CryptoLocker is dood: hier leest u hoe u uw bestanden terug kunt krijgen!

CryptoLocker is dood: hier leest u hoe u uw bestanden terug kunt krijgen!

Goed nieuws voor iedereen die te maken heeft met Cryptolocker. IT-beveiligingsbedrijven FireEye en Fox-IT hebben een langverwachte service gelanceerd om bestanden te ontsleutelen die worden gegijzeld door de beruchte ransomware.





Dit komt kort nadat onderzoekers die voor Kyrus Technology werken een blogpost hebben gepubliceerd waarin wordt beschreven hoe CryptoLocker werkt en hoe ze het reverse-engineeren om de privésleutel te verkrijgen die wordt gebruikt om honderdduizenden bestanden te versleutelen.



De CryptoLocker-trojan werd afgelopen september voor het eerst ontdekt door Dell SecureWorks. Het werkt door bestanden met specifieke bestandsextensies te versleutelen en deze pas te ontsleutelen als er een losgeld van $ 300 is betaald.





Hoewel het netwerk dat de Trojaan bediende uiteindelijk werd verwijderd, blijven duizenden gebruikers gescheiden van hun bestanden. Tot nu.

Ben je geraakt door Cryptolocker? Wilt u weten hoe u uw bestanden terug kunt krijgen? Lees verder voor meer info.



Cryptolocker: Laten we het samenvatten

Toen Cryptolocker voor het eerst op het toneel verscheen, beschreef ik het als de 'meest smerige malware ooit'. Ik blijf bij die verklaring. Zodra het uw systeem in handen heeft, zal het uw bestanden in beslag nemen met een bijna onbreekbare codering en u een klein fortuin in Bitcoin om ze terug te krijgen.

Het viel ook niet alleen lokale harde schijven aan. Als er een externe harde schijf of een toegewezen netwerkschijf was aangesloten op een geïnfecteerde computer, zou deze ook worden aangevallen. Dit veroorzaakte ravage in bedrijven waar werknemers vaak samenwerken en documenten delen op op het netwerk aangesloten opslagstations.



De virulente verspreiding van CryptoLocker was ook iets om te zien, net als de fenomenale hoeveelheid geld die het binnenhaalde. vanaf m naar een maar liefst m , terwijl de slachtoffers massaal het gevraagde losgeld betaalden, gretig om hun bestanden terug te krijgen.

Niet lang daarna werden de servers die werden gebruikt om de Cryptolocker-malware te bedienen en te besturen, verwijderd in ' Operationele goederen ', en een database met slachtoffers werd teruggevonden. Dit waren de gecombineerde inspanningen van politiediensten uit meerdere landen, waaronder de VS, het VK en de meeste Europese landen, en zagen de leider van de bende achter de door de FBI aangeklaagde malware.



Dat brengt ons bij vandaag. CryptoLocker is officieel dood en begraven, hoewel veel mensen geen toegang kunnen krijgen tot hun in beslag genomen bestanden, vooral nadat de betalings- en controleservers werden verwijderd als onderdeel van Operation Server.

Maar er is nog hoop. Hier leest u hoe CryptoLocker werd teruggedraaid en hoe u uw bestanden terug kunt krijgen.

Hoe Cryptolocker werd teruggedraaid

Nadat Kyrus Technologies CryptoLocker reverse-engineered had, was het volgende wat ze deden een decoderingsengine ontwikkelen.

Bestanden die zijn versleuteld met de CryptoLocker-malware volgen een specifiek formaat. Elk versleuteld bestand wordt gedaan met een AES-256-sleutel die uniek is voor dat specifieke bestand. Deze coderingssleutel wordt vervolgens gecodeerd met een openbaar/privé-sleutelpaar, met behulp van een sterker, bijna ondoordringbaar RSA-2048-algoritme.

De gegenereerde openbare sleutel is uniek voor uw computer, niet het versleutelde bestand. Deze informatie, in combinatie met een goed begrip van het bestandsformaat dat wordt gebruikt om versleutelde bestanden op te slaan, betekende dat Kyrus Technologies in staat was een effectieve decoderingstool te creëren.

Maar er was één probleem. Hoewel er een hulpmiddel was om bestanden te decoderen, was het nutteloos zonder de privé-coderingssleutels. Als gevolg hiervan was de enige manier om een ​​met CryptoLocker versleuteld bestand te ontgrendelen met de privésleutel.

Gelukkig hebben FireEye en Fox-IT een aanzienlijk deel van de privésleutels van Cryptolocker verworven. Details over hoe ze dit voor elkaar hebben gekregen, zijn dun op de grond; ze zeggen gewoon dat ze ze hebben gekregen via 'verschillende partnerschappen en reverse engineering-opdrachten'.

Deze bibliotheek met privésleutels en het decoderingsprogramma gemaakt door Kyrus Technologies betekent dat slachtoffers van CryptoLocker nu een manier hebben om hun bestanden terug te krijgen , en zonder dat het hen iets kost. Maar hoe gebruik je het?

Een met CryptoLocker geïnfecteerde harde schijf decoderen

Blader eerst naar decryptcryptlocker.com. Je hebt een voorbeeldbestand nodig dat is versleuteld met de Cryptolocker-malware.

Upload het vervolgens naar de DecryptCryptoLocker-website. Dit zal vervolgens worden verwerkt en (hopelijk) de privésleutel retourneren die bij het bestand hoort, die vervolgens naar u wordt gemaild.

Vervolgens is het een kwestie van een klein uitvoerbaar bestand downloaden en uitvoeren. Dit wordt uitgevoerd op de opdrachtregel en vereist dat u de bestanden opgeeft die u wilt decoderen, evenals uw privésleutel. De opdracht om het uit te voeren is:

hoe nintendont wii u te installeren

Decryptlocker.exe –sleutel

Gewoon om te herhalen - Dit wordt niet automatisch uitgevoerd op elk getroffen bestand. U moet dit ofwel scripten met Powershell of een batchbestand, of het handmatig per bestand uitvoeren.

Dus, wat is het slechte nieuws?

Het is echter niet allemaal goed nieuws. Er zijn een aantal nieuwe varianten van CryptoLocker die blijven circuleren. Hoewel ze op dezelfde manier werken als CryptoLocker, is er nog geen oplossing voor hen, behalve het losgeld betalen.

Nog meer slecht nieuws. Als je het losgeld al hebt betaald, zul je dat geld waarschijnlijk nooit meer zien. Hoewel er uitstekende inspanningen zijn geleverd om het CryptoLocker-netwerk te ontmantelen, is niets van het geld dat met de malware is verdiend, teruggevonden.

Er is nog een andere, meer relevante les die hier moet worden geleerd. Veel mensen namen de beslissing om hun harde schijven te wissen en opnieuw te beginnen in plaats van het losgeld te betalen. Dit is begrijpelijk. Deze mensen kunnen echter geen gebruik maken van DeCryptoLocker om hun bestanden te herstellen.

Als je wordt geraakt door vergelijkbare ransomware en je wilt niet betalen, wil je misschien investeren in een goedkope externe harde schijf of USB-drive en je versleutelde bestanden kopiëren. Dit laat de mogelijkheid open om ze op een later tijdstip terug te krijgen.

Vertel me over uw CryptoLocker-ervaring

Ben je geraakt door Cryptolocker? Is het je gelukt om je bestanden terug te krijgen? Vertel me erover. Het opmerkingenveld staat hieronder.

Fotocredits: Systeemvergrendeling (Yuri Samoiliv) , OWC externe harde schijf (Karen) .

Deel Deel Tweeten E-mail Moet u onmiddellijk upgraden naar Windows 11?

Windows 11 komt binnenkort, maar moet je zo snel mogelijk updaten of een paar weken wachten? Laten we het uitzoeken.

Lees volgende Gerelateerde onderwerpen
  • Veiligheid
  • Encryptie
  • Trojaanse paard
  • Anti-malware
Over de auteur Matthew Hughes(386 artikelen gepubliceerd)

Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kop sterke zwarte koffie in zijn hand en is helemaal weg van zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en hem volgen op Twitter op @matthewhughes.

Meer van Matthew Hughes

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren