Sécurité

CryptoLocker Is Dead Voici comment récupérer vos fichiers!

CryptoLocker Is Dead Voici comment récupérer vos fichiers! / Sécurité

Bonne nouvelle pour les personnes touchées par Cryptolocker. Les sociétés de sécurité informatique FireEye et Fox-IT ont lancé un service attendu depuis longtemps pour décrypter les fichiers retenus en otage par le célèbre logiciel de ransomware. Ne tombez pas dans le piège des arnaqueurs: un guide des ransomwares et autres menaces Guide to Ransomware & Other Threats En savoir plus .

Cela arrive peu de temps après que des chercheurs travaillant pour Kyrus Technology aient publié un article de blog expliquant le fonctionnement de CryptoLocker, ainsi que son ingénierie inverse, pour acquérir la clé privée utilisée pour chiffrer des centaines de milliers de fichiers..

Le cheval de Troie CryptoLocker a été découvert par Dell SecureWorks en septembre dernier. Il fonctionne en chiffrant les fichiers portant des extensions spécifiques et en ne les déchiffrant qu’une fois le paiement d’une rançon de 300 dollars..

Bien que le réseau qui servait le cheval de Troie ait finalement été démantelé, des milliers d’utilisateurs restent séparés de leurs fichiers. Jusqu'à maintenant.

Avez-vous été frappé par Cryptolocker? Vous voulez savoir comment récupérer vos fichiers? Lire la suite pour plus d'informations.

Cryptolocker: récapitulons

Lorsque Cryptolocker a fait son entrée sur le marché, je l'ai décrit comme le «malware le plus malveillant jamais créé». CryptoLocker est le plus malveillant des logiciels malveillants de tous les temps. votre ordinateur est totalement inutilisable en cryptant tous vos fichiers. Il demande ensuite un paiement en espèces avant que l'accès à votre ordinateur ne soit renvoyé. Lire la suite '. Je vais me tenir à cette déclaration. Une fois qu'il aura la main sur votre système, il saisira vos fichiers avec un cryptage presque incassable et vous facturera une petite fortune en Bitcoin pour les récupérer..

Il n'a pas simplement attaqué les disques durs locaux non plus. S'il existait un disque dur externe ou un lecteur réseau mappé connecté à un ordinateur infecté, il serait également attaqué. Cela a provoqué des ravages dans les entreprises où les employés collaborent et partagent souvent des documents sur des lecteurs de stockage connectés au réseau..

La prolifération virulente de CryptoLocker était également à prendre en compte, tout comme la somme phénoménale qu’elle a récupérée. Les estimations vont de 3 millions de dollars à 27 millions de dollars, les victimes payant la rançon exigée en masse, impatiente de récupérer leurs dossiers. retour.

Peu de temps après, les serveurs utilisés pour gérer et gérer le programme malveillant Cryptolocker ont été arrêtés dans «Operational Tovar» et une base de données des victimes a été récupérée. C'étaient les efforts combinés des forces de police de plusieurs pays, y compris les États-Unis, le Royaume-Uni et la plupart des pays européens. Le chef de file du gang derrière le malware a été mis en accusation par le FBI..

Ce qui nous amène à aujourd'hui. CryptoLocker est officiellement mort et enterré, bien que de nombreuses personnes ne puissent pas accéder aux fichiers saisis, en particulier après la suppression des serveurs de paiement et de contrôle dans Operation Server..

Mais il y a encore de l'espoir. Voici comment CryptoLocker a été inversé et comment récupérer vos fichiers.

Comment Cryptolocker a été inversé

Après l’ingénierie inverse de CryptoLocker par Kyrus Technologies, ils ont ensuite développé un moteur de déchiffrement..

Les fichiers cryptés avec le malware CryptoLocker suivent un format spécifique. Chaque fichier crypté est créé avec une clé AES-256 unique à ce fichier. Cette clé de cryptage est ensuite cryptée avec une paire de clés publique / privée, en utilisant un algorithme RSA-2048 plus proche de l'imperméabilité.

