„CryptoLocker“ mirė: štai kaip galite susigrąžinti failus!

„CryptoLocker“ mirė: štai kaip galite susigrąžinti failus!

Geros naujienos visiems, kuriuos paveikė „Cryptolocker“. IT saugumo firmos „FireEye“ ir „Fox-IT“ pradėjo ilgai lauktą paslaugą, skirtą iššifruoti žinomos išpirkos programinės įrangos įkaitus.





Tai įvyksta netrukus po to, kai „Kyrus Technology“ dirbantys mokslininkai paskelbė tinklaraščio įrašą, kuriame išsamiai aprašoma, kaip veikia „CryptoLocker“, ir kaip jie pakeitė jį, kad gautų privatų raktą, naudojamą šimtams tūkstančių failų užšifruoti.



Trojos arklys „CryptoLocker“ pirmą kartą buvo atrastas „Dell SecureWorks“ praėjusių metų rugsėjį. Jis veikia užšifruodamas failus, turinčius konkrečius failų plėtinius, ir iššifruojamas tik tada, kai buvo sumokėta 300 USD išpirkos suma.





Nors trojaną aptarnaujantis tinklas galiausiai buvo panaikintas, tūkstančiai vartotojų lieka atskirti nuo savo failų. Iki dabar.

Ar jus nukentėjo „Cryptolocker“? Norite sužinoti, kaip galite susigrąžinti failus? Norėdami gauti daugiau informacijos, skaitykite toliau.



Kriptografikas: pakartokime

Kai „Cryptolocker“ pirmą kartą pasirodė scenoje, aš ją apibūdinau kaip „bjauriausią kenkėjišką programinę įrangą“. Aš pasiliksiu prie šio teiginio. Kai tik jis pateks į jūsų sistemą, jis užims jūsų failus beveik nesulaužomu šifravimu ir apmokestins jus mažas turtas Bitcoin kad juos susigrąžintų.

Tai taip pat ne tik užpuolė vietinius kietuosius diskus. Jei prie užkrėsto kompiuterio būtų prijungtas išorinis kietasis diskas arba susietas tinklo diskas, jis taip pat būtų užpultas. Tai sukėlė sumaištį įmonėse, kuriose darbuotojai dažnai bendradarbiauja ir dalijasi dokumentais prie tinklo prijungtuose saugojimo įrenginiuose.



Taip pat buvo vertas dėmesio ir žiaurus „CryptoLocker“ plitimas, taip pat fenomenali pinigų suma, kurią ji pritraukė. nuo 3 mln į a stulbinantis 27 mln , nes aukos sumokėjo išpirką, kurios buvo reikalaujama masiškai, norėdamos susigrąžinti savo bylas.

Netrukus serveriai, naudojami „Cryptolocker“ kenkėjiškai programai aptarnauti ir valdyti, buvo pašalinti Veiklos prekės “, ir buvo atrasta aukų duomenų bazė. Tai buvo bendros policijos pajėgų iš kelių šalių, įskaitant JAV, JK ir daugumos Europos šalių pastangos, ir pamatė gaujos lyderį už kenkėjiškų programų, kurias apkaltino FTB.



Kuris mus atveda į šiandieną. „CryptoLocker“ yra oficialiai miręs ir palaidotas, nors daugelis žmonių negali gauti prieigos prie konfiskuotų failų, ypač po to, kai mokėjimo ir valdymo serveriai buvo pašalinti iš „Operacinio serverio“.

Bet dar yra vilties. Štai kaip „CryptoLocker“ buvo pakeista ir kaip galite susigrąžinti failus.

Kaip „Cryptolocker“ buvo pakeistas

Po to, kai „Kyrus Technologies“ pakeitė „CryptoLocker“, kitas dalykas, kurį jie padarė, buvo sukurti iššifravimo variklį.

Failai, užšifruoti naudojant „CryptoLocker“ kenkėjišką programą, atitinka tam tikrą formatą. Kiekvienas užšifruotas failas atliekamas naudojant AES-256 raktą, kuris yra unikalus tam konkrečiam failui. Vėliau šis šifravimo raktas užšifruojamas naudojant viešojo/privataus rakto porą, naudojant stipresnį beveik nepralaidų RSA-2048 algoritmą.

Sukurtas viešasis raktas yra unikalus jūsų kompiuteriui, o ne užšifruotas failas. Ši informacija kartu su šifruotų failų saugojimui naudojamo failo formato supratimu reiškė, kad „Kyrus Technologies“ sugebėjo sukurti veiksmingą iššifravimo įrankį.

