CryptoLocker ist tot So können Sie Ihre Dateien zurückholen!

Gute Nachrichten für alle, die von Cryptolocker betroffen sind. Die IT-Sicherheitsfirmen FireEye und Fox-IT haben einen seit langem erwarteten Dienst zur Entschlüsselung von von der berüchtigten Ransomware in Besitz genommenen Dateien entwickelt Anleitung für Ransomware und andere Bedrohungen Lesen Sie weiter .

Kurz nachdem Wissenschaftler, die für Kyrus Technology arbeiten, einen Blogbeitrag veröffentlicht haben, in dem beschrieben wird, wie CryptoLocker funktioniert, und wie sie es rückentwickelt haben, um den privaten Schlüssel zu erhalten, mit dem Hunderttausende von Dateien verschlüsselt werden.

Der CryptoLocker-Trojaner wurde im letzten September von Dell SecureWorks entdeckt. Es verschlüsselt Dateien mit bestimmten Dateierweiterungen und entschlüsselt sie erst, wenn ein Lösegeld von 300 US-Dollar gezahlt wurde.

Obwohl das Netzwerk, das den Trojaner bediente, letztendlich abgeschaltet wurde, bleiben Tausende von Benutzern von ihren Dateien getrennt. Bis jetzt.

Wurden Sie von Cryptolocker getroffen? Möchten Sie wissen, wie Sie Ihre Dateien zurückbekommen können? Lesen Sie weiter für weitere Informationen.

Cryptolocker: Lass uns wiederholen

Als Cryptolocker zum ersten Mal in der Szene platzte, habe ich es als die „bösartigste Malware aller Zeiten beschrieben. CryptoLocker ist die bösartigste Malware, die Sie jemals tun können. CryptoLocker ist die bösartigste Malware, die Sie jemals tun können Ihr Computer ist durch die Verschlüsselung all Ihrer Dateien völlig unbrauchbar. Es fordert dann eine Geldzahlung an, bevor der Zugriff auf Ihren Computer zurückgegeben wird. Weiterlesen '. Ich werde zu dieser Aussage stehen. Sobald es Ihr System in die Hände bekommen hat, wird es Ihre Dateien mit nahezu unzerstörbarer Verschlüsselung belegen und Ihnen ein kleines Vermögen in Bitcoin in Rechnung stellen, um sie zurückzubekommen.

Es hat auch nicht nur lokale Festplatten angegriffen. Wenn ein externes Festplattenlaufwerk oder ein zugeordnetes Netzlaufwerk an einen infizierten Computer angeschlossen war, wurde auch dieses angegriffen. Dies führte zu Chaos in Unternehmen, in denen Mitarbeiter häufig zusammenarbeiten und Dokumente auf an das Netzwerk angeschlossenen Speicherlaufwerken austauschen.

Die virulente Verbreitung von CryptoLocker war ebenfalls etwas Besonderes, ebenso wie das phänomenale Geld, das dabei eingezogen wurde. Die Schätzungen reichen von 3 Millionen US-Dollar bis zu 27 Millionen US-Dollar, da die Opfer das Lösegeld zahlten, das gewollt war, um ihre Akten zu bekommen zurück.

Nicht lange danach wurden die Server, die zum Verwalten und Steuern der Cryptolocker-Malware verwendet wurden, in 'Operational Tovar' abgebrochen und eine Datenbank mit Opfern wiederhergestellt. Dies war die gemeinsame Anstrengung von Polizeikräften aus mehreren Ländern, einschließlich den USA, Großbritannien und den meisten europäischen Ländern, und sah den Anführer der Bande hinter der vom FBI angeklagten Malware.

Was uns bis heute bringt. CryptoLocker ist offiziell tot und vergraben, obwohl viele Benutzer keinen Zugriff auf ihre beschlagnahmten Dateien erhalten, insbesondere nachdem die Zahlungs- und Kontrollserver als Teil des Vorgangsservers heruntergefahren wurden.

Aber es gibt noch Hoffnung. So wurde CryptoLocker rückgängig gemacht und Sie können Ihre Dateien zurückholen.

Wie Cryptolocker zurückgenommen wurde

Nachdem Kyrus Technologies CryptoLocker zurückentwickelt hatte, wurde als Nächstes eine Entschlüsselungs-Engine entwickelt.

Dateien, die mit der CryptoLocker-Malware verschlüsselt wurden, unterliegen einem bestimmten Format. Jede verschlüsselte Datei wird mit einem AES-256-Schlüssel erstellt, der für diese bestimmte Datei eindeutig ist. Dieser Verschlüsselungsschlüssel wird anschließend mit einem öffentlichen / privaten Schlüsselpaar verschlüsselt, wobei ein stärkerer, nahezu undurchlässiger RSA-2048-Algorithmus verwendet wird.

