CryptoLocker est mort : voici comment récupérer vos fichiers !
Bonne nouvelle pour toute personne affectée par Cryptolocker. Les sociétés de sécurité informatique FireEye et Fox-IT ont lancé un service tant attendu pour décrypter les fichiers piratés par le tristement célèbre rançongiciel.
Cela survient peu de temps après que des chercheurs de Kyrus Technology ont publié un article de blog détaillant le fonctionnement de CryptoLocker et comment ils l’ont rétro-conçu pour obtenir les clés privées utilisées pour chiffrer des centaines de milliers de fichiers.
Le cheval de Troie CryptoLocker a été découvert pour la première fois par Dell SecureWorks en septembre dernier. Il fonctionne en cryptant les fichiers avec des extensions de fichiers spécifiques et en les décryptant uniquement après avoir payé une rançon de 300 $.
Bien que le réseau servant le cheval de Troie ait finalement été fermé, des milliers d’utilisateurs étaient toujours séparés de leurs fichiers. jusque là.
Avez-vous été touché par Cryptolocker ? Vous vous demandez comment récupérer vos fichiers ? Lisez la suite pour plus d’informations.
Cryptolocker : récapitulons
Lorsque Cryptolocker est apparu pour la première fois, je l’ai décrit comme « le pire malware de tous les temps ». Je m’en tiendrai à cette déclaration. Une fois qu’il a mis la main sur votre système, il saisit vos fichiers avec un cryptage presque incassable et vous facture une petite quantité de bitcoins pour les récupérer.
Il n’attaque pas seulement les disques durs locaux. Il peut également être attaqué si un disque dur externe ou un lecteur réseau mappé est connecté à l’ordinateur infecté. Cela fait des ravages dans les entreprises où les employés collaborent et partagent souvent des documents sur des disques de stockage en réseau.
Faire une vidéo du jour
La propagation vicieuse de CryptoLocker vaut également la peine d’être surveillée, tout comme l’énorme somme d’argent qu’elle rapporte. Les estimations vont de 3 millions de dollars à 27 millions de dollars, les victimes payant en masse la rançon demandée, impatientes de récupérer leurs fichiers.
Peu de temps après, le serveur utilisé pour servir et contrôler le logiciel malveillant Cryptolocker a été supprimé dans « Operational Tovar » et une base de données de victimes a été restaurée. Il s’agissait d’un effort conjoint des forces de police de plusieurs pays, dont les États-Unis, le Royaume-Uni et la plupart des pays européens, et a vu le FBI inculper le chef de gang derrière le logiciel malveillant.
Cela nous amène à aujourd’hui. CryptoLocker était officiellement mort et enterré, bien que de nombreuses personnes aient perdu l’accès aux fichiers qu’elles avaient saisis, en particulier après la suppression des serveurs de paiement et de contrôle dans le cadre d’Operation Server.
Mais il y a encore de l’espoir. Voici comment CryptoLocker est inversé et comment récupérer vos fichiers.
Comment Cryptolocker a été inversé
Après la rétro-ingénierie de CryptoLocker par Kyrus Technologies, ils ont ensuite développé un moteur de décryptage.
Les fichiers chiffrés avec le logiciel malveillant CryptoLocker suivent un format spécifique. Chaque fichier crypté est fait avec une clé AES-256 unique à ce fichier particulier. Cette clé de chiffrement est ensuite chiffrée avec une paire de clés publique/privée à l’aide de l’algorithme RSA-2048 plus puissant et presque imperméable.
La clé publique générée est unique à votre ordinateur, et non aux fichiers chiffrés. Ces informations, combinées à une compréhension des formats de fichiers utilisés pour stocker les fichiers cryptés, signifient que Kyrus Technologies est en mesure de créer des outils de décryptage efficaces.
Mais il y a un problème. Bien qu’il existe des outils pour décrypter les fichiers, il est inutile sans clé de cryptage privée. Par conséquent, la seule façon de déverrouiller les fichiers chiffrés avec CryptoLocker est d’utiliser la clé privée.
Heureusement, FireEye et Fox-IT ont obtenu une partie importante de la clé privée de Cryptolocker. Les détails sur la façon dont ils gèrent cela sont rares. Ils ont juste dit qu’ils les avaient obtenus grâce à « divers partenariats et à une implication dans l’ingénierie inverse ».
Ce programme de coffre-fort et de décryptage de clés privées créé par Kyrus Technologies signifie que les victimes de CryptoLocker peuvent désormais récupérer leurs fichiers gratuitement. Mais comment l’utilisez-vous ?
Décrypter les disques durs infectés par CryptoLocker
Tout d’abord, accédez à decryptcryptlocker.com. Vous aurez besoin d’un exemple de fichier crypté avec le logiciel malveillant Cryptolocker.
Ensuite, téléchargez-le sur le site Web DecryptCryptoLocker. Il sera ensuite traité et (espérons-le) renvoyé la clé privée associée au fichier, qui vous sera ensuite envoyée par e-mail.
Ensuite, il est temps de télécharger et d’exécuter un petit exécutable. Cela s’exécute sur la ligne de commande et vous oblige à spécifier le fichier à déchiffrer et votre clé privée. La commande pour l’exécuter est :
Decryptlocker.exe –clé“
»
Juste pour réitérer – cela ne s’exécute pas automatiquement sur tous les fichiers concernés. Vous devez le scripter à l’aide de Powershell ou d’un fichier batch, ou l’exécuter manuellement fichier par fichier.
Alors, quelle est la mauvaise nouvelle ?
Mais ce ne sont pas toutes de bonnes nouvelles. De nombreuses nouvelles variantes de CryptoLocker continuent de circuler. Bien qu’ils fonctionnent de la même manière que CryptoLocker, il n’y a pas d’autre solution que de payer la rançon.
Plus de mauvaises nouvelles. Si vous avez déjà payé la rançon, vous ne reverrez peut-être jamais l’argent. Malgré d’excellents efforts pour éliminer le réseau CryptoLocker, aucune partie de l’argent gagné grâce au logiciel malveillant n’a été récupérée.
Il y a une autre leçon plus pertinente ici. Au lieu de payer la rançon, beaucoup décident d’effacer le disque dur et de recommencer. C’est compréhensible. Cependant, ces personnes ne pourront pas utiliser DeCryptoLocker pour récupérer leurs fichiers.
Si vous rencontrez un ransomware similaire et que vous ne voulez pas payer, vous devrez peut-être acheter un disque dur externe ou une clé USB bon marché et copier vos fichiers cryptés. Cela laisse la possibilité de les restaurer ultérieurement.
Parlez-moi de votre expérience CryptoLocker
Avez-vous été touché par Cryptolocker ? Avez-vous réussi à récupérer vos fichiers ? Dis moi ce qui se passe. La zone de commentaire est ci-dessous.
Crédits image : System Lock (Yuri Samoiliv), Disque dur externe OWC (Karen).
A propos de l’auteur