Bet iškilo viena problema. Nors buvo įrankis failams iššifruoti, jis buvo nenaudingas be privačių šifravimo raktų. Dėl to vienintelis būdas atrakinti „CryptoLocker“ užšifruotą failą buvo naudojant privatų raktą.

Laimei, „FireEye“ ir „Fox-IT“ įsigijo didelę „Cryptolocker“ privačių raktų dalį. Išsami informacija apie tai, kaip jiems tai pavyko, yra plona ant žemės; jie tiesiog sako, kad juos gavo per „įvairias partnerystes ir atvirkštinės inžinerijos užduotis“.

Ši privačių raktų biblioteka ir „Kyrus Technologies“ sukurta iššifravimo programa reiškia, kad „CryptoLocker“ aukos dabar turi būdą susigrąžinti failus , ir jiems nieko nekainuoja. Bet kaip jį naudoti?

„CryptoLocker“ užkrėsto standžiojo disko iššifravimas

Pirmiausia eikite į decryptcryptolocker.com. Jums reikės failo pavyzdžio, kuris buvo užšifruotas naudojant „Cryptolocker“ kenkėjišką programą.

Tada įkelkite jį į „DecryptCryptoLocker“ svetainę. Tada jis bus apdorotas ir (tikiuosi) grąžins su failu susijusį privatų raktą, kuris jums bus išsiųstas el. Paštu.

Tada reikia atsisiųsti ir paleisti nedidelį vykdomąjį failą. Tai vykdoma komandų eilutėje ir reikalauja, kad nurodytumėte failus, kuriuos norite iššifruoti, taip pat privatų raktą. Komanda ją paleisti yra tokia:

2 žaidėjai skirtinguose kompiuteriuose

„Decryptolocker.exe“ raktas

Tik pakartoti - tai nebus automatiškai paleista kiekviename paveiktame faile. Turėsite tai parašyti naudodami „Powershell“ arba „Batch“ failą arba paleisti rankiniu būdu pagal kiekvieną failą.

Taigi, kas yra blogos naujienos?

Nors tai ne visos geros naujienos. Yra daugybė naujų „CryptoLocker“ variantų, kurie ir toliau cirkuliuoja. Nors jie veikia panašiai kaip „CryptoLocker“, jiems kol kas nėra jokių sprendimų, išskyrus mokėjimą už išpirką.

Daugiau blogų naujienų. Jei jau sumokėjote išpirką, tikriausiai niekada nebematysite tų pinigų. Nors buvo dedamos puikios pastangos išardant „CryptoLocker“ tinklą, nė vienas iš kenkėjiškų programų uždirbtų pinigų nebuvo atgautas.

Čia reikia išmokti dar vieną svarbesnę pamoką. Daugelis žmonių nusprendė išvalyti kietąjį diską ir pradėti iš naujo, o ne mokėti išpirką. Tai suprantama. Tačiau šie žmonės negalės pasinaudoti „DeCryptoLocker“ galimybėmis atkurti savo failus.

Jei jus užklumpa panaši išpirkos programa ir nenorite mokėti, galbūt norėsite investuoti į pigų išorinį standųjį diską arba USB diską ir nukopijuoti užšifruotus failus. Tai palieka galimybę jas atkurti vėliau.

Papasakokite apie savo „CryptoLocker“ patirtį

Ar jus nukentėjo „Cryptolocker“? Ar pavyko susigrąžinti failus? Papasakok apie tai. Žemiau yra komentarų langelis.

Nuotraukų kreditai: Sistemos užraktas (Jurijus Samoilivas) , OWC išorinis kietasis diskas (Karen) .

Dalintis Dalintis „Tweet“ Paštu Ar turėtumėte nedelsdami atnaujinti į „Windows 11“?

„Windows 11“ netrukus pasirodys, bet ar turėtumėte atnaujinti kuo greičiau arba palaukti kelias savaites? Išsiaiškinkime.

Skaityti toliau Susijusios temos
  • Saugumas
  • Šifravimas
  • Trojos arklys
  • Kenkėjiška programa
Apie autorių Matthew Hughesas(Paskelbti 386 straipsniai)

Matthew Hughesas yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai randamas be puodelio stiprios juodos kavos rankoje ir visiškai dievina savo „Macbook Pro“ ir fotoaparatą. Galite perskaityti jo tinklaraštį http://www.matthewhughes.co.uk ir sekti jį „Twitter“ adresu @matthewhughes.

Daugiau iš Matthew Hughes

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia