Gode nyheder til alle, der er ramt af Cryptolocker. IT-sikkerhedsfirmaer FireEye og Fox-IT har lanceret en efterlengtet tjeneste til dekryptering af filer, der blev holdt gidsel af den berygtede ransomware Do not Fall Foul of the Scammers: En guide til Ransomware og andre trusler falder ikke i stykker af svindlere: A Guide til Ransomware & Andre trusler Læs mere.
Dette kommer snart, efter at forskere, der arbejdede for Kyrus Technology, udgav et blogpost, der beskriver hvordan CryptoLocker fungerer, samt hvordan de omvendt konstruerede den til at erhverve den private nøgle, der bruges til at kryptere hundredtusinder af filer.
CryptoLocker trojan blev først opdaget af Dell SecureWorks i september sidste år. Det virker ved at kryptere filer, der har specifikke filudvidelser, og kun dekryptere dem, når en løsepenge på $ 300 er blevet betalt.
Selv om netværket, der serverede trojanerne, til sidst blev taget ned, bliver tusindvis af brugere adskilt fra deres filer. Indtil nu.
Har du været ramt af Cryptolocker? Vil du vide, hvordan du kan få dine filer tilbage? Læs videre for mere info.
Cryptolocker: Lad os genoprette
Når Cryptolocker først sprængte på scenen, beskrev jeg det som den nemmeste malware nogensinde CryptoLocker er den nastiest malware nogensinde, og her er hvad du kan gøre CryptoLocker er den smukkeste malware Ever & Her er hvad du kan gøre CryptoLocker er en form for ondsindet software, der gør Din computer er helt ubrugelig ved at kryptere alle dine filer. Det kræver derefter monetær betaling, før adgang til din computer returneres. Læs mere '. Jeg vil stå ved denne erklæring. Når den får hænderne på dit system, vil den gribe dine filer med næsten ubrydelig kryptering og oplade dig en lille formue i Bitcoin for at få dem tilbage.
Det angreb ikke bare lokale harddiske, heller ikke. Hvis der var en ekstern harddisk eller et kortlagt netværksdrev forbundet til en inficeret computer, ville det også blive angrebet. Dette har forårsaget kaos i virksomheder, hvor medarbejdere ofte samarbejder og deler dokumenter på netværksforbundne lagringsdrev.
Den virulente spredning af CryptoLocker var også noget at se, ligesom den fænomenale mængde penge, den tog i. Estimaterne spænder fra $ 3m til en svimlende $ 27m, da ofrene betalte løsepenge, der blev krævet en masse, ivrig efter at få deres filer tilbage.
Ikke længe efter blev serverne, der bruges til at betjene og kontrollere Cryptolocker-malware, taget ned i 'Operationel Tovar', og en database over ofre blev genoprettet. Dette var den samlede indsats fra politistyrker fra flere lande, herunder USA, Det Forenede Kongerige og de fleste europæiske lande, og så lederskabet af banden bag malware, der blev anklaget af FBI.
Hvilket bringer os til i dag. CryptoLocker er officielt død og begravet, selv om mange mennesker ikke kan få adgang til deres beslaglagte filer, især efter at betalings- og kontrolserverne blev taget ned som en del af Operation Server.
Men der er stadig håb. Sådan er CryptoLocker vendt, og hvordan du kan få dine filer tilbage.
Hvordan Cryptolocker blev vendt
Efter Kyrus Technologies omvendt konstrueret CryptoLocker, var det næste, de gjorde, at udvikle en dekrypteringsmotor.
Filer, der er krypteret med CryptoLocker-malware, følger et bestemt format. Hver krypteret fil udføres med en AES-256-nøgle, der er unik for den pågældende fil. Denne krypteringsnøgle krypteres derefter med et offentligt / privat nøglepar ved hjælp af en stærkere uigennemtrængelig RSA-2048-algoritme.
Den genererede offentlige nøgle er unik for din computer, ikke den krypterede fil. Disse oplysninger, sammen med en forståelse af filformatet, der blev brugt til at gemme krypterede filer, betød, at Kyrus Technologies kunne skabe et effektivt dekrypteringsværktøj.
Men der var et problem. Selvom der var et værktøj til dekryptering af filer, var det ubrugeligt uden de private krypteringsnøgler. Som følge heraf var den eneste måde at låse op på en fil krypteret med CryptoLocker med den private nøgle.
Heldigvis har FireEye og Fox-IT erhvervet en betydelig del af Cryptolocker private nøgler. Detaljer om hvordan de klare dette er tynde på jorden; de siger blot, at de har fået dem gennem "forskellige partnerskaber og reverse engineering engagements".
Dette bibliotek af private nøgler og dekrypteringsprogrammet, der er oprettet af Kyrus Technologies, betyder, at ofre for CryptoLocker nu har mulighed for at få deres filer tilbage og uden omkostninger for dem. Men hvordan bruger du det?
Dekryptere en CryptoLocker inficeret harddisk
Først gennemse til decryptcryptolocker.com. Du skal bruge en prøvefil, der er krypteret med Cryptolocker-malware til hånden.
Upload det derefter til DecryptCryptoLocker-webstedet. Dette bliver så behandlet, og (forhåbentlig) returnerer den private nøgle, der er forbundet med filen, som derefter vil blive sendt til dig.
Så er det et spørgsmål om at downloade og køre en lille eksekverbar. Dette kører på kommandolinjen, og kræver, at du angiver de filer, du ønsker at dekryptere, såvel som din private nøgle. Kommandoen til at køre den er:
Decryptolocker.exe -key ""
Bare for at gentage det - Dette vil ikke automatisk køre på hver berørt fil. Du skal enten script dette med Powershell eller en Batch-fil eller køre det manuelt på en fil-for-fil basis.
Så hvad er de dårlige nyheder?
Det er dog ikke alle gode nyheder. Der er en række nye varianter af CryptoLocker, der fortsætter med at cirkulere. Selvom de fungerer på samme måde som CryptoLocker, er der ingen løsning for dem endnu, undtagen at betale løsepenge.
Flere dårlige nyheder. Hvis du allerede har betalt løsepenge, vil du sandsynligvis aldrig se de penge nogensinde igen. Selv om der har været nogle gode bestræbelser ved demontering af CryptoLocker-netværket, er ingen af de penge, der er tjent på malware, blevet genoprettet.
Der er en anden, mere relevant lære at lære her. Mange mennesker traf beslutningen om at tørre deres harddiske og starte igen i stedet for at betale løsepenge. Dette er forståeligt. Men disse mennesker vil ikke være i stand til at udnytte DeCryptoLocker til at genoprette deres filer.
Hvis du bliver ramt med lignende ransomware Betal ikke op - Sådan slår du Ransomware! Betal ikke op - Sådan slår du Ransomware! Bare forestil dig, om nogen dukkede op for din dør og sagde: "Hej, der er mus i dit hus, som du ikke vidste om. Giv os $ 100, og vi vil slippe af med dem." Dette er Ransomware ... Læs mere og du ikke ønsker at betale op, kan du investere i en billig ekstern harddisk eller USB-drev og kopiere dine krypterede filer over. Dette giver mulighed for at genvinde dem på et senere tidspunkt.
Fortæl mig om din CryptoLocker Experience
Var du ramt af Cryptolocker? Har du formået at få dine filer tilbage? Fortæl mig om det. Kommentarboksen er nedenfor.
Foto Credits: System Lock (Yuri Samoiliv), OWC ekstern harddisk (Karen).