτογράφησης. Ως αποτέλεσμα, ο μόνος τρόπος για να ξεκλειδώσετε ένα αρχείο κρυπτογραφημένο με το CryptoLocker ήταν με το ιδιωτικό κλειδί.
Ευτυχώς, το FireEye και το Fox-IT έχουν αποκτήσει ένα σημαντικό ποσοστό από τα ιδιωτικά κλειδιά Cryptolocker. Λεπτομέρειες σχετικά με τον τρόπο με τον οποίο κατάφεραν αυτά είναι λεπτά στο έδαφος. απλώς λένε ότι τα πήραν μέσα από «διάφορες συνεργασίες και αντιστρεπτέες μηχανικές δεσμεύσεις».
Αυτή η βιβλιοθήκη ιδιωτικών κλειδιών και το πρόγραμμα αποκρυπτογράφησης που δημιουργήθηκε από την Κύρια Τεχνολογίες σημαίνει ότι τα θύματα του CryptoLocker έχουν τώρα έναν τρόπο να αποκτήσουν τα αρχεία τους πίσω και χωρίς κόστος γι 'αυτούς. Αλλά πώς το χρησιμοποιείτε;
Αποκρυπτογράφηση ενός μολυσμένου σκληρού δίσκου CryptoLocker
Πρώτα, περιηγηθείτε στο decryptcryptolocker.com. Θα χρειαστείτε ένα δείγμα αρχείου που έχει κρυπτογραφηθεί με το κακόβουλο λογισμικό Cryptolocker στο χέρι.
Στη συνέχεια, μεταφορτώστε την στην τοποθεσία DecryptCryptoLocker. Αυτό θα επεξεργαστεί και (ελπίζω) θα επιστρέψει το ιδιωτικό κλειδί που σχετίζεται με το αρχείο, το οποίο στη συνέχεια θα σας αποσταλεί μέσω ηλεκτρονικού ταχυδρομείου.
Στη συνέχεια, πρόκειται για λήψη και εκτέλεση ενός μικρού εκτελέσιμου αρχείου. Αυτό τρέχει στη γραμμή εντολών και απαιτεί να καθορίσετε τα αρχεία που θέλετε να αποκρυπτογραφήσετε καθώς και το ιδιωτικό κλειδί σας. Η εντολή για την εκτέλεση του είναι:
Decryptolocker.exe -key ""
Απλά για επανάληψη - Αυτό δεν θα εκτελεστεί αυτόματα σε κάθε αρχείο που επηρεάζεται. Θα χρειαστεί είτε να κάνετε scripting με Powershell είτε με ένα αρχείο Batch ή να το εκτελέσετε χειροκίνητα με βάση αρχεία.
Τι είναι τα κακά νέα;
Δεν είναι όμως όλα καλά μηνύματα. Υπάρχουν ορισμένες νέες παραλλαγές του CryptoLocker που συνεχίζουν να κυκλοφορούν. Παρόλο που λειτουργούν με παρόμοιο τρόπο με το CryptoLocker, δεν υπάρχει καμία λύση για τους ακόμα, εκτός από την πληρωμή λύτρα.
Περισσότερα κακά νέα. Εάν έχετε ήδη καταβάλει τα λύτρα, πιθανότατα δεν πρόκειται ποτέ να δείτε αυτά τα χρήματα ξανά. Παρόλο που έγιναν κάποιες εξαιρετικές προσπάθειες κατά την αποσυναρμολόγηση του δικτύου CryptoLocker, κανένα από τα χρήματα που κέρδισαν από το κακόβουλο λογισμικό δεν ανακτήθηκε.
Υπάρχει ένα άλλο, πιο κατάλληλο μάθημα για να μάθετε εδώ. Πολλοί άνθρωποι αποφάσισαν να σβήσουν τους σκληρούς δίσκους τους και να ξεκινήσουν ξανά αντί να πληρώσουν τα λύτρα. Αυτό είναι κατανοητό. Ωστόσο, αυτοί οι άνθρωποι δεν θα μπορούν να επωφεληθούν από το DeCryptoLocker για να ανακτήσουν τα αρχεία τους.
Αν έχετε πληγεί με παρόμοια ransomware Μην πληρώνετε - πώς να κερδίσει Ransomware! Μην πληρώσετε - Πώς να κερδίσετε Ransomware! Απλώς φανταστείτε αν κάποιος εμφανίστηκε στο κατώφλι σας και είπε: "Γεια σου, υπάρχουν ποντίκια στο σπίτι σου που δεν ξέρεις. Δώστε μας 100 δολάρια και θα τα ξεφορτωθούμε". Αυτό είναι το Ransomware ... Διαβάστε περισσότερα και δεν θέλετε να πληρώσετε, ίσως να θέλετε να επενδύσετε σε ένα φθηνό εξωτερικό σκληρό δίσκο ή USB Drive και να αντιγράψετε τα κρυπτογραφημένα αρχεία σας. Αυτό αφήνει ανοικτή τη δυνατότητα ανάκτησης αργότερα.
Πείτε μου για την εμπειρία CryptoLocker
Σας πλήττονται από την Cryptolocker; Έχετε καταφέρει να πάρετε τα αρχεία σας πίσω; Πες μου για αυτό. Το πλαίσιο των σχολίων είναι παρακάτω.
Συντελεστές φωτογραφίας: Κλείδωμα συστήματος (Yuri Samoiliv), εξωτερικός σκληρός δίσκος OWC (Karen).