CryptoLocker đã chết: Đây là cách bạn có thể lấy lại tệp của mình!

CryptoLocker đã chết: Đây là cách bạn có thể lấy lại tệp của mình!

Tin tốt cho bất kỳ ai bị ảnh hưởng bởi Cryptolocker. Các công ty bảo mật CNTT FireEye và Fox-IT đã tung ra một dịch vụ được chờ đợi từ lâu để giải mã các tập tin bị giữ làm con tin bởi ransomware khét tiếng.





Điều này xảy ra ngay sau khi các nhà nghiên cứu làm việc cho Kyrus Technology phát hành một bài đăng trên blog mô tả chi tiết cách hoạt động của CryptoLocker, cũng như cách họ thiết kế ngược nó để có được khóa riêng được sử dụng để mã hóa hàng trăm nghìn tệp.



Trojan CryptoLocker lần đầu tiên được Dell SecureWorks phát hiện vào tháng 9 năm ngoái. Nó hoạt động bằng cách mã hóa các tệp có phần mở rộng tệp cụ thể và chỉ giải mã chúng khi khoản tiền chuộc 300 đô la đã được trả.





Mặc dù mạng cung cấp Trojan cuối cùng đã bị gỡ xuống, hàng nghìn người dùng vẫn bị tách khỏi tệp của họ. Cho đến bây giờ.

Bạn đã bị Cryptolocker tấn công chưa? Bạn muốn biết làm thế nào bạn có thể lấy lại các tệp của mình? Đọc ở trên cho biết thêm.



Cryptolocker: Hãy tóm tắt lại

Khi Cryptolocker bùng nổ lần đầu tiên tại hiện trường, tôi đã mô tả nó là 'phần mềm độc hại tồi tệ nhất từ ​​trước đến nay'. Tôi sẽ đứng trước tuyên bố đó. Khi nó có trong tay hệ thống của bạn, nó sẽ thu giữ các tệp của bạn bằng mã hóa gần như không thể phá vỡ và tính phí cho bạn tài sản nhỏ bằng Bitcoin để lấy lại chúng.

Nó cũng không chỉ tấn công các ổ cứng cục bộ. Nếu có một ổ cứng bên ngoài hoặc một ổ đĩa mạng được ánh xạ kết nối với một máy tính bị nhiễm độc, nó cũng sẽ bị tấn công. Điều này gây ra sự tàn phá trong các doanh nghiệp nơi nhân viên thường xuyên cộng tác và chia sẻ tài liệu trên các ổ lưu trữ gắn trong mạng.



Sự lan truyền mạnh mẽ của CryptoLocker cũng là một điều đáng chú ý, cũng như số tiền phi thường mà nó thu được. Ước tính phạm vi từ 3 ​​triệu đô la đến một đáng kinh ngạc 27 triệu đô la , khi các nạn nhân trả khoản tiền chuộc được yêu cầu, mong muốn lấy lại hồ sơ của họ.

Không lâu sau, các máy chủ được sử dụng để phục vụ và kiểm soát phần mềm độc hại Cryptolocker đã bị gỡ xuống trong ' Hàng hóa hoạt động ', và một cơ sở dữ liệu về nạn nhân đã được phục hồi. Đây là nỗ lực tổng hợp của các lực lượng cảnh sát từ nhiều quốc gia, bao gồm Mỹ, Anh và hầu hết các quốc gia châu Âu, và đã xem được kẻ cầm đầu băng đảng đứng sau phần mềm độc hại mà FBI truy tố.



Điều đó đưa chúng ta đến ngày hôm nay. CryptoLocker đã chính thức chết và bị chôn vùi, mặc dù nhiều người không thể truy cập vào các tệp bị thu giữ của họ, đặc biệt là sau khi các máy chủ thanh toán và kiểm soát bị gỡ xuống như một phần của Máy chủ hoạt động.

Nhưng vẫn còn hy vọng. Đây là cách CryptoLocker bị đảo ngược và cách bạn có thể lấy lại các tệp của mình.

Cryptolocker đã được đảo ngược như thế nào

Sau khi Kyrus Technologies thiết kế ngược lại CryptoLocker, điều tiếp theo họ làm là phát triển một công cụ giải mã.

Các tệp được mã hóa bằng phần mềm độc hại CryptoLocker theo một định dạng cụ thể. Mỗi tệp được mã hóa được thực hiện bằng khóa AES-256 là khóa duy nhất cho tệp cụ thể đó. Sau đó, khóa mã hóa này được mã hóa bằng cặp khóa công khai / riêng tư, sử dụng thuật toán RSA-2048 gần như không thấm nước mạnh hơn.

Khóa công khai được tạo là duy nhất cho máy tính của bạn, không phải tệp được mã hóa. Thông tin này, cùng với sự hiểu biết về định dạng tệp được sử dụng để lưu trữ tệp được mã hóa có nghĩa là Kyrus Technologies đã có thể tạo ra một công cụ giải mã hiệu quả.

