Boas notícias para qualquer pessoa afetada pelo Cryptolocker. As firmas de segurança de TI FireEye e Fox-IT lançaram um serviço há muito esperado para descriptografar arquivos mantidos como reféns pelo notório ransomware Não caia no chão com os golpistas: um guia para ransomware e outras ameaças não cai na armadilha dos golpistas: Guia para ransomware e outras ameaças Leia mais.
Isso acontece logo depois que pesquisadores que trabalham para a Kyrus Technology divulgaram um post no blog detalhando como o CryptoLocker funciona, bem como a engenharia reversa para adquirir a chave privada usada para criptografar centenas de milhares de arquivos.
O trojan CryptoLocker foi descoberto pela Dell SecureWorks em setembro passado. Ele funciona criptografando arquivos que possuem extensões de arquivo específicas e apenas os descriptografa uma vez que um resgate de $ 300 foi pago.
Embora a rede que serviu o cavalo de Tróia tenha sido derrubada, milhares de usuários permanecem separados de seus arquivos. Até agora.
Você foi atingido por Cryptolocker? Quer saber como você pode recuperar seus arquivos? Continue lendo para mais informações.
Cryptolocker: Vamos recapitular
Quando o Cryptolocker apareceu pela primeira vez, eu o descrevi como o mais horrível malware de todos os tempos O CryptoLocker é o pior malware de todos os tempos e o que você pode fazer O CryptoLocker é o mais maligno malware de sempre e o que você pode fazer O CryptoLocker é um tipo de software malicioso que renderiza seu computador totalmente inutilizável, criptografando todos os seus arquivos. Em seguida, ele exige pagamento monetário antes que o acesso ao seu computador seja devolvido. Consulte Mais informação '. Eu vou ficar com essa afirmação. Assim que colocar as mãos no seu sistema, ele irá capturar seus arquivos com criptografia quase inquebrável e cobrar uma pequena fortuna em Bitcoins para recuperá-los.
Ele não atacou apenas os discos rígidos locais. Se houvesse um disco rígido externo ou uma unidade de rede mapeada conectada a um computador infectado, ela também seria atacada. Isso causou estragos em empresas em que os funcionários costumam colaborar e compartilhar documentos em unidades de armazenamento conectadas à rede.
A propagação virulenta de CryptoLocker também foi algo de se ver, como foi a quantidade fenomenal de dinheiro que puxou dentro Estimativas variam de US $ 3m para um escalonamento $ 27m, como vítimas pagaram o resgate que foi exigido em massa, ansioso para obter seus arquivos costas.
Não muito tempo depois, os servidores usados para servir e controlar o malware Cryptolocker foram removidos em 'Operational Tovar' e um banco de dados de vítimas foi recuperado. Este foi o esforço conjunto das forças policiais de vários países, incluindo os EUA, o Reino Unido e a maioria dos países europeus, e viu o líder da gangue por trás do malware acusado pelo FBI.
O que nos traz hoje. O CryptoLocker está oficialmente morto e enterrado, embora muitas pessoas não consigam acessar seus arquivos apreendidos, especialmente depois que os servidores de pagamento e controle foram retirados como parte do Operation Server.
Mas ainda há esperança. Veja como o CryptoLocker foi revertido e como você pode recuperar seus arquivos.
Como o Cryptolocker foi revertido
Depois que a Kyrus Technologies fez a engenharia reversa do CryptoLocker, a próxima coisa que eles fizeram foi desenvolver um mecanismo de decodificação.
Os arquivos criptografados com o malware CryptoLocker seguem um formato específico. Cada arquivo criptografado é feito com uma chave AES-256 que é exclusiva para esse arquivo específico. Essa chave de criptografia é então subseqüentemente criptografada com um par de chaves pública / privada, usando um algoritmo RSA-2048 quase impermeável mais forte.
A chave pública gerada é exclusiva do seu computador, não do arquivo criptografado. Essas informações, em conjunto com o entendimento do formato de arquivo usado para armazenar arquivos criptografados, permitiram que a Kyrus Technologies pudesse criar uma ferramenta de descriptografia eficiente.
Mas havia um problema. Embora houvesse uma ferramenta para descriptografar arquivos, era inútil sem as chaves de criptografia privadas. Como resultado, a única maneira de desbloquear um arquivo criptografado com o CryptoLocker era com a chave privada.
Felizmente, a FireEye e a Fox-IT adquiriram uma proporção significativa das chaves privadas do Cryptolocker. Detalhes sobre como eles conseguiram isso são finos no chão; eles simplesmente dizem que conseguiram através de várias parcerias e engajamentos de engenharia reversa.
Essa biblioteca de chaves privadas e o programa de descriptografia criado pela Kyrus Technologies significa que as vítimas do CryptoLocker agora têm uma maneira de recuperar seus arquivos, sem nenhum custo para eles. Mas como você usa isso?
Descriptografar um disco rígido infectado CryptoLocker
Primeiro, navegue até decryptcryptolocker.com. Você precisará de um arquivo de amostra que tenha sido criptografado com o malware Cryptolocker à mão.
Em seguida, carregue-o no site do DecryptCryptoLocker. Isso será então processado e (esperançosamente) retornará a chave privada associada ao arquivo que será enviado por e-mail para você.
Então, é uma questão de baixar e executar um pequeno executável. Isso é executado na linha de comando e requer que você especifique os arquivos que deseja descriptografar, assim como sua chave privada. O comando para executá-lo é:
Decryptolocker.exe - tecla “”
Apenas para reiterar - isso não será executado automaticamente em todos os arquivos afetados. Você precisará criar um script com o Powershell ou um arquivo Batch ou executá-lo manualmente, arquivo por arquivo.
Então, qual é a má notícia?
Não é tudo boa notícia embora. Existem várias novas variantes do CryptoLocker que continuam a circular. Embora eles operem de maneira semelhante ao CryptoLocker, ainda não há conserto, a não ser pagar o resgate.
Mais más notícias. Se você já pagou o resgate, provavelmente nunca mais verá esse dinheiro novamente. Embora tenha havido alguns esforços excelentes no desmantelamento da rede CryptoLocker, nenhum dinheiro ganho com o malware foi recuperado. 
Há outra lição mais pertinente a ser aprendida aqui. Muitas pessoas tomaram a decisão de limpar seus discos rígidos e começar de novo, em vez de pagar o resgate. Isto é incompreensível. No entanto, essas pessoas não poderão tirar proveito do DeCryptoLocker para recuperar seus arquivos.
Se você for atingido por um ransomware similar, não pague - Como vencer o ransomware! Não pague - Como vencer o ransomware! Imagine se alguém aparecesse à sua porta e dissesse: "Ei, há ratos em sua casa que você não conhecia. Dê-nos 100 dólares e vamos nos livrar deles". Este é o Ransomware ... Leia Mais e você não quer pagar, você pode querer investir em um disco rígido externo ou Unidade USB barata e copiar seus arquivos criptografados. Isso deixa em aberto a possibilidade de recuperá-los em uma data posterior.
Conte-me sobre sua experiência com o CryptoLocker
Você foi atingido por Cryptolocker? Você conseguiu recuperar seus arquivos? Me fale sobre isso. A caixa de comentários está abaixo.
Créditos das fotos: System Lock (Yuri Samoiliv), disco rígido externo OWC (Karen).