Home-theater-designers
ข่าวดีสำหรับผู้ที่ได้รับผลกระทบจาก Cryptolocker บริษัทรักษาความปลอดภัยด้านไอที FireEye และ Fox-IT ได้เปิดตัวบริการที่รอคอยมานานเพื่อถอดรหัสไฟล์ที่แรนซัมแวร์ชื่อดังจับไว้เป็นตัวประกัน
เหตุการณ์นี้เกิดขึ้นไม่นานหลังจากนักวิจัยที่ทำงานให้กับ Kyrus Technology ได้เผยแพร่บล็อกโพสต์ที่มีรายละเอียดว่า CryptoLocker ทำงานอย่างไร รวมถึงวิธีการทำวิศวกรรมย้อนกลับเพื่อให้ได้คีย์ส่วนตัวที่ใช้เข้ารหัสไฟล์หลายแสนไฟล์
โทรจัน CryptoLocker ถูกค้นพบครั้งแรกโดย Dell SecureWorks เมื่อเดือนกันยายนที่ผ่านมา มันทำงานโดยการเข้ารหัสไฟล์ที่มีนามสกุลไฟล์เฉพาะ และถอดรหัสได้ก็ต่อเมื่อได้รับเงินค่าไถ่ 0 แล้ว
แม้ว่าเครือข่ายที่ให้บริการโทรจันจะถูกปิดในที่สุด แต่ผู้ใช้หลายพันคนยังคงแยกจากไฟล์ของพวกเขา จนถึงตอนนี้.
คุณโดน Cryptolocker หรือไม่? ต้องการทราบวิธีการกู้คืนไฟล์ของคุณ? อ่านต่อเพื่อดูข้อมูลเพิ่มเติม
Cryptolocker: มาสรุปกัน
เมื่อ Cryptolocker ระเบิดในที่เกิดเหตุครั้งแรก ฉันอธิบายว่ามันเป็น 'มัลแวร์ที่น่ารังเกียจที่สุด' ฉันจะยืนหยัดตามคำกล่าวนั้น เมื่อได้รับการจัดการกับระบบของคุณแล้ว มันจะยึดไฟล์ของคุณด้วยการเข้ารหัสที่แทบไม่แตกหักและเรียกเก็บเงินจากคุณ โชคเล็ก ๆ ใน Bitcoin เพื่อรับพวกเขากลับมา
มันไม่ได้แค่โจมตีฮาร์ดไดรฟ์ในเครื่องเท่านั้น หากมีฮาร์ดไดรฟ์ภายนอกหรือไดรฟ์เครือข่ายที่แมปเชื่อมต่อกับคอมพิวเตอร์ที่ติดไวรัส ฮาร์ดไดรฟ์นั้นก็จะถูกโจมตีเช่นกัน สิ่งนี้ทำให้เกิดความหายนะในธุรกิจที่พนักงานมักทำงานร่วมกันและแบ่งปันเอกสารบนไดรฟ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย
การแพร่กระจายที่รุนแรงของ CryptoLocker นั้นเป็นสิ่งที่ต้องจับตามอง เช่นเดียวกับจำนวนเงินที่มหัศจรรย์ที่มันดึงเข้ามา ช่วงประมาณการ จาก m เป็น ส่าย m ในขณะที่เหยื่อจ่ายเงินค่าไถ่ที่ถูกเรียกร้อง en-masse กระตือรือร้นที่จะรับไฟล์ของพวกเขากลับมา
ไม่นานหลังจากนั้น เซิร์ฟเวอร์ที่ใช้เพื่อให้บริการและควบคุมมัลแวร์ Cryptolocker ถูกลบใน ' สินค้าปฏิบัติการ ' และได้ฐานข้อมูลของเหยื่อแล้ว นี่เป็นความพยายามร่วมกันของกองกำลังตำรวจจากหลายประเทศ รวมทั้งสหรัฐอเมริกา สหราชอาณาจักร และประเทศในยุโรปส่วนใหญ่ และได้เห็นแกนนำของแก๊งที่อยู่เบื้องหลังมัลแวร์ที่ FBI ฟ้อง
ที่นำเรามาถึงทุกวันนี้ CryptoLocker นั้นตายและถูกฝังอย่างเป็นทางการ แม้ว่าหลายคนจะไม่สามารถเข้าถึงไฟล์ที่ถูกยึดได้ โดยเฉพาะอย่างยิ่งหลังจากที่เซิร์ฟเวอร์การชำระเงินและการควบคุมถูกถอดออกโดยเป็นส่วนหนึ่งของ Operation Server
