الإعلانات
خبر جيد لأي شخص يتأثر بـ Cryptolocker. أطلقت شركات أمن تكنولوجيا المعلومات FireEye و Fox-IT خدمة طال انتظارها لفك تشفير الملفات التي يحتجزها الرهائن فدية سيئة السمعة لا تسقط من المخادعين: دليل لفدية والتهديدات الأخرى اقرأ أكثر .
يأتي هذا بعد فترة وجيزة من إصدار الباحثين العاملين في شركة Kyrus Technology منشورًا مدونًا يوضح كيف CryptoLocker يعمل ، وكذلك كيفية عكس ذلك هندسيا للحصول على المفتاح الخاص المستخدم لتشفير مئات الآلاف من الملفات.
تم اكتشاف حصان طروادة CryptoLocker لأول مرة من قِبل Dell SecureWorks في سبتمبر الماضي. إنه يعمل عن طريق تشفير الملفات التي لها امتدادات ملفات محددة ، وفك تشفيرها فقط بمجرد دفع فدية قدرها 300 دولار.
على الرغم من أن الشبكة التي خدمت طروادة قد تم إيقافها في النهاية ، إلا أن الآلاف من المستخدمين لا يزالون منفصلين عن ملفاتهم. الى الآن.
هل تعرضت للضرب من قبل Cryptolocker؟ تريد أن تعرف كيف يمكنك استعادة الملفات الخاصة بك؟ اقرأ لمزيد من المعلومات.
Cryptolocker: دعنا نلخص
عندما انفجر Cryptolocker لأول مرة على الساحة ، وصفته بأنه ‘أسوأ البرامج الضارة من أي وقت مضى
CryptoLocker هو أسوأ البرامج الضارة من أي وقت مضى وإليك ما يمكنك القيام بهCryptoLocker هو نوع من البرامج الضارة التي تجعل جهاز الكمبيوتر الخاص بك غير قابل للاستخدام بالكامل من خلال تشفير جميع ملفاتك. ثم يتطلب الدفع النقدي قبل إرجاع الوصول إلى جهاز الكمبيوتر الخاص بك. اقرأ أكثر ‘. سوف أقف بجانب هذا البيان. بمجرد أن يضع يديه على نظامك ، فسوف يستولي على ملفاتك بتشفير غير قابل للكسر ويشحن لك أ ثروة صغيرة في بيتكوين لاستعادتهم.كما أنها لم تهاجم محركات الأقراص الثابتة المحلية أيضًا. إذا كان هناك محرك أقراص ثابت خارجي أو محرك أقراص شبكة معيّن متصل بجهاز كمبيوتر مصاب ، فسيتم مهاجمته أيضًا. تسبب هذا في حدوث فساد في الشركات حيث يتعاون الموظفون غالبًا ومشاركة المستندات على محركات أقراص التخزين المتصلة بالشبكة.
كان الانتشار الضخم لـ CryptoLocker أيضًا أمرًا يستحقه ، وكذلك المبلغ الهائل من المال الذي جمعته. تقديرات النطاق من 3 ملايين دولار إلى مذهل 27 مليون دولار، حيث دفع الضحايا الفدية التي تم طلبها بشكل جماعي ، متحمسين لاستعادة ملفاتهم.
لم يمض وقت طويل بعد ، تم إيقاف الخوادم المستخدمة لخدمة والتحكم في البرامج الضارة Cryptolocker في ‘طوفار التشغيلية‘، وتم استرداد قاعدة بيانات للضحايا. كانت هذه الجهود مجتمعة لقوات الشرطة من بلدان متعددة ، بما في ذلك الولايات المتحدة والمملكة المتحدة ، ومعظم الدول الأوروبية ، ورأى زعيم العصابة وراء البرمجيات الخبيثة التي اتهمها مكتب التحقيقات الفدرالي.
وهو ما يقودنا إلى اليوم. CryptoLocker قد مات رسميًا ودُفن ، على الرغم من أن العديد من الأشخاص غير قادرين على الوصول إلى الملفات المضبوطة ، خاصة بعد سحب خوادم الدفع والتحكم كجزء من العملية الخادم.
ولكن لا يزال هناك أمل. إليك كيفية عكس CryptoLocker ، وكيف يمكنك استعادة الملفات الخاصة بك.
كيف تم عكس Cryptolocker
بعد أن قامت Kyrus Technologies بإعادة هندسة CryptoLocker ، كان الشيء التالي الذي قاموا به هو تطوير محرك فك تشفير.
تتبع الملفات المشفرة باستخدام البرامج الضارة CryptoLocker تنسيقًا محددًا. يتم كل ملف مشفر باستخدام مفتاح AES-256 فريد لهذا الملف المحدد. بعد ذلك يتم تشفير مفتاح التشفير هذا لاحقًا باستخدام زوج مفاتيح عام / خاص ، باستخدام خوارزمية RSA-2048 أقوى من غير واضحة.