Nhưng có một vấn đề. Mặc dù đã có một công cụ để giải mã các tập tin, nhưng nó sẽ vô dụng nếu không có các khóa mã hóa riêng. Do đó, cách duy nhất để mở khóa tệp được mã hóa bằng CryptoLocker là sử dụng khóa cá nhân.

Rất may, FireEye và Fox-IT đã có được một tỷ lệ đáng kể các khóa riêng của Cryptolocker. Thông tin chi tiết về cách họ quản lý điều này là rất mỏng trên mặt đất; họ chỉ đơn giản nói rằng họ có được chúng thông qua 'các mối quan hệ đối tác khác nhau và các cam kết thiết kế ngược'.

Thư viện khóa cá nhân này và chương trình giải mã được tạo bởi Kyrus Technologies có nghĩa là các nạn nhân của CryptoLocker bây giờ có cách để lấy lại tệp của họ , và miễn phí cho họ. Nhưng bạn sử dụng nó như thế nào?

Giải mã ổ cứng bị nhiễm CryptoLocker

Đầu tiên, hãy duyệt đến decryptcryptolocker.com. Bạn sẽ cần một tệp mẫu đã được mã hóa bằng phần mềm độc hại Cryptolocker để xử lý.

Sau đó, tải nó lên trang web DecryptCryptoLocker. Điều này sau đó sẽ được xử lý và (hy vọng) trả lại khóa cá nhân được liên kết với tệp, sau đó sẽ được gửi qua email cho bạn.

Sau đó, vấn đề là tải xuống và chạy một tệp thực thi nhỏ. Thao tác này chạy trên dòng lệnh và yêu cầu bạn chỉ định các tệp bạn muốn giải mã, cũng như khóa cá nhân của bạn. Lệnh để chạy nó là:

chuyển các chương trình đã cài đặt sang ổ đĩa khác windows 10

Decryptolocker.exe –key

Chỉ để lặp lại - Điều này sẽ không tự động chạy trên mọi tệp bị ảnh hưởng. Bạn sẽ cần tập lệnh này bằng Powershell hoặc tệp Batch hoặc chạy nó theo cách thủ công trên cơ sở từng tệp.

Vậy, Tin xấu là gì?

Tuy nhiên, đó không phải là tất cả các tin tốt. Có một số biến thể mới của CryptoLocker tiếp tục được lưu hành. Mặc dù chúng hoạt động theo cách tương tự như CryptoLocker, nhưng vẫn chưa có cách khắc phục nào cho chúng, ngoài việc trả tiền chuộc.

Thêm tin xấu. Nếu bạn đã trả tiền chuộc, có thể bạn sẽ không bao giờ nhìn thấy số tiền đó nữa. Mặc dù đã có một số nỗ lực tuyệt vời được thực hiện trong việc tháo dỡ mạng CryptoLocker, nhưng không có khoản tiền nào kiếm được từ phần mềm độc hại đã được phục hồi.

Có một bài học khác thích hợp hơn cần học ở đây. Nhiều người đã quyết định xóa ổ cứng của họ và bắt đầu lại thay vì trả tiền chuộc. Điều này có thể hiểu được. Tuy nhiên, những người này sẽ không thể tận dụng DeCryptoLocker để khôi phục tệp của họ.

Nếu bạn bị tấn công bởi phần mềm tống tiền tương tự và bạn không muốn trả thêm tiền, bạn có thể muốn đầu tư vào một ổ cứng ngoài hoặc USB Drive giá rẻ và sao chép các tệp đã mã hóa của mình. Điều này mở ra khả năng khôi phục chúng vào một ngày sau đó.

Cho tôi biết về trải nghiệm CryptoLocker của bạn

Bạn có bị tấn công bởi Cryptolocker không? Bạn đã quản lý để lấy lại các tệp của mình chưa? Nói cho tôi nghe về nó đi. Hộp nhận xét ở bên dưới.

Tín ảnh: Khóa hệ thống (Yuri Samoiliv) , Ổ cứng gắn ngoài OWC (Karen) .

Đăng lại Đăng lại tiếng riu ríu E-mail Bạn có nên nâng cấp lên Windows 11 ngay lập tức không?

Windows 11 sắp ra mắt, nhưng bạn nên cập nhật càng sớm càng tốt hay đợi vài tuần? Hãy cùng tìm hiểu.

Đọc tiếp Chủ đề liên quan
  • Bảo vệ
  • Mã hóa
  • Ngựa thành Troy
  • Chống phần mềm độc hại
Giới thiệu về tác giả Matthew Hughes(Đã xuất bản 386 bài báo)

Matthew Hughes là nhà phát triển và nhà văn phần mềm đến từ Liverpool, Anh. Anh ấy hiếm khi được tìm thấy mà không có một tách cà phê đen đậm đà trên tay và hoàn toàn yêu thích Macbook Pro và máy ảnh của anh ấy. Bạn có thể đọc blog của anh ấy tại http://www.matthewhughes.co.uk và theo dõi anh ấy trên twitter tại @matthewhughes.

Xem thêm từ Matthew Hughes

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký