CryptoLocker ist tot: So können Sie Ihre Dateien zurückerhalten!

Werbung

Gute Nachrichten für alle, die von Cryptolocker betroffen sind. Die IT-Sicherheitsfirmen FireEye und Fox-IT haben einen lang erwarteten Dienst zum Entschlüsseln von Dateien gestartet, die von der Geisel gehalten werden berüchtigte Ransomware Lassen Sie sich nicht von den Betrügern verführen: Ein Leitfaden für Ransomware und andere Bedrohungen Weiterlesen .

Dies geschieht kurz nachdem Forscher, die für Kyrus Technology arbeiten, einen Blog-Beitrag veröffentlicht haben, in dem detailliert beschrieben wird, wie CryptoLocker funktioniert funktioniert, sowie wie sie es rückentwickelt haben, um den privaten Schlüssel zu erhalten, der zum Verschlüsseln von Hunderttausenden von verwendet wird Dateien.

Der CryptoLocker-Trojaner wurde im vergangenen September erstmals von Dell SecureWorks entdeckt. Es funktioniert, indem Dateien mit bestimmten Dateierweiterungen verschlüsselt und erst entschlüsselt werden, wenn ein Lösegeld von 300 US-Dollar gezahlt wurde.

Obwohl das Netzwerk, das den Trojaner bediente, schließlich heruntergefahren wurde, bleiben Tausende von Benutzern von ihren Dateien getrennt. Bis jetzt.

Wurdest du von Cryptolocker getroffen? Möchten Sie wissen, wie Sie Ihre Dateien zurückerhalten können? Lesen Sie weiter für weitere Informationen.

Cryptolocker: Fassen wir zusammen

Als Cryptolocker zum ersten Mal in der Szene auftauchte, beschrieb ich es als „böse Malware aller Zeiten CryptoLocker ist die schlimmste Malware aller Zeiten und hier ist, was Sie tun könnenCryptoLocker ist eine Art schädlicher Software, die Ihren Computer durch die Verschlüsselung aller Ihrer Dateien völlig unbrauchbar macht. Anschließend wird eine Geldzahlung verlangt, bevor der Zugriff auf Ihren Computer zurückgegeben wird. Weiterlesen ‘. Ich werde zu dieser Aussage stehen. Sobald es Ihr System in den Händen hält, erfasst es Ihre Dateien mit nahezu unzerbrechlicher Verschlüsselung und berechnet Ihnen eine Gebühr kleines Vermögen in Bitcoin um sie zurückzubekommen.

Es wurden auch nicht nur lokale Festplatten angegriffen. Wenn eine externe Festplatte oder ein zugeordnetes Netzwerklaufwerk an einen infizierten Computer angeschlossen wäre, würde auch dieser angegriffen. Dies verursachte Chaos in Unternehmen, in denen Mitarbeiter häufig zusammenarbeiten und Dokumente auf an das Netzwerk angeschlossenen Speicherlaufwerken austauschen.

Die virulente Verbreitung von CryptoLocker war ebenso sehenswert wie der phänomenale Geldbetrag, den es einbrachte. Schätzbereich ab 3 Mio. USD zu einer atemberaubende 27 Millionen DollarAls die Opfer das Lösegeld bezahlten, das massenhaft verlangt wurde, waren sie bestrebt, ihre Akten zurückzubekommen.

Nicht lange danach wurden die Server, auf denen die Cryptolocker-Malware bereitgestellt und gesteuert wurde, in „Operativer TovarUnd eine Datenbank mit Opfern wurde wiederhergestellt. Dies war die gemeinsame Anstrengung von Polizeikräften aus mehreren Ländern, einschließlich der USA, Großbritannien, und die meisten europäischen Länder, und sah den Rädelsführer der Bande hinter der von der angeklagten Malware FBI.

Was uns bis heute bringt. CryptoLocker ist offiziell tot und begraben, obwohl viele Menschen keinen Zugang zu ihrem haben beschlagnahmte Dateien, insbesondere nachdem die Zahlungs- und Kontrollserver im Rahmen von Operation heruntergefahren wurden Server.

Aber es gibt noch Hoffnung. Hier erfahren Sie, wie CryptoLocker umgekehrt wurde und wie Sie Ihre Dateien zurückerhalten können.

Wie Cryptolocker umgekehrt wurde

Nachdem Kyrus Technologies CryptoLocker rückentwickelt hatte, entwickelten sie als Nächstes eine Entschlüsselungs-Engine.

Mit der CryptoLocker-Malware verschlüsselte Dateien haben ein bestimmtes Format. Jede verschlüsselte Datei wird mit einem AES-256-Schlüssel erstellt, der für diese bestimmte Datei eindeutig ist. Dieser Verschlüsselungsschlüssel wird anschließend mit einem öffentlichen / privaten Schlüsselpaar unter Verwendung eines stärkeren nahezu undurchlässigen RSA-2048-Algorithmus verschlüsselt.