Der generierte öffentliche Schlüssel ist für Ihren Computer eindeutig und nicht für die verschlüsselte Datei. Aufgrund dieser Informationen und der Kenntnis des Dateiformats, das zum Speichern verschlüsselter Dateien verwendet wird, konnte Kyrus Technologies ein wirksames Entschlüsselungswerkzeug erstellen.

Es gab aber ein Problem. Obwohl es ein Tool zum Entschlüsseln von Dateien gab, war es ohne die privaten Verschlüsselungsschlüssel unbrauchbar. Die einzige Möglichkeit, eine mit CryptoLocker verschlüsselte Datei zu entsperren, war mit dem privaten Schlüssel.

Zum Glück haben FireEye und Fox-IT einen erheblichen Anteil der privaten Cryptolocker-Schlüssel erworben. Details darüber, wie sie das geschafft haben, sind am Boden dünn; Sie sagen einfach, sie hätten sie durch "verschiedene Partnerschaften und Reverse Engineering Engagements" bekommen.

Diese Bibliothek von privaten Schlüsseln und das von Kyrus Technologies erstellte Entschlüsselungsprogramm bedeuten, dass CryptoLocker-Opfer jetzt eine Möglichkeit haben, ihre Dateien zurückzuholen, und dies ohne Kosten für sie. Aber wie benutzt du es??

Entschlüsseln eines mit CryptoLocker infizierten Festplattenlaufwerks

Navigieren Sie zunächst zu decryptcryptolocker.com. Sie benötigen eine mit der Cryptolocker-Malware verschlüsselte Beispieldatei.

Laden Sie ihn dann auf die DecryptCryptoLocker-Website hoch. Dieser wird dann verarbeitet und gibt (hoffentlich) den privaten Schlüssel der Datei zurück, der Ihnen dann per E-Mail zugeschickt wird.

Dann müssen Sie eine kleine ausführbare Datei herunterladen und ausführen. Dies wird in der Befehlszeile ausgeführt und erfordert, dass Sie die Dateien angeben, die Sie entschlüsseln möchten, sowie Ihren privaten Schlüssel. Der Befehl zum Ausführen lautet:

Decryptolocker.exe -key “”

Nur zur Wiederholung - Dies wird nicht automatisch für jede betroffene Datei ausgeführt. Sie müssen entweder ein Skript mit Powershell oder einer Batch-Datei erstellen oder manuell auf Dateibasis ausführen.

Was ist die schlechte Nachricht??

Es sind aber nicht nur gute Nachrichten. Es gibt eine Reihe neuer Varianten von CryptoLocker, die weiterhin im Umlauf sind. Obwohl sie auf ähnliche Weise wie CryptoLocker funktionieren, gibt es noch keine Lösung für sie, außer das Lösegeld zu zahlen.

Noch mehr schlechte Nachrichten. Wenn Sie das Lösegeld bereits bezahlt haben, werden Sie dieses Geld wahrscheinlich nie wieder sehen. Obwohl das CryptoLocker-Netzwerk einige hervorragende Anstrengungen unternommen hat, um das CryptoLocker-Netzwerk zu demontieren, wurde das mit der Malware verdiente Geld nicht wiederhergestellt.

Es gibt eine andere, relevantere Lektion, die hier gelernt werden muss. Viele Leute entschieden sich dafür, ihre Festplatten zu löschen und von vorne zu beginnen, anstatt das Lösegeld zu zahlen. Das ist verständlich. Diese Personen können DeCryptoLocker jedoch nicht zur Wiederherstellung ihrer Dateien nutzen.

Wenn Sie mit ähnlicher Ransomware getroffen werden, zahlen Sie nicht auf - wie man Ransomware besiegt! Bezahlen Sie nicht - wie man Ransomware besiegt! Stellen Sie sich vor, wenn jemand vor Ihrer Tür auftauchte und sagte: "Hey, in Ihrem Haus gibt es Mäuse, von denen Sie nichts wussten. Geben Sie uns 100 Dollar, und wir werden sie loswerden." Dies ist die Ransomware… Lesen Sie mehr, und Sie möchten nicht bezahlen, Sie möchten in eine billige externe Festplatte oder ein USB-Laufwerk investieren und Ihre verschlüsselten Dateien kopieren. Dies eröffnet die Möglichkeit, sie zu einem späteren Zeitpunkt wiederherzustellen.

Erzählen Sie mir von Ihrem CryptoLocker-Erlebnis

Wurden Sie von Cryptolocker getroffen? Haben Sie Ihre Dateien zurückbekommen? Erzähl mir davon. Das Kommentarfeld befindet sich unten.

Bildnachweise: System Lock (Yuri Samoiliv), externe Festplatte OWC (Karen).

Erfahren Sie mehr über: Anti-Malware, Verschlüsselung, Trojanisches Pferd.