Хорошие новости для тех, кто пострадал от Cryptolocker. Фирмы по информационной безопасности FireEye и Fox-IT запустили долгожданную услугу по расшифровке файлов, находящихся в заложниках у пресловутого вымогателя: «
Это произошло вскоре после того, как исследователи, работающие в Kyrus Technology, опубликовали сообщение в блоге, в котором подробно рассказывается о том, как работает CryptoLocker, а также о том, как они реверсировали его, чтобы получить закрытый ключ, используемый для шифрования сотен тысяч файлов.
Троян CryptoLocker был впервые обнаружен Dell SecureWorks в сентябре прошлого года. Он работает путем шифрования файлов с определенными расширениями, и расшифровывает их только после уплаты выкупа в размере 300 долларов.
Хотя сеть, которая обслуживала троян, была в конечном счете разрушена, тысячи пользователей остаются отделенными от своих файлов. До нынешнего момента.
Вы пострадали от Cryptolocker? Хотите знать, как вы можете получить свои файлы обратно? Читайте дальше для получения дополнительной информации.
Cryptolocker: давайте вспомним
Когда Cryptolocker впервые появился на сцене, я охарактеризовал его как «самую ужасную вредоносную программу, которая когда-либо существовала. отвратительная вредоносная программа, когда- ». Я собираюсь поддержать это заявление. Как только он попадет в вашу систему, он захватит ваши файлы с практически неразрушимым шифрованием и потребует небольшую сумму в биткойнах, чтобы вернуть их.
Он не только атакует локальные жесткие диски. Если к зараженному компьютеру подключен внешний жесткий диск или подключенный сетевой диск, он также будет атакован. Это вызвало хаос в компаниях, где сотрудники часто сотрудничают и обмениваются документами на сетевых накопителях.
Вирусное распространение CryptoLocker также было чем-то, что можно увидеть, как и феноменальное количество денег, которые он потратил. Оценки колеблются от 3 до 27 миллионов долларов , поскольку жертвы платили выкуп, который требовался в массовом порядке, стремясь получить свои файлы. обратно.
Вскоре после этого серверы, используемые для обслуживания и контроля вредоносного ПО Cryptolocker, были уничтожены в « Операционном Товаре », и была восстановлена база данных жертв. Это были совместные усилия полицейских сил из разных стран, включая США, Великобританию и большинство европейских стран, и они стали главой банды, стоящей за вредоносным ПО, обвиняемым ФБР.
Что подводит нас к сегодняшнему дню. CryptoLocker официально мертв и похоронен, хотя многие люди не могут получить доступ к их изъятым файлам, особенно после того, как серверы платежей и контроля были отключены как часть Operation Server.
Но все еще есть надежда. Вот как CryptoLocker был полностью изменен, и как вы можете получить ваши файлы обратно.
Как Cryptolocker был полностью изменен
После того, как компания Cryrus Technologies реверсивно разработала CryptoLocker, они разработали механизм расшифровки.
Файлы, зашифрованные с помощью вредоносного ПО CryptoLocker, имеют определенный формат. Каждый зашифрованный файл создается с помощью ключа AES-256, уникального для этого конкретного файла. Этот ключ шифрования затем впоследствии шифруется парой открытого / секретного ключей, используя более сильный почти непроницаемый алгоритм RSA-2048.
Созданный открытый ключ является уникальным для вашего компьютера, а не зашифрованный файл. Эта информация в сочетании с пониманием формата файлов, используемых для хранения зашифрованных файлов, означала, что Kyrus Technologies смогла создать эффективный инструмент дешифрования.
Но была одна проблема. Хотя был инструмент для расшифровки файлов, он был бесполезен без закрытых ключей шифрования. В результате единственным способом разблокировать файл, зашифрованный с помощью CryptoLocker, был закрытый ключ.
К счастью, FireEye и Fox-IT приобрели значительную долю закрытых ключей Cryptolocker. Подробности о том, как им это удалось, очень скудны; они просто говорят, что получили их через «различные партнерские отношения и обратное проектирование».
Эта библиотека закрытых ключей и программа дешифрования, созданная Kyrus Technologies, означает, что жертвы CryptoLocker теперь могут получить свои файлы обратно и бесплатно. Но как ты это используешь?
Расшифровка жесткого диска, зараженного CryptoLocker
Во-первых, перейдите на decryptcryptolocker.com. Вам понадобится образец файла, который был зашифрован с помощью вредоносной программы Cryptolocker.
Затем загрузите его на веб-сайт DecryptCryptoLocker. Затем он будет обработан и (надеюсь) вернет закрытый ключ, связанный с файлом, который затем будет отправлен вам по электронной почте.
Затем нужно загрузить и запустить небольшой исполняемый файл. Это выполняется в командной строке и требует, чтобы вы указали файлы, которые вы хотите расшифровать, а также ваш личный ключ. Команда для запуска это:
Decryptolocker.exe — ключ «<ключ>» <Lockedfile.doc>
Просто для повторения — это не будет автоматически запускаться для каждого затронутого файла. Вам нужно будет либо выполнить сценарий с помощью Powershell или пакетного файла, либо запустить его вручную для каждого файла отдельно.
Итак, что за плохие новости?
Это не все хорошие новости, хотя. Есть ряд новых вариантов CryptoLocker, которые продолжают циркулировать. Хотя они работают аналогично CryptoLocker, для них пока нет никаких исправлений, кроме как выплата выкупа.
Еще плохие новости. Если вы уже заплатили выкуп, вы, вероятно, никогда больше не увидите эти деньги. Хотя были предприняты некоторые отличные усилия по демонтажу сети CryptoLocker, ни одна из денег, заработанных от вредоносного ПО, не была возвращена. 
Здесь есть еще один, более подходящий урок. Многие люди приняли решение стереть свои жесткие диски и начать все заново, а не платить выкуп. Это понятно. Однако эти люди не смогут использовать DeCryptoLocker для восстановления своих файлов.
Если вы столкнулись с подобными вымогателями и вы не хотите платить, вы можете инвестировать в дешевый внешний жесткий диск или USB-накопитель и копировать зашифрованные файлы поверх. Это оставляет открытой возможность их восстановления на более поздний срок.
Расскажите мне о вашем опыте CryptoLocker
Вас поразил криптолокер? Вам удалось вернуть ваши файлы? Расскажи мне об этом. Поле для комментариев ниже.
Фото предоставлены: System Lock (Юрий Самойлов) , внешний жесткий диск OWC (Карен) .