Der generierte öffentliche Schlüssel ist für Ihren Computer eindeutig und nicht für die verschlüsselte Datei. Diese Informationen in Verbindung mit dem Verständnis des Dateiformats zum Speichern verschlüsselter Dateien ermöglichten es Kyrus Technologies, ein effektives Entschlüsselungswerkzeug zu erstellen.

Aber es gab ein Problem. Obwohl es ein Tool zum Entschlüsseln von Dateien gab, war es ohne die privaten Verschlüsselungsschlüssel nutzlos. Daher war die einzige Möglichkeit, eine mit CryptoLocker verschlüsselte Datei zu entsperren, der private Schlüssel.

Zum Glück haben FireEye und Fox-IT einen erheblichen Anteil der privaten Cryptolocker-Schlüssel erworben. Details darüber, wie sie das geschafft haben, sind dürftig; Sie sagen einfach, dass sie sie durch „verschiedene Partnerschaften und Reverse Engineering-Engagements“ erhalten haben.

Diese Bibliothek privater Schlüssel und das von Kyrus Technologies erstellte Entschlüsselungsprogramm bedeuten, dass Opfer von CryptoLocker jetzt sind haben eine Möglichkeit, ihre Dateien zurückzubekommenund für sie kostenlos. Aber wie benutzt du es?

Entschlüsseln einer mit CryptoLocker infizierten Festplatte

Navigieren Sie zunächst zu decryptcryptolocker.com. Sie benötigen eine Beispieldatei, die mit der Cryptolocker-Malware verschlüsselt wurde.

Laden Sie es dann auf die DecryptCryptoLocker-Website hoch. Dies wird dann verarbeitet und (hoffentlich) der der Datei zugeordnete private Schlüssel zurückgegeben, der Ihnen dann per E-Mail zugeschickt wird.

Dann müssen Sie eine kleine ausführbare Datei herunterladen und ausführen. Dies wird in der Befehlszeile ausgeführt und erfordert, dass Sie die Dateien, die Sie entschlüsseln möchten, sowie Ihren privaten Schlüssel angeben. Der Befehl zum Ausführen lautet:

Decryptolocker.exe –key “”

Nur zum erneuten Wiederholen - Dies wird nicht automatisch für jede betroffene Datei ausgeführt. Sie müssen dies entweder mit Powershell oder einer Batch-Datei skripten oder es Datei für Datei manuell ausführen.

Was sind die schlechten Nachrichten?

Es sind jedoch nicht alle guten Nachrichten. Es gibt eine Reihe neuer Varianten von CryptoLocker, die weiterhin im Umlauf sind. Obwohl sie ähnlich wie CryptoLocker arbeiten, gibt es noch keine Lösung für sie, außer das Lösegeld zu zahlen.

Noch mehr schlechte Nachrichten. Wenn Sie das Lösegeld bereits bezahlt haben, werden Sie dieses Geld wahrscheinlich nie wieder sehen. Obwohl einige hervorragende Anstrengungen unternommen wurden, um das CryptoLocker-Netzwerk abzubauen, wurde kein Geld aus der Malware wiederhergestellt.

Hier gibt es noch eine weitere, sachdienlichere Lektion zu lernen. Viele Leute haben die Entscheidung getroffen, ihre Festplatten zu löschen und neu zu beginnen, anstatt das Lösegeld zu zahlen. Das ist verständlich. Diese Personen können DeCryptoLocker jedoch nicht nutzen, um ihre Dateien wiederherzustellen.

Wenn du bekommst mit ähnlicher Ransomware getroffen Zahlen Sie nicht - wie man Ransomware schlägt!Stellen Sie sich vor, jemand tauchte vor Ihrer Haustür auf und sagte: "Hey, in Ihrem Haus sind Mäuse, von denen Sie nichts wussten. Geben Sie uns 100 Dollar und wir werden sie los. "Dies ist die Ransomware ... Weiterlesen Wenn Sie nicht zahlen möchten, möchten Sie möglicherweise in eine billige externe Festplatte oder ein USB-Laufwerk investieren und Ihre verschlüsselten Dateien kopieren. Dies lässt die Möglichkeit offen, sie zu einem späteren Zeitpunkt wiederherzustellen.

Erzählen Sie mir von Ihrer CryptoLocker-Erfahrung

Wurdest du von Cryptolocker getroffen? Haben Sie es geschafft, Ihre Dateien zurückzubekommen? Erzähl mir davon. Das Kommentarfeld befindet sich unten.

Bildnachweis: Systemschloss (Yuri Samoiliv), OWC externe Festplatte (Karen).