Anuncio
Buenas noticias para cualquier persona afectada por Cryptolocker. Las firmas de seguridad de TI FireEye y Fox-IT han lanzado un servicio largamente esperado para descifrar los archivos tomados como rehenes por el notorio ransomware No caiga mal de los estafadores: una guía para ransomware y otras amenazas Lee mas .
Esto ocurre poco después de que los investigadores que trabajan para Kyrus Technology publicaron una publicación de blog que detalla cómo CryptoLocker funciona, así como la ingeniería inversa para adquirir la clave privada utilizada para cifrar cientos de miles de archivos.
El troyano CryptoLocker fue descubierto por primera vez por Dell SecureWorks en septiembre pasado. Funciona cifrando archivos que tienen extensiones de archivo específicas, y solo descifrándolos una vez que se pagó un rescate de $ 300.
Aunque la red que sirvió al troyano finalmente fue eliminada, miles de usuarios permanecen separados de sus archivos. Hasta ahora.
¿Has sido golpeado por Cryptolocker? ¿Quiere saber cómo puede recuperar sus archivos? Sigue leyendo para más información.
Cryptolocker: recapitulemos
Cuando Cryptolocker apareció por primera vez en la escena, lo describí como el ‘el malware más desagradable jamás CryptoLocker es el malware más desagradable de la historia y esto es lo que puede hacerCryptoLocker es un tipo de software malicioso que hace que su computadora sea completamente inutilizable al encriptar todos sus archivos. Luego exige un pago monetario antes de que se le devuelva el acceso a su computadora. Lee mas ‘. Voy a apoyar esa afirmación. Una vez que tenga en sus manos su sistema, tomará sus archivos con un cifrado casi irrompible y le cobrará un pequeña fortuna en Bitcoin para recuperarlos.
No solo atacó los discos duros locales, tampoco. Si hubiera un disco duro externo o una unidad de red asignada conectada a una computadora infectada, también sería atacada. Esto causó estragos en las empresas donde los empleados a menudo colaboran y comparten documentos en unidades de almacenamiento conectadas a la red.
La propagación virulenta de CryptoLocker también fue algo digno de contemplar, al igual que la cantidad fenomenal de dinero que atrajo. Rango de estimaciones desde $ 3m a un asombrosos $ 27m, mientras las víctimas pagaban el rescate que se exigía en masa, ansiosos por recuperar sus archivos.
No mucho después, los servidores utilizados para servir y controlar el malware Cryptolocker fueron eliminados en ‘Tovar operacional‘, Y se recuperó una base de datos de víctimas. Estos fueron los esfuerzos combinados de las fuerzas policiales de varios países, incluidos los Estados Unidos, el Reino Unido, y la mayoría de los países europeos, y vimos al líder de la pandilla detrás del malware acusado por el FBI
Lo que nos lleva al día de hoy. CryptoLocker está oficialmente muerto y enterrado, aunque muchas personas no pueden acceder a sus archivos incautados, especialmente después de que los servidores de pago y control fueron retirados como parte de la Operación Servidor.
Pero todavía hay esperanza. Así es como se invirtió CryptoLocker y cómo puede recuperar sus archivos.
Cómo se invirtió Cryptolocker
Después de que Kyrus Technologies realizó ingeniería inversa de CryptoLocker, lo siguiente que hicieron fue desarrollar un motor de descifrado.
Los archivos cifrados con el malware CryptoLocker siguen un formato específico. Cada archivo encriptado se realiza con una clave AES-256 que es única para ese archivo en particular. Esta clave de cifrado se codifica posteriormente con un par de claves pública / privada, utilizando un algoritmo RSA-2048 casi impermeable más fuerte.
La clave pública generada es exclusiva de su computadora, no el archivo cifrado. Esta información, junto con una comprensión del formato de archivo utilizado para almacenar archivos cifrados, significó que Kyrus Technologies pudo crear una herramienta de descifrado efectiva.
Pero había un problema. Aunque había una herramienta para descifrar archivos, era inútil sin las claves de cifrado privadas. Como resultado, la única forma de desbloquear un archivo cifrado con CryptoLocker era con la clave privada.
Afortunadamente, FireEye y Fox-IT han adquirido una proporción significativa de las claves privadas de Cryptolocker. Los detalles sobre cómo lograron esto son escasos en el terreno; simplemente dicen que los consiguieron a través de "varias asociaciones y trabajos de ingeniería inversa".
Esta biblioteca de claves privadas y el programa de descifrado creado por Kyrus Technologies significa que las víctimas de CryptoLocker ahora tener una forma de recuperar sus archivos, y sin costo para ellos. ¿Pero cómo lo usas?
Descifrar un disco duro infectado con CryptoLocker
Primero, vaya a decryptcryptolocker.com. Necesitará un archivo de muestra que se haya cifrado con el malware Cryptolocker a mano.
Luego, cárguelo al sitio web DecryptCryptoLocker. Esto se procesará y (con suerte) devolverá la clave privada asociada con el archivo que luego se le enviará por correo electrónico.
Luego, se trata de descargar y ejecutar un pequeño ejecutable. Esto se ejecuta en la línea de comando y requiere que especifique los archivos que desea descifrar, así como su clave privada. El comando para ejecutarlo es:
Decryptolocker.exe –key “
”
Solo para volver a iterar: esto no se ejecutará automáticamente en todos los archivos afectados. Deberá realizar una secuencia de comandos con Powershell o con un archivo Batch, o ejecutarlo manualmente archivo por archivo.
Entonces, ¿cuáles son las malas noticias?
Sin embargo, no todas son buenas noticias. Hay una serie de nuevas variantes de CryptoLocker que continúan circulando. Aunque operan de manera similar a CryptoLocker, todavía no hay una solución para ellos, aparte de pagar el rescate.
Más malas noticias. Si ya pagó el rescate, probablemente nunca volverá a ver ese dinero nunca más. Aunque se han realizado algunos esfuerzos excelentes para desmantelar la red CryptoLocker, no se ha recuperado nada del dinero ganado por el malware.
Hay otra lección más pertinente que aprender aquí. Mucha gente tomó la decisión de borrar sus discos duros y comenzar de nuevo en lugar de pagar el rescate. Esto es entendible. Sin embargo, estas personas no podrán aprovechar DeCryptoLocker para recuperar sus archivos.
Si lo consigues golpear con ransomware similar No pagues - ¡Cómo vencer al ransomware!Imagínese si alguien apareciera en su puerta y dijera: "Oye, hay ratones en tu casa que no sabías. Danos $ 100 y nos desharemos de ellos. "Este es el Ransomware ... Lee mas y no desea pagar, puede invertir en un disco duro externo o USB barato y copiar sus archivos encriptados. Esto deja abierta la posibilidad de recuperarlos en una fecha posterior.
Cuéntame sobre tu experiencia CryptoLocker
¿Te golpeó Cryptolocker? ¿Has logrado recuperar tus archivos? Cuéntame sobre eso. El cuadro de comentarios está debajo.
Créditos fotográficos: Bloqueo del sistema (Yuri Samoiliv), Disco duro externo OWC (Karen).
Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en twitter en @matthewhughes.