CryptoLocker мертв: вот как вы можете вернуть свои файлы!

CryptoLocker мертв: вот как вы можете вернуть свои файлы!

Хорошие новости для всех, кто пострадал от Cryptolocker. Фирмы по ИТ-безопасности FireEye и Fox-IT запустили долгожданный сервис по расшифровке файлов, захваченных печально известной программой-вымогателем.





Это произошло вскоре после того, как исследователи, работающие в Kyrus Technology, выпустили сообщение в блоге, в котором подробно описывается, как работает CryptoLocker, а также как они реверсивно спроектировали его для получения закрытого ключа, используемого для шифрования сотен тысяч файлов.



Троян CryptoLocker был впервые обнаружен компанией Dell SecureWorks в сентябре прошлого года. Он работает, шифруя файлы с определенными расширениями и расшифровывая их только после уплаты выкупа в размере 300 долларов.





Хотя сеть, обслуживающая трояна, в конечном итоге была отключена, тысячи пользователей остаются отделенными от своих файлов. До настоящего времени.

Вас ударил Cryptolocker? Хотите узнать, как вернуть свои файлы? Читайте дальше, чтобы узнать больше.



Cryptolocker: давайте подведем итоги

Когда Cryptolocker впервые появился на сцене, я назвал его «самой мерзкой вредоносной программой». Я буду придерживаться этого заявления. Как только он попадет в вашу систему, он захватит ваши файлы с помощью практически неразрушимого шифрования и взимает с вас небольшое состояние в биткойнах чтобы вернуть их.

Он также атаковал не только локальные жесткие диски. Если к зараженному компьютеру подключен внешний жесткий диск или подключенный сетевой диск, он тоже будет атакован. Это вызвало хаос на предприятиях, где сотрудники часто сотрудничают и обмениваются документами на сетевых дисках.



Яростное распространение CryptoLocker также заслуживает внимания, как и феноменальная сумма денег, которую он потянул. Диапазон оценок от $ 3 млн к ошеломляющие 27 миллионов долларов , поскольку жертвы массово платили выкуп, желая вернуть свои файлы.

Вскоре после этого серверы, которые использовались для обслуживания и контроля вредоносного ПО Cryptolocker, были отключены. Операционные товары ', и восстановлена ​​база данных жертв. Это были объединенные усилия полицейских сил из нескольких стран, включая США, Великобританию и большинство европейских стран, и видели главаря банды, стоящей за вредоносным ПО, которому ФБР предъявило обвинение.



Что подводит нас к сегодняшнему дню. CryptoLocker официально мертв и похоронен, хотя многие люди не могут получить доступ к своим изъятым файлам, особенно после того, как серверы платежей и управления были отключены как часть Operation Server.

Но надежда еще есть. Вот как был изменен CryptoLocker и как вы можете вернуть свои файлы.

Как был изменен Cryptolocker

После того, как Kyrus Technologies произвела реверс-инжиниринг CryptoLocker, следующее, что они сделали, - это разработка механизма дешифрования.

Файлы, зашифрованные с помощью вредоносного ПО CryptoLocker, имеют определенный формат. Каждый зашифрованный файл создается с помощью ключа AES-256, уникального для этого конкретного файла. Затем этот ключ шифрования шифруется парой открытого и закрытого ключей с использованием более сильного почти непроницаемого алгоритма RSA-2048.

Сгенерированный открытый ключ уникален для вашего компьютера, а не для зашифрованного файла. Эта информация в сочетании с пониманием формата файла, используемого для хранения зашифрованных файлов, означала, что Kyrus Technologies смогла создать эффективный инструмент дешифрования.

Но была одна проблема. Хотя существовал инструмент для расшифровки файлов, он был бесполезен без закрытых ключей шифрования. В результате единственный способ разблокировать файл, зашифрованный с помощью CryptoLocker, был с помощью закрытого ключа.

К счастью, FireEye и Fox-IT приобрели значительную часть закрытых ключей Cryptolocker. Подробностей о том, как им это удалось, мало на земле; они просто говорят, что получили их через «различные партнерства и обратный инжиниринг».

Эта библиотека закрытых ключей и программа дешифрования, созданная Kyrus Technologies, означает, что жертвы CryptoLocker теперь есть способ вернуть свои файлы , и бесплатно для них. Но как им пользоваться?

Расшифровка жесткого диска, зараженного CryptoLocker

Сначала перейдите на decryptcryptolocker.com. Вам понадобится образец файла, зашифрованный с помощью вредоносной программы Cryptolocker.

Затем загрузите его на сайт DecryptCryptoLocker. Затем он будет обработан и (надеюсь) вернет закрытый ключ, связанный с файлом, который затем будет отправлен вам по электронной почте.

Затем нужно загрузить и запустить небольшой исполняемый файл. Это выполняется в командной строке и требует, чтобы вы указали файлы, которые хотите расшифровать, а также свой закрытый ключ. Команда для его запуска:

кто звонит мне с этого номера бесплатно

Decryptolocker.exe –key

Просто чтобы повторить - это не будет автоматически запускаться для каждого затронутого файла. Вам нужно будет либо написать сценарий с помощью Powershell или пакетного файла, либо запустить его вручную для каждого файла.

Итак, что такое плохие новости?

Однако это не все хорошие новости. Есть ряд новых вариантов CryptoLocker, которые продолжают распространяться. Хотя они работают аналогично CryptoLocker, для них пока нет решения, кроме выплаты выкупа.

Еще плохие новости. Если вы уже заплатили выкуп, вы, вероятно, никогда больше не увидите эти деньги. Несмотря на то, что были предприняты отличные усилия по демонтажу сети CryptoLocker, ни одна из денег, полученных от вредоносного ПО, не была возвращена.

Здесь следует усвоить еще один, более уместный урок. Многие люди приняли решение стереть свои жесткие диски и начать все заново, вместо того, чтобы платить выкуп. Это понятно. Однако эти люди не смогут воспользоваться DeCryptoLocker для восстановления своих файлов.

Если вы столкнулись с подобной программой-вымогателем и не хотите платить за нее, вы можете приобрести дешевый внешний жесткий диск или USB-накопитель и скопировать зашифрованные файлы. Это оставляет открытой возможность их восстановления позднее.

Расскажите мне о своем опыте использования CryptoLocker

Вас сбил Cryptolocker? Вам удалось вернуть свои файлы? Расскажи мне об этом. Поле для комментариев находится ниже.

Фото кредиты: System Lock (Юрий Самойлов) , Внешний жесткий диск OWC (Карен) .

Делиться Делиться Твитнуть Эл. адрес Следует ли вам немедленно перейти на Windows 11?

Скоро выйдет Windows 11, но стоит ли обновиться как можно скорее или подождать несколько недель? Давайте разберемся.

Читать далее Похожие темы
  • Безопасность
  • Шифрование
  • Троянский конь
  • Защита от вредоносных программ
Об авторе Мэтью Хьюз(Опубликовано 386 статей)

Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно встретить без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и подписаться на него в твиттере @matthewhughes.

Ещё от Matthew Hughes

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться