Seguridad

¡CryptoLocker está muerto, aquí le explicamos cómo puede recuperar sus archivos!

¡CryptoLocker está muerto, aquí le explicamos cómo puede recuperar sus archivos! / Seguridad

Buenas noticias para cualquier persona afectada por Cryptolocker. Las firmas de seguridad de TI FireEye y Fox-IT han lanzado un servicio tan esperado para descifrar los archivos que han sido tomados como rehenes por el notorio ransomware. No caiga en la trampa de los estafadores: Una guía al ransomware y otras amenazas No caiga en falta. Guía de ransomware y otras amenazas Leer más .

Esto se produce poco después de que los investigadores que trabajaron para Kyrus Technology publicaron una publicación en el blog que detalla cómo funciona CryptoLocker, y cómo lo hicieron mediante ingeniería inversa para adquirir la clave privada utilizada para cifrar cientos de miles de archivos..

El troyano CryptoLocker fue descubierto por primera vez por Dell SecureWorks en septiembre pasado. Funciona cifrando archivos que tienen extensiones de archivo específicas, y solo descifrandolas una vez que se pagó un rescate de $ 300.

Aunque la red que servía al troyano finalmente fue eliminada, miles de usuarios permanecen separados de sus archivos. Hasta ahora.

¿Has sido golpeado por Cryptolocker? ¿Quieres saber cómo puedes recuperar tus archivos? Sigue leyendo para más información..

Cryptolocker: Vamos a recapitular

Cuando Cryptolocker apareció por primera vez en la escena, lo describí como el "malware más desagradable de todos los tiempos. CryptoLocker es el malware más desagradable de todos los tiempos y esto es lo que puede hacer. CryptoLocker es el malware más desagradable de todos los tiempos. su computadora completamente inutilizable al encriptar todos sus archivos. Luego exige un pago monetario antes de que se devuelva el acceso a su computadora. Lee mas '. Voy a apoyar esa declaración. Una vez que ponga sus manos en su sistema, tomará sus archivos con un cifrado casi irrompible y le cobrará una pequeña fortuna en Bitcoin para recuperarlos..

No solo atacó los discos duros locales, tampoco. Si hubiera un disco duro externo o una unidad de red asignada conectada a una computadora infectada, también se atacaría. Esto causó estragos en las empresas donde los empleados a menudo colaboran y comparten documentos en unidades de almacenamiento conectadas a la red.

La propagación virulenta de CryptoLocker también fue algo digno de contemplar, al igual que la cantidad fenomenal de dinero que obtuvo. Las estimaciones oscilan entre $ 3 y $ 27 millones, y las víctimas pagaron el rescate que se exigió en masa, ansioso por obtener sus archivos. atrás.

No mucho después, los servidores utilizados para servir y controlar el malware Cryptolocker fueron eliminados en 'Operational Tovar', y se recuperó una base de datos de víctimas. Estos fueron los esfuerzos combinados de las fuerzas policiales de varios países, incluidos los EE. UU., El Reino Unido y la mayoría de los países europeos, y vieron al líder de la pandilla detrás del malware acusado por el FBI..

Lo que nos lleva al día de hoy. CryptoLocker está oficialmente muerto y enterrado, aunque muchas personas no pueden acceder a sus archivos incautados, especialmente después de que los servidores de pago y control se retiraron como parte de Operation Server..

Pero todavía hay esperanza. Así es como se invirtió CryptoLocker y cómo puede recuperar sus archivos.

Cómo se invirtió Cryptolocker

Después de que Kyrus Technologies invirtiera CryptoLocker por ingeniería inversa, lo siguiente que hicieron fue desarrollar un motor de descifrado.

Los archivos cifrados con el malware CryptoLocker siguen un formato específico. Cada archivo cifrado se realiza con una clave AES-256 que es exclusiva de ese archivo en particular. Luego, esta clave de cifrado se encripta con un par de claves pública / privada, utilizando un algoritmo RSA-2048 más fuerte e impermeable..

La clave pública generada es exclusiva de su computadora, no del archivo cifrado. Esta información, junto con una comprensión del formato de archivo utilizado para almacenar archivos cifrados, permitió a Kyrus Technologies crear una herramienta de descifrado eficaz..

Pero había un problema. Aunque existía una herramienta para descifrar archivos, era inútil sin las claves de cifrado privadas. Como resultado, la única forma de desbloquear un archivo cifrado con CryptoLocker era con la clave privada.

Afortunadamente, FireEye y Fox-IT han adquirido una proporción significativa de las claves privadas de Cryptolocker. Los detalles sobre cómo lograron esto son escasos en el terreno; simplemente dicen que los obtuvieron a través de 'varias asociaciones y compromisos de ingeniería inversa'.

Esta biblioteca de claves privadas y el programa de descifrado creado por Kyrus Technologies significa que las víctimas de CryptoLocker ahora tienen una forma de recuperar sus archivos, y sin costo para ellos. Pero como lo usas?

Descifrando un disco duro infectado CryptoLocker

En primer lugar, vaya a decryptcryptolocker.com. Necesitará un archivo de muestra que se haya cifrado con el malware Cryptolocker a mano.

Luego, cárguelo en el sitio web DecryptCryptoLocker. Esto será procesado y (con suerte) devolverá la clave privada asociada con el archivo que luego se le enviará por correo electrónico..

Entonces, es cuestión de descargar y ejecutar un pequeño ejecutable. Esto se ejecuta en la línea de comandos y requiere que especifique los archivos que desea descifrar, así como su clave privada. El comando para ejecutarlo es:

Decryptolocker.exe -key “

Solo para volver a iterar: esto no se ejecutará automáticamente en todos los archivos afectados. Tendrá que escribir esto con Powershell o un archivo por lotes, o ejecutarlo manualmente archivo por archivo.

Entonces, ¿cuál es la mala noticia?

Aunque no todas son buenas noticias. Hay una serie de nuevas variantes de CryptoLocker que continúan circulando. Aunque operan de manera similar a CryptoLocker, no hay una solución para ellos, aparte de pagar el rescate..

Más malas noticias. Si ya pagó el rescate, probablemente nunca volverá a ver ese dinero. Si bien se han realizado algunos esfuerzos excelentes para desmantelar la red CryptoLocker, no se ha recuperado nada del dinero obtenido del malware..

Hay otra lección más pertinente que aprender aquí. Mucha gente tomó la decisión de limpiar sus discos duros y comenzar de nuevo en lugar de pagar el rescate. Esto es comprensible. Sin embargo, estas personas no podrán aprovechar DeCryptoLocker para recuperar sus archivos..

Si te golpean con un ransomware similar, no pagues, ¡cómo vencer al ransomware! ¡No pague, cómo vencer al ransomware! Imagínate si alguien apareciera en tu puerta y dijera: "Oye, hay ratones en tu casa que no sabías. Danos $ 100 y nos desharemos de ellos". Este es el Ransomware ... Lea más y no desea pagar, puede invertir en un disco duro externo o unidad USB barato y copiar sus archivos cifrados. Esto deja abierta la posibilidad de recuperarlos en una fecha posterior..

Cuéntame acerca de tu experiencia CryptoLocker

¿Fuiste golpeado por Cryptolocker? ¿Has conseguido recuperar tus archivos? Cuéntame sobre eso. El cuadro de comentarios está abajo..

Créditos fotográficos: bloqueo del sistema (Yuri Samoiliv), disco duro externo OWC (Karen).

Explorar más sobre: ​​Anti-Malware, cifrado, caballo de Troya.