La clé publique générée est unique sur votre ordinateur, pas le fichier crypté. Ces informations, associées à la compréhension du format de fichier utilisé pour stocker les fichiers cryptés, ont permis à Kyrus Technologies de créer un outil de décryptage efficace..

Mais il y avait un problème. Bien qu'il existe un outil pour décrypter les fichiers, il était inutile sans les clés de chiffrement privées. En conséquence, le seul moyen de déverrouiller un fichier chiffré avec CryptoLocker était avec la clé privée.

Heureusement, FireEye et Fox-IT ont acquis une proportion importante des clés privées Cryptolocker. Les détails sur la façon dont ils ont géré cela sont minces sur le terrain; ils disent simplement qu'ils les ont obtenus grâce à «divers partenariats et engagements en ingénierie inverse».

Grâce à cette bibliothèque de clés privées et au programme de décryptage créé par Kyrus Technologies, les victimes de CryptoLocker disposent désormais d’un moyen de récupérer leurs fichiers, sans aucun frais. Mais comment l'utilisez-vous?

Déchiffrement d'un disque dur infecté par CryptoLocker

Tout d'abord, naviguez jusqu'à decryptcryptolocker.com. Vous aurez besoin d’un exemple de fichier crypté avec le logiciel malveillant Cryptolocker..

Ensuite, téléchargez-le sur le site Web DecryptCryptoLocker. Celui-ci sera ensuite traité et (espérons-le) renverra la clé privée associée au fichier qui vous sera ensuite envoyée par courrier électronique..

Ensuite, il suffit de télécharger et d’exécuter un petit exécutable. Cela s'exécute sur la ligne de commande et nécessite que vous spécifiiez les fichiers que vous souhaitez déchiffrer, ainsi que votre clé privée. La commande à exécuter est la suivante:

Decryptolocker.exe -key “

Juste pour réitérer - Cela ne fonctionnera pas automatiquement sur tous les fichiers affectés. Vous devrez soit écrire ceci avec Powershell ou un fichier de traitement par lots, ou l'exécuter manuellement, fichier par fichier..

Alors, quelle est la mauvaise nouvelle?

Ce ne sont pas toutes de bonnes nouvelles cependant. Un certain nombre de nouvelles variantes de CryptoLocker continuent de circuler. Bien qu'ils fonctionnent de la même manière que CryptoLocker, il n'y a pas encore de solution pour eux, à part payer la rançon.

Plus de mauvaises nouvelles. Si vous avez déjà payé la rançon, vous ne verrez probablement plus jamais cet argent. Bien que d'excellents efforts aient été déployés pour démanteler le réseau CryptoLocker, aucun des revenus générés par les programmes malveillants n'a été récupéré..

Il y a une autre leçon plus pertinente à apprendre ici. Beaucoup de gens ont décidé d'essuyer leurs disques durs et de recommencer à zéro plutôt que de payer la rançon. C'est compréhensible. Cependant, ces personnes ne pourront pas profiter de DeCryptoLocker pour récupérer leurs fichiers.

Si vous êtes touché par un ransomware similaire Ne payez pas - Comment battre le ransomware! Ne payez pas - Comment battre Ransomware! Imaginez si quelqu'un se présente à votre porte et dit: "Hé, il y a des souris chez vous que vous ne saviez pas. Donnez-nous 100 $ et nous nous en débarrasserons." C'est le Ransomware… Lire la suite et vous ne voulez pas payer, vous voudrez peut-être investir dans un disque dur externe ou une clé USB bon marché et copier vos fichiers cryptés. Cela laisse la possibilité de les récupérer à une date ultérieure.

Parlez-moi de votre expérience CryptoLocker

Avez-vous été frappé par Cryptolocker? Avez-vous réussi à récupérer vos fichiers? Parle-moi de ça. La boîte de commentaires est ci-dessous.

Crédits photos: Verrou système (Yuri Samoiliv), disque dur externe OWC (Karen).

En savoir plus sur: Anti-Malware, Cryptage, Cheval de Troie.