Home-theater-designers
Gode nyheter for alle som er berørt av Cryptolocker. IT-sikkerhetsfirmaene FireEye og Fox-IT har lansert en etterlengtet tjeneste for å dekryptere filer som holdes som gissel av den beryktede ransomware.
Dette kommer kort tid etter at forskere som jobber for Kyrus Technology ga ut et blogginnlegg som beskriver hvordan CryptoLocker fungerer, samt hvordan de omvendt konstruerte den for å skaffe den private nøkkelen som ble brukt til å kryptere hundretusenvis av filer.
CryptoLocker -trojanen ble først oppdaget av Dell SecureWorks i september i fjor. Det fungerer ved å kryptere filer som har spesifikke filutvidelser, og bare dekryptere dem når en løsepenger på $ 300 var betalt.
Selv om nettverket som tjente trojaneren til slutt ble tatt ned, forblir tusenvis av brukere atskilt fra filene sine. Inntil nå.
Har du blitt rammet av Cryptolocker? Vil du vite hvordan du kan få filene dine tilbake? Les videre for mer informasjon.
Cryptolocker: La oss oppsummere
Da Cryptolocker først brøt ut på scenen, beskrev jeg det som den 'styggeste malware noensinne'. Jeg kommer til å stå ved den uttalelsen. Når det får hendene på systemet ditt, vil det gripe filene dine med nesten uknuselig kryptering og belaste deg en liten formue i Bitcoin for å få dem tilbake.
Det angrep ikke bare lokale harddisker heller. Hvis det var en ekstern harddisk eller en tilordnet nettverksstasjon koblet til en infisert datamaskin, ville den også bli angrepet. Dette forårsaket kaos i virksomheter der ansatte ofte samarbeider og deler dokumenter på nettverkstilkoblede lagringsstasjoner.
Den virulente spredningen av CryptoLocker var også noe å se, det samme var den fenomenale mengden penger den trakk inn. Estimater fra $ 3 millioner til a svimlende 27 millioner dollar , da ofrene betalte løsepengen som ble krevd i massevis, ivrige etter å få filene tilbake.
Ikke lenge etter ble serverne som ble brukt til å betjene og kontrollere Cryptolocker -malware fjernet i Driftsvarer ', og en database med ofre ble funnet. Dette var den kombinerte innsatsen til politistyrker fra flere land, inkludert USA, Storbritannia og de fleste europeiske land, og så lederen av gjengen bak skadelig programvare som FBI anklaget.
Noe som bringer oss til i dag. CryptoLocker er offisielt død og begravet, selv om mange mennesker ikke klarer å få tilgang til de beslaglagte filene, spesielt etter at betalings- og kontrollserverne ble tatt ned som en del av Operation Server.
Men det er fortsatt håp. Her er hvordan CryptoLocker ble reversert, og hvordan du kan få filene dine tilbake.
Hvordan Cryptolocker ble reversert
Etter at Kyrus Technologies omvendt konstruerte CryptoLocker, var det neste de gjorde å utvikle en dekrypteringsmotor.
Filer kryptert med CryptoLocker -skadelig programvare følger et bestemt format. Hver krypterte fil utføres med en AES-256-nøkkel som er unik for den aktuelle filen. Denne krypteringsnøkkelen blir deretter kryptert med et offentlig/privat nøkkelpar, ved hjelp av en sterkere nesten ugjennomtrengelig RSA-2048-algoritme.
Den generelle offentlige nøkkelen er unik for datamaskinen din, ikke den krypterte filen. Denne informasjonen, i forbindelse med forståelse av filformatet som ble brukt til å lagre krypterte filer, betydde at Kyrus Technologies klarte å lage et effektivt dekrypteringsverktøy.
Men det var ett problem. Selv om det var et verktøy for å dekryptere filer, var det ubrukelig uten de private krypteringsnøklene. Som et resultat var den eneste måten å låse opp en fil kryptert med CryptoLocker med den private nøkkelen.
Heldigvis har FireEye og Fox-IT kjøpt en betydelig andel av Cryptolocker private nøkler. Detaljer om hvordan de klarte dette er tynne på bakken; de sier bare at de har fått dem gjennom 'forskjellige partnerskap og reverse engineering -engasjementer'.
Dette biblioteket med private nøkler og dekrypteringsprogrammet opprettet av Kyrus Technologies betyr at ofre for CryptoLocker nå har en måte å få filene sine tilbake , og uten kostnad for dem. Men hvordan bruker du det?
Dekryptering av en infisert harddisk med CryptoLocker
Bla først til decryptcryptolocker.com. Du trenger en prøvefil som er kryptert med Cryptolocker -skadelig programvare.
Last den deretter opp til DecryptCryptoLocker -nettstedet. Dette vil deretter bli behandlet, og (forhåpentligvis) returnere den private nøkkelen som er knyttet til filen som deretter vil bli sendt til deg.
Deretter er det et spørsmål om å laste ned og kjøre en liten kjørbar. Dette kjører på kommandolinjen, og krever at du spesifiserer filene du vil dekryptere, så vel som din private nøkkel. Kommandoen for å kjøre den er:
Hvis du avslår en venneforespørsel på facebook, kan de legge deg til igjen
Decryptolocker.exe –nøkkel
Bare for å gjenta det - Dette kjøres ikke automatisk på hver berørte fil. Du må enten script dette med Powershell eller en batchfil, eller kjøre den manuelt fil-for-fil-basis.
Så, hva er de dårlige nyhetene?
Det er ikke alle gode nyheter. Det er en rekke nye varianter av CryptoLocker som fortsetter å sirkulere. Selv om de fungerer på samme måte som CryptoLocker, er det ingen løsning for dem ennå, annet enn å betale løsepenger.
Flere dårlige nyheter. Hvis du allerede har betalt løsepenger, kommer du sannsynligvis aldri til å se pengene igjen. Selv om det har blitt gjort en god innsats for å demontere CryptoLocker -nettverket, er ingen av pengene som er tjent med skadelig programvare blitt gjenvunnet.
Det er en annen, mer relevant leksjon å lære her. Mange tok beslutningen om å tørke harddiskene og begynne på nytt i stedet for å betale løsepenger. Dette er forståelig. Disse menneskene vil imidlertid ikke kunne dra fordel av DeCryptoLocker for å gjenopprette filene sine.
Hvis du blir truffet av lignende ransomware og du ikke vil betale opp, kan det være lurt å investere i en billig ekstern harddisk eller USB-stasjon og kopiere de krypterte filene over. Dette åpner muligheten for å gjenopprette dem på et senere tidspunkt.
Fortell meg om din CryptoLocker -opplevelse
Ble du truffet av Cryptolocker? Har du klart å få filene dine tilbake? Fortell meg om det. Kommentarfeltet er nedenfor.
Bildekreditter: Systemlås (Yuri Samoiliv) , OWC ekstern harddisk (Karen) .
Dele Dele kvitring E -post Bør du oppgradere til Windows 11 umiddelbart?Windows 11 kommer snart, men bør du oppdatere så snart som mulig eller vente noen uker? La oss finne det ut.
Les neste Relaterte temaer- Sikkerhet
- Kryptering
- Trojansk hest
- Anti-Malware
Matthew Hughes er en programvareutvikler og forfatter fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følge ham på twitter på @matthewhughes.
Mer fra Matthew HughesAbonner på vårt nyhetsbrev
Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!
Klikk her for å abonnere