Annons
Goda nyheter för alla som påverkas av Cryptolocker. IT-säkerhetsföretag FireEye och Fox-IT har lanserat en efterlängtad tjänst för att dekryptera filer som hålls som gisslan av ökända ransomware Don't Fall Foul of the Scammers: En guide till Ransomware & andra hot Läs mer .
Detta kommer kort efter att forskare som arbetar för Kyrus Technology släppte ett blogginlägg med information om hur CryptoLocker fungerar, såväl som hur de omarbetade den för att skaffa den privata nyckel som används för att kryptera hundratusentals filer.
CryptoLocker-trojanen upptäcktes först av Dell SecureWorks i september förra året. Det fungerar genom att kryptera filer som har specifika filändelser och dekryptera dem bara när en lösen på $ 300 hade betalats.
Även om nätverket som betjänade trojanen så småningom togs bort förblir tusentals användare separerade från sina filer. Tills nu.
Har du drabbats av Cryptolocker? Vill du veta hur du kan få tillbaka dina filer? Läs vidare för mer info.
Cryptolocker: Let’s Recap
När Cryptolocker först brast på scenen, beskrev jag det som "den otäckaste skadliga programvaran någonsin CryptoLocker är det otäckaste skadliga programmet någonsin och här är vad du kan göraCryptoLocker är en typ av skadlig programvara som gör din dator helt oanvändbar genom att kryptera alla dina filer. Den kräver sedan monetära betalningar innan åtkomst till din dator returneras. Läs mer ‘. Jag kommer att stå vid det uttalandet. När det väl har tagit hand om ditt system kommer den att ta tag i dina filer med nästan obrottslig kryptering och debiterar dig en liten förmögenhet i Bitcoin för att få dem tillbaka.
Den attackerade inte bara lokala hårddiskar heller. Om det fanns en extern hårddisk eller en mappad nätverksenhet ansluten till en infekterad dator, skulle den också attackeras. Detta orsakade förödelse i företag där anställda ofta samarbetar och delar dokument på nätverksmonterade lagringsenheter.
Den virulenta spridningen av CryptoLocker var också något att se, liksom den fenomenala mängden pengar det drog in. Uppskattningsintervallet från $ 3 miljoner till en häpnadsväckande $ 27 miljoner, eftersom offren betalade lösen som krävdes en massa, ivriga att få tillbaka sina filer.
Inte länge efter togs de servrar som använde för att betjäna och kontrollera Cryptolocker skadlig programvara ned i 'Operativa Tovar‘, Och en databas över offer återhämtades. Detta var de kombinerade ansträngningarna från polisstyrkor från flera länder, inklusive USA, Storbritannien, och de flesta europeiska länder, och såg ledaren för gänget bakom den skadliga program som åtalats av FBI.
Som för oss till idag. CryptoLocker är officiellt död och begravd, även om många inte kan få tillgång till deras beslagtagna filer, särskilt efter att betalnings- och kontrollservern togs bort som en del av Operation Server.
Men det finns fortfarande hopp. Så här vändes CryptoLocker och hur du kan få tillbaka dina filer.
Hur Cryptolocker blev omvänd
Efter att Kyrus Technologies har utvecklat omvänd CryptoLocker var nästa sak de gjorde att utveckla en dekrypteringsmotor.
Filer som är krypterade med CryptoLocker malware följer ett specifikt format. Varje krypterad fil görs med en AES-256-nyckel som är unik för den specifika filen. Denna krypteringsnyckel krypteras därefter med ett offentligt / privat nyckelpar med en starkare nära ogenomtränglig RSA-2048-algoritm.
Den offentliga nyckeln som genereras är unik för din dator, inte den krypterade filen. Denna information i samband med förståelsen av filformatet som används för att lagra krypterade filer innebar att Kyrus Technologies kunde skapa ett effektivt dekrypteringsverktyg.
Men det var ett problem. Även om det fanns ett verktyg för att dekryptera filer, var det värdelöst utan de privata krypteringsnycklarna. Som ett resultat var det enda sättet att låsa upp en fil krypterad med CryptoLocker med den privata nyckeln.
Tack och lov har FireEye och Fox-IT förvärvat en betydande del av Cryptolockers privata nycklar. Detaljer om hur de lyckades med detta är tunna på marken; de säger helt enkelt att de fick dem genom "olika partnerskap och reverse engineering engagements".
Detta bibliotek med privata nycklar och dekrypteringsprogrammet skapat av Kyrus Technologies betyder att offer för CryptoLocker nu har ett sätt att få tillbaka sina fileroch utan kostnad för dem. Men hur använder du det?
Dekryptera en CryptoLocker-infekterad hårddisk
Bläddra först till decryptcryptolocker.com. Du kommer att behöva en exempelfil som har krypterats med Cryptolocker-skadlig programvara till hands.
Ladda upp det sedan till DecryptCryptoLocker-webbplatsen. Detta kommer sedan att behandlas, och (förhoppningsvis) returnera den privata nyckel som är associerad med filen som sedan kommer att skickas till dig.
Sedan handlar det om att ladda ner och köra en liten körbar. Detta körs på kommandoraden och kräver att du anger de filer du vill dekryptera samt din privata nyckel. Kommandot att köra det är:
Decryptolocker.exe –key “
”
Bara för att återupprepa - detta körs inte automatiskt på alla berörda filer. Du måste antingen skripta detta med Powershell eller en batch-fil, eller köra den manuellt från fil för fil.
Så vad är de dåliga nyheterna?
Det är dock inte alla goda nyheter. Det finns ett antal nya varianter av CryptoLocker som fortsätter att cirkulera. Även om de fungerar på liknande sätt som CryptoLocker, finns det ingen lösning för dem ännu, annat än att betala lösen.
Fler dåliga nyheter. Om du redan har betalat lösen kommer du förmodligen aldrig att se de pengarna någonsin igen. Även om det har gjorts några utmärkta ansträngningar för att demontera CryptoLocker-nätverket, har ingen av de pengar som tjänats in från skadlig programvara återhämtats.
Det finns en annan, mer relevant lektion att lära sig här. Många människor fattade beslutet att torka av hårddiskarna och börja om i stället för att betala lösen. Detta är förståeligt. Men dessa människor kommer inte att kunna dra nytta av DeCryptoLocker för att återställa sina filer.
Om du får hit med liknande ransomware Betala inte - Hur man slår Ransomware!Föreställ dig om någon dyker upp utanför dörren och sa: "Hej, det finns möss i ditt hus som du inte visste om. Ge oss 100 $ och vi kommer att bli av med dem. "Detta är Ransomware ... Läs mer och du vill inte betala, kanske du vill investera i en billig extern hårddisk eller USB-enhet och kopiera dina krypterade filer över. Detta ger möjligheten att återhämta dem vid ett senare tillfälle.
Berätta om din CryptoLocker-upplevelse
Har du träffats av Cryptolocker? Har du lyckats få tillbaka dina filer? Berätta om det. Kommentarrutan finns nedan.
Fotokrediter: Systemlås (Yuri Samoiliv), OWC extern hårddisk (Karen).
Matthew Hughes är en mjukvaruutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.