Home-theater-designers
Buenas noticias para todos los afectados por Cryptolocker. Las firmas de seguridad de TI FireEye y Fox-IT han lanzado un servicio largamente esperado para descifrar archivos retenidos como rehenes por el notorio ransomware.
Esto se produce poco después de que los investigadores que trabajan para Kyrus Technology publicaran una publicación de blog que detalla cómo funciona CryptoLocker, así como cómo lo hicieron mediante ingeniería inversa para adquirir la clave privada utilizada para cifrar cientos de miles de archivos.
El troyano CryptoLocker fue descubierto por primera vez por Dell SecureWorks en septiembre pasado. Funciona cifrando archivos que tienen extensiones de archivo específicas y descifrándolos solo una vez que se haya pagado un rescate de $ 300.
Aunque la red que servía al troyano finalmente fue eliminada, miles de usuarios permanecen separados de sus archivos. Hasta ahora.
¿Ha sido golpeado por Cryptolocker? ¿Quiere saber cómo puede recuperar sus archivos? Siga leyendo para obtener más información.
Cryptolocker: Recapitulemos
Cuando Cryptolocker apareció por primera vez en escena, lo describí como el 'malware más desagradable de todos los tiempos'. Voy a defender esa declaración. Una vez que ponga sus manos en su sistema, se apoderará de sus archivos con un cifrado casi irrompible y le cobrará una pequeña fortuna en Bitcoin para recuperarlos.
Tampoco atacó solo los discos duros locales. Si hubiera un disco duro externo o una unidad de red asignada conectada a una computadora infectada, también sería atacada. Esto causó estragos en las empresas donde los empleados a menudo colaboran y comparten documentos en unidades de almacenamiento conectadas a la red.
La propagación virulenta de CryptoLocker también fue algo digno de contemplar, al igual que la cantidad fenomenal de dinero que obtuvo. Rango de estimaciones desde $ 3 millones a un asombrosos 27 millones de dólares , ya que las víctimas pagaron en masa el rescate exigido, ansiosas por recuperar sus archivos.
No mucho después, los servidores utilizados para servir y controlar el malware Cryptolocker fueron eliminados en ' Bienes operacionales ', y se recuperó una base de datos de víctimas. Estos fueron los esfuerzos combinados de las fuerzas policiales de varios países, incluidos los EE. UU., El Reino Unido y la mayoría de los países europeos, y vieron al cabecilla de la pandilla detrás del malware acusado por el FBI.
Lo que nos lleva al día de hoy. CryptoLocker está oficialmente muerto y enterrado, aunque muchas personas no pueden acceder a sus archivos incautados, especialmente después de que los servidores de pago y control fueron eliminados como parte de Operation Server.
Pero todavía hay esperanza. Así es como se revirtió CryptoLocker y cómo puede recuperar sus archivos.
Cómo se invirtió Cryptolocker
Después de que Kyrus Technologies diseñara CryptoLocker con ingeniería inversa, lo siguiente que hicieron fue desarrollar un motor de descifrado.
Los archivos cifrados con el malware CryptoLocker siguen un formato específico. Cada archivo cifrado se realiza con una clave AES-256 que es única para ese archivo en particular. Esta clave de cifrado se cifra posteriormente con un par de claves pública / privada, utilizando un algoritmo RSA-2048 casi impermeable más fuerte.
La clave pública generada es única para su computadora, no el archivo cifrado. Esta información, junto con la comprensión del formato de archivo utilizado para almacenar archivos cifrados, significó que Kyrus Technologies pudo crear una herramienta de descifrado eficaz.
Pero había un problema. Aunque había una herramienta para descifrar archivos, era inútil sin las claves de cifrado privadas. Como resultado, la única forma de desbloquear un archivo cifrado con CryptoLocker era con la clave privada.
Afortunadamente, FireEye y Fox-IT han adquirido una proporción significativa de las claves privadas de Cryptolocker. Los detalles sobre cómo lograron esto son escasos; simplemente dicen que los obtuvieron a través de 'diversas asociaciones y compromisos de ingeniería inversa'.
Esta biblioteca de claves privadas y el programa de descifrado creado por Kyrus Technologies significa que las víctimas de CryptoLocker ahora tener una manera de recuperar sus archivos y sin costo alguno para ellos. ¿Pero cómo lo usas?
Descifrar un disco duro infectado con CryptoLocker
Primero, navegue hasta decryptcryptolocker.com. Necesitará un archivo de muestra que haya sido encriptado con el malware Cryptolocker a mano.
Luego, cárguelo en el sitio web DecryptCryptoLocker. Esto luego se procesará y (con suerte) devolverá la clave privada asociada con el archivo que luego se le enviará por correo electrónico.
Entonces, es cuestión de descargar y ejecutar un pequeño ejecutable. Esto se ejecuta en la línea de comandos y requiere que especifique los archivos que desea descifrar, así como su clave privada. El comando para ejecutarlo es:
cómo instalar nintendont wii u
Decryptolocker.exe: clave
Solo para repetir: esto no se ejecutará automáticamente en todos los archivos afectados. Deberá escribir esto con Powershell o un archivo por lotes, o ejecutarlo manualmente archivo por archivo.
Entonces, ¿cuáles son las malas noticias?
Sin embargo, no todo son buenas noticias. Hay una serie de nuevas variantes de CryptoLocker que continúan circulando. Aunque operan de manera similar a CryptoLocker, todavía no hay una solución para ellos, aparte de pagar el rescate.
Más malas noticias. Si ya pagó el rescate, probablemente nunca volverá a ver ese dinero. Aunque se han realizado excelentes esfuerzos para desmantelar la red CryptoLocker, no se ha recuperado nada del dinero ganado con el malware.
Hay otra lección más pertinente que aprender aquí. Mucha gente tomó la decisión de limpiar sus discos duros y empezar de nuevo en lugar de pagar el rescate. Esto es comprensible. Sin embargo, estas personas no podrán aprovechar DeCryptoLocker para recuperar sus archivos.
Si recibe un ransomware similar y no quiere pagar, es posible que desee invertir en un disco duro externo o una unidad USB baratos y copiar sus archivos cifrados. Esto deja abierta la posibilidad de recuperarlos en una fecha posterior.
Cuénteme sobre su experiencia con CryptoLocker
¿Fue golpeado por Cryptolocker? ¿Ha logrado recuperar sus archivos? Cuéntame sobre eso. El cuadro de comentarios está debajo.
Créditos fotográficos: Bloqueo del sistema (Yuri Samoiliv) , Disco duro externo OWC (Karen) .
Cuota Cuota Pío Correo electrónico ¿Debería actualizar a Windows 11 inmediatamente?Windows 11 llegará pronto, pero ¿debería actualizar lo antes posible o esperar unas semanas? Vamos a averiguar.
Leer siguiente Temas relacionados- Seguridad
- Cifrado
- Caballo de Troya
- Anti-malware
Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Rara vez se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puede leer su blog en http://www.matthewhughes.co.uk y seguirlo en Twitter en @matthewhughes.
Más de Matthew HughesSuscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse