Cryptolocker está muerto: aquí es cómo puede obtener los archivos de nuevo!

Buenas noticias para cualquier persona afectada por cryptolocker. empresas de seguridad de TI FireEye y Fox-IT han puesto en marcha un servicio tan esperado para descifrar los archivos de rehenes en poder de la ransomware notoria.No caiga Falta de los estafadores: Una guía para ransomware & otras amenazasNo caiga Falta de los estafadores: Una guía para ransomware & otras amenazasLee mas

Esto se produce poco después los investigadores que trabajan para Kyrus Tecnología dio a conocer un blog que detalla cómo funciona cryptolocker, así como la forma en que ingeniería inversa para adquirir la clave privada utilizada para cifrar los cientos de miles de archivos.

El troyano cryptolocker fue descubierto por primera vez por Dell SecureWorks septiembre pasado. Funciona mediante el cifrado de archivos que tienen extensiones de archivo específicas, y sólo una vez descifrado de ellos un rescate $ 300 había sido pagado.

Aunque la red que servía el troyano fue finalmente derribado, miles de usuarios permanecen separados de sus archivos. Hasta ahora.

¿Ha sido golpeado por cryptolocker? ¿Quieres saber cómo puede obtener los archivos de nuevo? Siga leyendo para obtener más información.

Cryptolocker: Recapitulemos

Cuando cryptolocker primero irrumpió en la escena, lo he descrito como el ‘el malware más repugnante jamás‘. Voy a estar de pie por esa declaración. Una vez que se pone sus manos en su sistema, que va a aprovechar sus archivos con encriptación casi irrompible y le cobran una pequeña fortuna en Bitcoin para recuperarlos.Cryptolocker es el más asqueroso malware siempre & Esto es lo que puede hacerCryptolocker es el más asqueroso malware siempre & Esto es lo que puede hacerCryptolocker es un tipo de software malicioso que hace que su ordenador totalmente inutilizable mediante el cifrado de todos los archivos. A continuación, exige un pago monetario antes de devolver el acceso a su computadora.Lee mas

No se limitó a atacar a los discos duros locales, tampoco. Si había un disco duro externo o una unidad de red asignada conectado a un ordenador infectado, también sería atacado. Esto causó estragos en las empresas donde los empleados a menudo colaboran y compartir documentos en las unidades de almacenamiento en red.

La propagación virulenta de cryptolocker fue también algo digno de contemplar, al igual que la enorme cantidad de dinero que sacó en. Las estimaciones van desde $ 3m a un $ 27 millones de escalonamiento, como víctimas pagaron el rescate que se exigía en masa, ansiosos por tener en sus archivos espalda.

No mucho tiempo después, los servidores utilizados para servir y controlar el malware cryptolocker se tomaron en ‘Tovar operacional’, y se recuperó una base de datos de las víctimas. Este fue el esfuerzo combinado de las fuerzas policiales de varios países, incluyendo los EE.UU., el Reino Unido, y la mayoría de los países europeos, y vio el cabecilla de la banda detrás del software malicioso acusado por el FBI.

Lo que nos lleva al día de hoy. Cryptolocker está oficialmente muerto y enterrado, aunque muchas personas no son capaces de obtener acceso a sus archivos incautados, especialmente después se quitaron los servidores de pago y control como parte de la operación del servidor.

Pero todavía hay esperanza. Así es como cryptolocker se invirtió, y cómo puede obtener los archivos de nuevo.

¿Cómo se invirtió cryptolocker

Después Kyrus tecnologías de ingeniería inversa cryptolocker, la siguiente cosa que hicieron fue desarrollar un motor de descifrado.

Los archivos cifrados con el malware cryptolocker siguen un formato específico. Cada archivo cifrado se realiza con una clave AES-256 que es único para ese archivo en particular. Esta clave de cifrado se cifra posteriormente con un par de claves pública / privada, utilizando un algoritmo RSA-2048 casi impermeable fuerte.

La clave pública generada es única a su ordenador, no el archivo cifrado. Esta información, junto con una comprensión del formato de archivo usado para almacenar archivos cifrados significaba que Kyrus tecnologías fueron capaces de crear una herramienta de descifrado eficaz.

Pero había un problema. Aunque no era una herramienta para descifrar los archivos, que era inútil sin las claves de cifrado privadas. Como resultado, la única manera de desbloquear un archivo encriptado con cryptolocker estaba con la clave privada.

Afortunadamente, FireEye y Fox-IT ha adquirido una proporción significativa de las claves privadas cryptolocker. Los detalles sobre cómo se las arreglaron esto son finos en la subterráneas que simplemente dicen que las consiguieron a través de ‘diversas asociaciones y revertir compromisos de ingeniería.

Esta biblioteca de claves privadas y el programa de descifrado creado por Kyrus Tecnologías significa que las víctimas de cryptolocker tienen ahora una manera de conseguir sus archivos de nuevo, y sin costo alguno para ellos. Pero, ¿cómo se usa?

Desencriptar un disco duro infectado cryptolocker

En primer lugar, vaya a decryptcryptolocker.com. Vas a necesitar un archivo de ejemplo que se ha cifrado con el malware cryptolocker a mano.

A continuación, subirlo a la página web DecryptCryptoLocker. Esto entonces será procesada, y (con suerte) devuelve la clave privada asociada con el archivo que posteriormente será enviado por correo electrónico.

Entonces, es una cuestión de descargar y ejecutar un pequeño ejecutable. Esto se ejecuta en la línea de comandos, y requiere que especifique los archivos que desea descifrar, así como su clave privada. El comando a ejecutar es:

Decryptolocker.exe tecla “”

Sólo para reiterar - Esto no va a funcionar automáticamente en todos los archivos afectados. Tendrá que sea la escritura esto con Powershell o un archivo por lotes, o bien puede hacerlo manualmente sobre una base archivo por archivo.

Así que, ¿Cuál es la mala noticia?

No todo son buenas noticias. Hay una serie de nuevas variantes de cryptolocker que continúan circulando. A pesar de que funcionan de manera similar a cryptolocker, no hay una solución para ellos, sin embargo, aparte de pagar el rescate.

Más malas noticias. Si ya ha pagado el rescate, es probable que nunca se va a ver que el dinero nunca más. Aunque ha habido algunos excelentes esfuerzos realizados en el desmantelamiento de la red cryptolocker, ninguno de los dinero obtenido de malware ha sido recuperado.

Hay otra, la lección más pertinente que aprender aquí. Mucha gente toma la decisión para limpiar sus unidades de disco duro y empezar de nuevo en lugar de pagar el rescate. Esto es comprensible. Sin embargo, estas personas no serán capaces de tomar ventaja de DeCryptoLocker para recuperar sus archivos.

Si lo consigues golpeado con ransomware similares y usted no quiere pagar, es posible que desee invertir en una unidad de disco duro o unidad USB externa barato y copiar los archivos cifrados a través. Esto deja abierta la posibilidad de recuperar en una fecha posterior.No pagan - Cómo vencer ransomware!No pagan - Cómo vencer ransomware!Imagínese que alguien apareció en la puerta y dijo: "Hey, hay ratones en su casa que usted no conoce. Danos $ 100 y nos desharemos de ellos." Este es el ransomware ...Lee mas

Dime acerca de su experiencia cryptolocker

¿Fue golpeado por cryptolocker? ¿Ha conseguido obtener los archivos de nuevo? contármelo. El apartado de comentarios está por debajo.

Créditos de las fotografías: bloqueo del sistema (Yuri Samoiliv), disco duro externo OWC (Karen).