المفتاح العام الذي تم إنشاؤه فريد من نوعه لجهاز الكمبيوتر الخاص بك ، وليس الملف المشفر. هذه المعلومات ، بالاقتران مع فهم تنسيق الملف المستخدم لتخزين الملفات المشفرة ، تعني أن Kyrus Technologies كانت قادرة على إنشاء أداة فك تشفير فعالة.
لكن كان هناك مشكلة واحدة. على الرغم من وجود أداة لفك تشفير الملفات ، إلا أنها كانت بلا فائدة بدون مفاتيح التشفير الخاصة. نتيجة لذلك ، كانت الطريقة الوحيدة لإلغاء تأمين ملف مشفر باستخدام CryptoLocker هي المفتاح الخاص.
لحسن الحظ ، حصلت FireEye و Fox-IT على نسبة كبيرة من مفاتيح Cryptolocker الخاصة. تفاصيل حول كيفية إدارتها لهذا الأمر ضعيفة على أرض الواقع ؛ يقولون ببساطة أنهم حصلوا عليها من خلال "مختلف الشراكات والمشاركة الهندسية العكسية".
هذه المكتبة من المفاتيح الخاصة وبرنامج فك التشفير الذي أنشأته Kyrus Technologies تعني أن ضحايا CryptoLocker الآن لديك وسيلة لاستعادة الملفات الخاصة بهم، وبدون تكلفة لهم. ولكن كيف تستخدمها؟
فك تشفير القرص الصلب CryptoLocker المصابة
أولاً ، استعرض للوصول إلى decryptcryptolocker.com. ستحتاج إلى ملف نموذج تم تشفيره باستخدام البرامج الضارة Cryptolocker لتسليمه.
بعد ذلك ، قم بتحميله على موقع DecryptCryptoLocker. سيتم بعد ذلك معالجة هذا الأمر (ونأمل) إعادة المفتاح الخاص المرتبط بالملف والذي سيتم إرساله إليك عبر البريد الإلكتروني.
ثم ، إنها مسألة تنزيل وتشغيل ملف تنفيذي صغير. يعمل هذا على سطر الأوامر ، ويتطلب منك تحديد الملفات التي ترغب في فك تشفيرها ، وكذلك المفتاح الخاص. الأمر لتشغيله هو:
Decryptolocker.exe - مفتاح "
”
فقط للتكرار - لن يتم تشغيل هذا تلقائيًا على كل ملف متأثر. ستحتاج إلى كتابة هذا باستخدام Powershell أو ملف دفعي ، أو تشغيله يدويًا على أساس كل ملف على حدة.
إذن ، ما هي الأخبار السيئة؟
ليست كلها أخبار جيدة رغم ذلك. هناك عدد من المتغيرات الجديدة من CryptoLocker التي تستمر في التداول. على الرغم من أنها تعمل بطريقة مشابهة لـ CryptoLocker ، إلا أنه لا يوجد حل لها حتى الآن ، بخلاف دفع الفدية.
المزيد من الأخبار السيئة. إذا كنت قد دفعت الفدية بالفعل ، فربما لن ترى هذه الأموال أبدًا مرة أخرى. على الرغم من بذل بعض الجهود الممتازة لتفكيك شبكة CryptoLocker ، إلا أنه لم يتم استرداد أي من الأموال المكتسبة من البرامج الضارة.
هناك درس آخر أكثر أهمية يجب تعلمه هنا. اتخذ الكثير من الأشخاص قرارًا بمسح محركات الأقراص الصلبة والبدء من جديد بدلاً من دفع الفدية. هذا مفهوم. ومع ذلك ، لن يتمكن هؤلاء الأشخاص من الاستفادة من DeCryptoLocker لاستعادة ملفاتهم.
إذا حصلت عليه ضرب مع فدية مماثلة لا تدفع - كيفية التغلب على الفدية!فقط تخيل لو ظهر أحدهم على عتبة بابك وقال: "مهلا ، هناك فئران في منزلك لم تكن تعرفها. أعطنا 100 دولار وسنتخلص منها. "هذا هو Ransomware ... اقرأ أكثر ولا تريد الدفع ، فقد ترغب في الاستثمار في محرك أقراص ثابت خارجي رخيص أو محرك USB ونسخ ملفاتك المشفرة. هذا يترك الباب مفتوحًا أمام إمكانية استردادها في وقت لاحق.
أخبرني عن تجربة CryptoLocker الخاصة بك
هل أصبت بكريبتولوكير؟ هل تمكنت من استعادة الملفات الخاصة بك؟ حدثني عنها. مربع التعليقات أدناه.
اعتمادات الصورة: قفل النظام (يوري سامويليف), القرص الصلب الخارجي OWC (كارين).
ماثيو هيوز هو مطور برامج وكاتب من ليفربول ، إنجلترا. نادراً ما يتم العثور عليه بدون فنجان من القهوة السوداء القوية في يده ويعشق جهاز Macbook Pro وكاميراه تمامًا. يمكنك قراءة مدونته على http://www.matthewhughes.co.uk واتباعه على تويتر في @ matthewhughes.
