Goed nieuws voor iedereen die getroffen is door Cryptolocker. IT-beveiligingsfirma's FireEye en Fox-IT hebben een langverwachte service gelanceerd om door de beruchte ransomware vastgehouden bestanden te ontsleutelen. Do not Fall Foul of the Scammers: A Guide to Ransomware & Other Threats Do not Fall Foul of the Scammers: A Guide to Ransomware & Other Threats Lees meer.
Dit komt kort nadat onderzoekers die voor Kyrus Technology werkten, een blogbericht uitbrachten waarin werd uiteengezet hoe CryptoLocker werkt, en hoe ze het hebben omgekeerd om de privésleutel te verkrijgen die wordt gebruikt om honderdduizenden bestanden te coderen.
De trojan van CryptoLocker werd voor het eerst ontdekt door Dell SecureWorks in september vorig jaar. Het werkt door bestanden met specifieke bestandsextensies te versleutelen en ze alleen te ontsleutelen nadat een losgeld van $ 300 is betaald.
Hoewel het netwerk dat het Trojan diende uiteindelijk werd verwijderd, blijven duizenden gebruikers gescheiden van hun bestanden. Tot nu.
Ben je geraakt door Cryptolocker? Wilt u weten hoe u uw bestanden terug kunt krijgen? Lees verder voor meer info.
Cryptolocker: laten we samenvatten
Toen Cryptolocker voor het eerst op de scène barstte, beschreef ik het als de 'smerigste malware ooit CryptoLocker is de smerigste malware ooit en hier is wat je kunt doen CryptoLocker is de smerigste malware ooit & hier is wat je kunt doen CryptoLocker is een soort kwaadaardige software die rendert uw computer volledig onbruikbaar door al uw bestanden te versleutelen. Vervolgens wordt er geld gevraagd voordat de toegang tot uw computer wordt geretourneerd. Lees verder '. Ik blijf bij die verklaring. Zodra het jouw systeem in handen krijgt, zal het jouw bestanden met bijna-onbreekbare encryptie grijpen en je een klein fortuin in Bitcoin bezorgen om ze terug te krijgen.
Het viel niet alleen lokale harde schijven aan. Als er een externe harde schijf of een toegewezen netwerkschijf was aangesloten op een geïnfecteerde computer, zou ook die worden aangevallen. Dit veroorzaakte ravage in bedrijven waar werknemers vaak samenwerken en documenten delen op netwerk gehechte opslagschijven.
De virulente verspreiding van CryptoLocker was ook iets om te aanschouwen, net als de fenomenale hoeveelheid geld die het binnenhaalde. Schattingen variëren van $ 3 miljoen tot een onthutsende $ 27 miljoen, omdat slachtoffers het losgeld betaalden dat massaal werd geëist, enthousiast om hun bestanden te bemachtigen. terug.
Niet lang daarna werden de servers die de Cryptolocker-malware bedienden en beheerden, verwijderd in 'Operational Tovar' en werd een database met slachtoffers teruggevonden. Dit waren de gecombineerde inspanningen van politiemachten uit meerdere landen, waaronder de VS, het VK en de meeste Europese landen, en zagen de leider van de bende achter de malware die door de FBI was aangeklaagd.
Dat brengt ons bij vandaag. CryptoLocker is officieel dood en begraven, hoewel veel mensen geen toegang kunnen krijgen tot hun in beslag genomen bestanden, vooral nadat de betalings- en controleservers zijn verwijderd als onderdeel van de Operation Server.
Maar er is nog steeds hoop. Zo is CryptoLocker omgekeerd en hoe u uw bestanden terug kunt krijgen.
Hoe Cryptolocker werd omgekeerd
Nadat Kyrus Technologies CryptoLocker had reverse-engineered, was het volgende dat ze deden een ontsleutelingsengine ontwikkelen.
Bestanden die zijn gecodeerd met de CryptoLocker-malware volgen een specifiek formaat. Elk gecodeerd bestand wordt uitgevoerd met een AES-256-sleutel die uniek is voor dat specifieke bestand. Deze coderingssleutel wordt vervolgens versleuteld met een publiek / privaat sleutelpaar, met behulp van een sterker bijna-ondoordringbaar RSA-2048-algoritme.
De gegenereerde openbare sleutel is uniek voor uw computer, niet het gecodeerde bestand. Deze informatie, in combinatie met een goed begrip van de bestandsindeling die wordt gebruikt om gecodeerde bestanden op te slaan, betekende dat Kyrus Technologies in staat was om een effectieve decryptietool te maken.
Maar er was één probleem. Hoewel er een hulpmiddel was om bestanden te decoderen, was het nutteloos zonder de private coderingssleutels. Als gevolg hiervan was de enige manier om een met CryptoLocker gecodeerd bestand te ontgrendelen met de persoonlijke sleutel.
Gelukkig hebben FireEye en Fox-IT een aanzienlijk deel van de privésleutels van Cryptolocker overgenomen. Details over hoe ze dit hebben beheerd zijn dun op de grond; ze zeggen eenvoudigweg dat ze hen door 'verschillende partnerschappen en reverse engineering-opdrachten' hebben geleid.
Deze bibliotheek met privésleutels en het ontcijferingsprogramma gemaakt door Kyrus Technologies betekent dat slachtoffers van CryptoLocker nu een manier hebben om hun bestanden terug te krijgen, en zonder kosten voor hen. Maar hoe gebruik je het?
Een door CryptoLocker aangetaste harde schijf decoderen
Blader eerst naar decryptcryptolocker.com. Je hebt een voorbeeldbestand nodig dat is versleuteld met de Cryptolocker-malware bij de hand.
Upload het vervolgens naar de DecryptCryptoLocker-website. Dit wordt dan verwerkt en (hopelijk) retourneert de persoonlijke sleutel die aan het bestand is gekoppeld en die vervolgens naar u wordt gemaild.
Dan is het een kwestie van een klein uitvoerbaar bestand downloaden en uitvoeren. Dit werkt op de opdrachtregel en vereist dat u de bestanden opgeeft die u wilt decoderen, evenals uw persoonlijke sleutel. De opdracht om het uit te voeren is:
Decryptolocker.exe -key ""
Gewoon opnieuw herhalen - Dit wordt niet automatisch uitgevoerd op elk aangetast bestand. U moet dit ofwel schrijven met Powershell of een batchbestand, of het handmatig per bestand uitvoeren.
Dus, wat is het slechte nieuws?
Het is echter niet allemaal goed nieuws. Er zijn een aantal nieuwe varianten van CryptoLocker die blijven circuleren. Hoewel ze op dezelfde manier werken als CryptoLocker, is er voor hen nog geen oplossing, behalve het losgeld betalen.
Meer slecht nieuws. Als je al het losgeld hebt betaald, zul je dit geld waarschijnlijk nooit meer zien. Hoewel er een aantal uitstekende inspanningen zijn geleverd om het CryptoLocker-netwerk te ontmantelen, is niets van het geld dat met de malware is verdiend, terugverdiend. 
Er is hier nog een andere, meer relevante les te leren. Veel mensen namen de beslissing om hun harde schijven te wissen en opnieuw te beginnen in plaats van het losgeld te betalen. Dit is begrijpelijk. Deze mensen kunnen echter niet profiteren van DeCryptoLocker om hun bestanden te herstellen.
Als u wordt geraakt door vergelijkbare ransomware Do not Pay Up - How To Beat Ransomware! Do not Pay Up - How To Beat Ransomware! Stelt u zich eens voor dat als er iemand op uw drempel kwam en zei: "Hé, er zijn muizen in uw huis waarvan u niet op de hoogte was. Geef ons $ 100 en we zullen ze kwijtraken." Dit is de Ransomware ... Lees Meer en je wilt niet betalen, je wilt misschien investeren in een goedkope externe harde schijf of USB-drive en je gecodeerde bestanden kopiëren. Dit laat de mogelijkheid open om ze op een later tijdstip te herstellen.
Vertel me over je CryptoLocker-ervaring
Ben je geraakt door Cryptolocker? Ben je erin geslaagd je bestanden terug te krijgen? Vertel me erover. Het opmerkingenveld staat hieronder.
Foto's: systeemvergrendeling (Yuri Samoiliv), externe OWC-schijf (Karen).