แต่ก็ยังมีความหวัง นี่คือวิธีที่ CryptoLocker ถูกย้อนกลับ และวิธีที่คุณจะได้รับไฟล์ของคุณกลับมา
Cryptolocker ถูกย้อนกลับอย่างไร
หลังจากที่ Kyrus Technologies ทำวิศวกรรมย้อนกลับ CryptoLocker สิ่งต่อไปที่พวกเขาทำคือการพัฒนาเครื่องมือถอดรหัส
ไฟล์ที่เข้ารหัสด้วยมัลแวร์ CryptoLocker มีรูปแบบเฉพาะ ไฟล์ที่เข้ารหัสแต่ละไฟล์ใช้คีย์ AES-256 ที่ไม่ซ้ำกับไฟล์นั้น คีย์เข้ารหัสนี้จะถูกเข้ารหัสในเวลาต่อมาด้วยคู่คีย์สาธารณะ/ส่วนตัว โดยใช้อัลกอริธึม RSA-2048 ที่เข้มงวดกว่า
กุญแจสาธารณะที่สร้างขึ้นนั้นมีเอกลักษณ์เฉพาะสำหรับคอมพิวเตอร์ของคุณ ไม่ใช่ไฟล์ที่เข้ารหัส ข้อมูลนี้ประกอบกับความเข้าใจเกี่ยวกับรูปแบบไฟล์ที่ใช้ในการจัดเก็บไฟล์ที่เข้ารหัส หมายความว่า Kyrus Technologies สามารถสร้างเครื่องมือถอดรหัสที่มีประสิทธิภาพได้
แต่มีปัญหาหนึ่ง แม้ว่าจะมีเครื่องมือในการถอดรหัสไฟล์ แต่ก็ไร้ประโยชน์หากไม่มีคีย์เข้ารหัสส่วนตัว ด้วยเหตุนี้ วิธีเดียวที่จะปลดล็อกไฟล์ที่เข้ารหัสด้วย CryptoLocker คือการใช้คีย์ส่วนตัว
โชคดีที่ FireEye และ Fox-IT ได้รับสัดส่วนที่สำคัญของคีย์ส่วนตัวของ Cryptolocker รายละเอียดเกี่ยวกับวิธีการจัดการสิ่งนี้ค่อนข้างบางเมื่ออยู่บนพื้น พวกเขาเพียงแค่บอกว่าพวกเขาได้รับพวกเขาผ่าน 'หุ้นส่วนที่หลากหลายและงานวิศวกรรมย้อนกลับ'
ไลบรารีของคีย์ส่วนตัวและโปรแกรมถอดรหัสที่สร้างโดย Kyrus Technologies หมายความว่าตอนนี้ผู้ที่ตกเป็นเหยื่อของ CryptoLocker มีวิธีในการรับไฟล์ของพวกเขากลับมา และไม่มีค่าใช้จ่ายสำหรับพวกเขา แต่คุณจะใช้มันอย่างไร?
การถอดรหัสฮาร์ดไดรฟ์ที่ติดไวรัส CryptoLocker
ขั้นแรก ให้ไปที่ decryptocker.com คุณจะต้องมีไฟล์ตัวอย่างที่เข้ารหัสด้วยมัลแวร์ Cryptolocker ในมือ
จากนั้นอัปโหลดไปยังเว็บไซต์ DecryptCryptoLocker การดำเนินการนี้จะได้รับการประมวลผล และ (หวังว่า) จะส่งคืนคีย์ส่วนตัวที่เชื่อมโยงกับไฟล์ซึ่งจะถูกส่งถึงคุณทางอีเมล
จากนั้นจึงเป็นเรื่องของการดาวน์โหลดและเรียกใช้ไฟล์ปฏิบัติการขนาดเล็ก การดำเนินการนี้ทำงานบนบรรทัดคำสั่ง และกำหนดให้คุณระบุไฟล์ที่คุณต้องการถอดรหัส รวมทั้งคีย์ส่วนตัวของคุณ คำสั่งที่จะเรียกใช้คือ:
เกมที่คุณเชื่อมต่อตัวอักษรเพื่อสร้างคำ
Decryptocker.exe – คีย์
เพียงเพื่อย้ำอีกครั้ง - การดำเนินการนี้จะไม่ทำงานโดยอัตโนมัติในทุกไฟล์ที่ได้รับผลกระทบ คุณจะต้องเขียนสคริปต์ด้วย Powershell หรือไฟล์ Batch หรือเรียกใช้ด้วยตนเองทีละไฟล์
แล้วข่าวร้ายคืออะไร?
