Home-theater-designers
Boas notícias para qualquer pessoa afetada pelo Cryptolocker. As empresas de segurança de TI FireEye e Fox-IT lançaram um serviço há muito aguardado para descriptografar arquivos mantidos como reféns pelo notório ransomware.
Isso ocorre logo depois que pesquisadores que trabalham para a Kyrus Technology lançaram um post de blog detalhando como o CryptoLocker funciona, bem como a engenharia reversa dele para adquirir a chave privada usada para criptografar centenas de milhares de arquivos.
O trojan CryptoLocker foi descoberto pela primeira vez pela Dell SecureWorks em setembro passado. Ele funciona criptografando arquivos que possuem extensões de arquivo específicas e somente os descriptografando quando um resgate de $ 300 foi pago.
Embora a rede que servia ao Trojan tenha sido finalmente desativada, milhares de usuários permanecem separados de seus arquivos. Até agora.
Você foi atingido por Cryptolocker? Quer saber como você pode recuperar seus arquivos? Continue lendo para mais informações.
Cryptolocker: vamos recapitular
Quando o Cryptolocker apareceu pela primeira vez, eu o descrevi como o 'malware mais desagradável de todos os tempos'. Vou manter essa declaração. Assim que colocar as mãos em seu sistema, ele apreenderá seus arquivos com criptografia quase inquebrável e cobrará de você um pequena fortuna em bitcoin para recuperá-los.
Ele não atacou apenas discos rígidos locais. Se houvesse um disco rígido externo ou uma unidade de rede mapeada conectada a um computador infectado, ele também seria atacado. Isso causou confusão em empresas onde os funcionários costumam colaborar e compartilhar documentos em unidades de armazenamento conectadas à rede.
A disseminação virulenta do CryptoLocker também foi algo a se observar, assim como a quantidade fenomenal de dinheiro que ele arrecadou. de $ 3m para um espantosos $ 27 milhões , enquanto as vítimas pagavam o resgate exigido em massa, ansiosas por recuperar seus arquivos.
Não muito depois, os servidores usados para servir e controlar o malware Cryptolocker foram retirados do ar em ' Bens Operacionais ', e um banco de dados de vítimas foi recuperado. Este foi o esforço combinado de forças policiais de vários países, incluindo os EUA, o Reino Unido e a maioria dos países europeus, e viu o líder da gangue por trás do malware indiciado pelo FBI.
O que nos traz até hoje. O CryptoLocker está oficialmente morto e enterrado, embora muitas pessoas não consigam acessar seus arquivos apreendidos, especialmente depois que os servidores de pagamento e controle foram desativados como parte do Operation Server.
Mas ainda há esperança. Veja como o CryptoLocker foi revertido e como você pode recuperar seus arquivos.
Como o Cryptolocker foi revertido
Depois que a Kyrus Technologies fez a engenharia reversa do CryptoLocker, a próxima coisa que fizeram foi desenvolver um mecanismo de descriptografia.
Os arquivos criptografados com o malware CryptoLocker seguem um formato específico. Cada arquivo criptografado é feito com uma chave AES-256 exclusiva para aquele arquivo específico. Essa chave de criptografia é então criptografada subsequentemente com um par de chaves pública / privada, usando um algoritmo RSA-2048 quase impermeável mais forte.
A chave pública gerada é exclusiva para o seu computador, não o arquivo criptografado. Essas informações, em conjunto com a compreensão do formato de arquivo usado para armazenar arquivos criptografados, significa que a Kyrus Technologies foi capaz de criar uma ferramenta de descriptografia eficaz.
Mas havia um problema. Embora houvesse uma ferramenta para descriptografar arquivos, ela era inútil sem as chaves de criptografia privadas. Como resultado, a única maneira de desbloquear um arquivo criptografado com o CryptoLocker era com a chave privada.
Felizmente, a FireEye e a Fox-IT adquiriram uma proporção significativa das chaves privadas do Cryptolocker. Detalhes sobre como eles conseguiram isso são escassos; eles simplesmente dizem que os conseguiram por meio de 'várias parcerias e projetos de engenharia reversa'.
Esta biblioteca de chaves privadas e o programa de descriptografia criado pela Kyrus Technologies significa que as vítimas do CryptoLocker agora têm uma maneira de obter seus arquivos de volta , e sem nenhum custo para eles. Mas como você usa isso?
Descriptografando um disco rígido infectado pelo CryptoLocker
Primeiro, navegue até decryptcryptolocker.com. Você vai precisar de um arquivo de amostra que foi criptografado com o malware Cryptolocker em mãos.
Em seguida, carregue-o no site DecryptCryptoLocker. Isso será então processado e (com sorte) retornará a chave privada associada ao arquivo, que será enviado a você por e-mail.
Depois, é só baixar e rodar um pequeno executável. Isso é executado na linha de comando e requer que você especifique os arquivos que deseja descriptografar, bem como sua chave privada. O comando para executá-lo é:
melhores coisas para assistir no youtube
Decryptolocker.exe –key
Apenas para reiterar - Isso não será executado automaticamente em todos os arquivos afetados. Você precisará criar um script com o Powershell ou um arquivo em lote ou executá-lo manualmente arquivo por arquivo.
Então, quais são as más notícias?
Mas nem tudo são boas notícias. Existem várias novas variantes do CryptoLocker que continuam a circular. Embora operem de maneira semelhante ao CryptoLocker, ainda não há solução para eles, a não ser pagar o resgate.
Mais más notícias. Se você já pagou o resgate, provavelmente nunca mais verá aquele dinheiro. Embora tenha havido alguns esforços excelentes para desmantelar a rede CryptoLocker, nenhum dinheiro ganho com o malware foi recuperado.
Há outra lição mais pertinente a ser aprendida aqui. Muitas pessoas decidiram limpar seus discos rígidos e começar do zero, em vez de pagar o resgate. Isto é incompreensível. No entanto, essas pessoas não poderão tirar proveito do DeCryptoLocker para recuperar seus arquivos.
Se você for atingido por um ransomware semelhante e não quiser pagar, pode investir em um disco rígido externo barato ou unidade USB e copiar seus arquivos criptografados. Isso deixa em aberto a possibilidade de recuperá-los em uma data posterior.
Conte-me sobre sua experiência com o CryptoLocker
Você foi atingido pelo Cryptolocker? Você conseguiu recuperar seus arquivos? Me fale sobre isso. A caixa de comentários está abaixo.
Créditos fotográficos: Bloqueio do sistema (Yuri Samoiliv) , Disco rígido externo OWC (Karen) .
Compartilhado Compartilhado Tweet O email Você deve atualizar para o Windows 11 imediatamente?O Windows 11 estará disponível em breve, mas você deve atualizar o mais rápido possível ou esperar algumas semanas? Vamos descobrir.
Leia a seguir Tópicos relacionados- Segurança
- Encriptação
- Cavalo de Tróia
- Anti-Malware
Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café forte na mão e adora seu Macbook Pro e sua câmera. Você pode ler seu blog em http://www.matthewhughes.co.uk e segui-lo no twitter em @matthewhughes.
Mais de Matthew HughesAssine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Clique aqui para se inscrever