มันไม่ใช่ข่าวดีทั้งหมด มี CryptoLocker รุ่นใหม่จำนวนหนึ่งที่ยังคงหมุนเวียนอยู่ แม้ว่าพวกเขาจะทำงานในลักษณะเดียวกันกับ CryptoLocker แต่ก็ยังไม่มีวิธีแก้ไขใดๆ สำหรับพวกเขา นอกเหนือไปจากการจ่ายค่าไถ่
ข่าวร้ายเพิ่มเติม หากคุณได้จ่ายเงินค่าไถ่ไปแล้ว คุณอาจจะไม่มีวันได้เห็นเงินนั้นอีกเลย แม้ว่าจะมีความพยายามที่ยอดเยี่ยมในการรื้อเครือข่าย CryptoLocker แต่เงินที่ได้รับจากมัลแวร์ไม่ได้รับการกู้คืน
มีบทเรียนอื่นที่เกี่ยวข้องมากขึ้นที่จะเรียนรู้ที่นี่ หลายคนตัดสินใจล้างฮาร์ดไดรฟ์และเริ่มต้นใหม่แทนที่จะจ่ายค่าไถ่ นี้เป็นที่เข้าใจ อย่างไรก็ตาม คนเหล่านี้จะไม่สามารถใช้ประโยชน์จาก DeCryptoLocker เพื่อกู้คืนไฟล์ของตนได้
หากคุณโดนแรนซัมแวร์ที่คล้ายกันและไม่ต้องการจ่ายเงิน คุณอาจต้องการลงทุนในฮาร์ดไดรฟ์ภายนอกราคาถูกหรือไดรฟ์ USB และคัดลอกไฟล์ที่เข้ารหัสของคุณไป ใบนี้เปิดโอกาสในการกู้คืนได้ในภายหลัง
บอกฉันเกี่ยวกับประสบการณ์ CryptoLocker ของคุณ
คุณโดน Cryptolocker หรือไม่? คุณได้รับไฟล์ของคุณกลับมาแล้วหรือยัง? บอกฉันเกี่ยวกับมัน ช่องแสดงความคิดเห็นอยู่ด้านล่าง
เครดิตภาพ: ล็อคระบบ (ยูริ ซาโมลิฟ) , OWC ฮาร์ดไดรฟ์ภายนอก (กะเหรี่ยง) .
แบ่งปัน แบ่งปัน ทวีต อีเมล คุณควรอัปเกรดเป็น Windows 11 ทันทีหรือไม่Windows 11 กำลังจะมาในเร็วๆ นี้ แต่คุณควรอัปเดตโดยเร็วที่สุดหรือรอสองสามสัปดาห์ ลองหา
อ่านต่อไป หัวข้อที่เกี่ยวข้อง- ความปลอดภัย
- การเข้ารหัส
- ม้าโทรจัน
- ป้องกันมัลแวร์
Matthew Hughes เป็นนักพัฒนาซอฟต์แวร์และนักเขียนจากลิเวอร์พูล ประเทศอังกฤษ แทบจะไม่มีใครพบเขาเลยหากไม่มีกาแฟดำเข้มข้นในมือ และชื่นชอบ Macbook Pro และกล้องของเขาเป็นอย่างยิ่ง คุณสามารถอ่านบล็อกของเขาได้ที่ http://www.matthewhughes.co.uk และติดตามเขาทางทวิตเตอร์ที่ @matthewhughes
เพิ่มเติมจาก Matthew Hughesสมัครรับจดหมายข่าวของเรา
เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!
คลิกที่นี่เพื่อสมัครสมาชิก