CryptoLocker ist tot: So erhalten Sie Ihre Dateien zurück!

CryptoLocker ist tot: So erhalten Sie Ihre Dateien zurück!

Gute Nachrichten für alle, die von Cryptolocker betroffen sind. Die IT-Sicherheitsfirmen FireEye und Fox-IT haben einen lang erwarteten Dienst gestartet, um Dateien zu entschlüsseln, die von der berüchtigten Ransomware als Geiseln gehalten werden.





Dies geschieht kurz nachdem Forscher, die für Kyrus Technology arbeiten, einen Blog-Beitrag veröffentlicht haben, in dem beschrieben wird, wie CryptoLocker funktioniert und wie sie es zurückentwickelt haben, um den privaten Schlüssel zu erhalten, der zum Verschlüsseln von Hunderttausenden von Dateien verwendet wird.



Der CryptoLocker-Trojaner wurde im vergangenen September erstmals von Dell SecureWorks entdeckt. Es verschlüsselt Dateien mit bestimmten Dateierweiterungen und entschlüsselt sie erst, wenn ein Lösegeld von 300 US-Dollar gezahlt wurde.





Obwohl das Netzwerk, das den Trojaner bediente, schließlich abgeschaltet wurde, bleiben Tausende von Benutzern von ihren Dateien getrennt. Bis jetzt.

Wurden Sie von Cryptolocker getroffen? Möchten Sie wissen, wie Sie Ihre Dateien zurückbekommen? Lesen Sie weiter für weitere Informationen.



Cryptolocker: Fassen wir zusammen

Als Cryptolocker zum ersten Mal auftauchte, beschrieb ich es als die 'böseste Malware aller Zeiten'. Ich werde zu dieser Aussage stehen. Sobald es Ihr System in die Hände bekommt, wird es Ihre Dateien mit nahezu unzerbrechlicher Verschlüsselung beschlagnahmen und Ihnen eine Gebühr in Rechnung stellen kleines Vermögen in Bitcoin um sie zurückzubekommen.

Es griff nicht nur lokale Festplatten an. Wenn eine externe Festplatte oder ein zugeordnetes Netzlaufwerk an einen infizierten Computer angeschlossen wäre, würde auch dieser angegriffen werden. Dies verursachte Chaos in Unternehmen, in denen Mitarbeiter häufig zusammenarbeiten und Dokumente auf Netzwerkspeicherlaufwerken teilen.



Die virulente Verbreitung von CryptoLocker war ebenso bemerkenswert wie die phänomenale Geldsumme, die es einzog. Schätzungen reichen ab 3 Mio. $ zu einem unglaubliche 27 Millionen US-Dollar , als die Opfer das massenhaft geforderte Lösegeld zahlten, um ihre Akten zurückzubekommen.

Nicht lange danach wurden die Server, auf denen die Cryptolocker-Malware bereitgestellt und kontrolliert wurde, im Jahr ' Betriebsgüter “, und eine Datenbank mit Opfern wurde wiederhergestellt. Dies war die gemeinsame Anstrengung von Polizeikräften aus mehreren Ländern, darunter den USA, Großbritannien und den meisten europäischen Ländern, und sah den Rädelsführer der Bande hinter der vom FBI angeklagten Malware.



Was uns zum Heute bringt. CryptoLocker ist offiziell tot und begraben, obwohl viele Leute keinen Zugriff auf ihre beschlagnahmten Dateien erhalten, insbesondere nachdem die Zahlungs- und Kontrollserver im Rahmen von Operation Server abgeschaltet wurden.

Aber es gibt noch Hoffnung. So wurde CryptoLocker rückgängig gemacht und wie Sie Ihre Dateien wiederherstellen können.

Wie Cryptolocker rückgängig gemacht wurde

Nachdem Kyrus Technologies CryptoLocker zurückentwickelt hatte, entwickelten sie als nächstes eine Entschlüsselungs-Engine.

Mit der CryptoLocker-Malware verschlüsselte Dateien haben ein bestimmtes Format. Jede verschlüsselte Datei wird mit einem AES-256-Schlüssel erstellt, der für diese bestimmte Datei eindeutig ist. Dieser Verschlüsselungsschlüssel wird dann anschließend mit einem öffentlichen/privaten Schlüsselpaar verschlüsselt, wobei ein stärkerer nahezu undurchlässiger RSA-2048-Algorithmus verwendet wird.

Der generierte öffentliche Schlüssel ist für Ihren Computer eindeutig, nicht die verschlüsselte Datei. Diese Informationen in Verbindung mit dem Verständnis des Dateiformats, das zum Speichern verschlüsselter Dateien verwendet wird, ermöglichten es Kyrus Technologies, ein effektives Entschlüsselungstool zu entwickeln.

Aber es gab ein Problem. Obwohl es ein Tool zum Entschlüsseln von Dateien gab, war es ohne die privaten Verschlüsselungsschlüssel nutzlos. Daher war die einzige Möglichkeit, eine mit CryptoLocker verschlüsselte Datei zu entsperren, der private Schlüssel.

Zum Glück haben FireEye und Fox-IT einen erheblichen Anteil der privaten Schlüssel von Cryptolocker erworben. Details darüber, wie sie dies geschafft haben, sind dünn gesät; sie sagen einfach, sie hätten sie durch „verschiedene Partnerschaften und Reverse Engineering-Engagements“ erhalten.

Diese Bibliothek privater Schlüssel und das von Kyrus Technologies erstellte Entschlüsselungsprogramm bedeutet, dass jetzt Opfer von CryptoLocker eine Möglichkeit haben, ihre Dateien zurückzubekommen , und das ohne Kosten für sie. Aber wie benutzt man es?

Entschlüsseln einer mit CryptoLocker infizierten Festplatte

Navigieren Sie zunächst zu decryptolocker.com. Sie benötigen eine Beispieldatei, die mit der Cryptolocker-Malware verschlüsselt wurde.

Laden Sie es dann auf die DecryptCryptoLocker-Website hoch. Diese wird dann verarbeitet und gibt (hoffentlich) den mit der Datei verknüpften privaten Schlüssel zurück, der Ihnen dann per E-Mail zugesendet wird.

Dann müssen Sie eine kleine ausführbare Datei herunterladen und ausführen. Dies wird auf der Befehlszeile ausgeführt und erfordert, dass Sie die Dateien angeben, die Sie entschlüsseln möchten, sowie Ihren privaten Schlüssel. Der Befehl zum Ausführen lautet:

So verkleinern Sie eine JPEG-Datei

Decryptolocker.exe –Schlüssel

Nur zur Wiederholung - Dies wird nicht automatisch bei jeder betroffenen Datei ausgeführt. Sie müssen dies entweder mit Powershell oder einer Batch-Datei skripten oder manuell Datei für Datei ausführen.

Also, was ist die schlechte Nachricht?

Es sind jedoch nicht nur gute Nachrichten. Es gibt eine Reihe neuer Varianten von CryptoLocker, die weiterhin im Umlauf sind. Obwohl sie ähnlich wie CryptoLocker funktionieren, gibt es noch keine Lösung für sie, außer das Lösegeld zu zahlen.

Noch mehr schlechte Nachrichten. Wenn Sie das Lösegeld bereits bezahlt haben, werden Sie dieses Geld wahrscheinlich nie wieder sehen. Obwohl bei der Demontage des CryptoLocker-Netzwerks einige hervorragende Anstrengungen unternommen wurden, wurde nichts von dem mit der Malware verdienten Geld wiederhergestellt.

Hier gibt es noch eine weitere, relevantere Lektion zu lernen. Viele Leute haben sich entschieden, ihre Festplatten zu löschen und neu zu beginnen, anstatt das Lösegeld zu zahlen. Das ist verständlich. Diese Personen können jedoch DeCryptoLocker nicht nutzen, um ihre Dateien wiederherzustellen.

Wenn Sie von ähnlicher Ransomware getroffen werden und nicht bezahlen möchten, sollten Sie möglicherweise in eine billige externe Festplatte oder ein USB-Laufwerk investieren und Ihre verschlüsselten Dateien kopieren. Dies lässt die Möglichkeit offen, sie zu einem späteren Zeitpunkt zurückzugewinnen.

Erzählen Sie mir von Ihrer CryptoLocker-Erfahrung

Wurden Sie von Cryptolocker getroffen? Haben Sie es geschafft, Ihre Dateien zurückzubekommen? Erzähl mir davon. Das Kommentarfeld ist unten.

Bildnachweis: Systemsperre (Yuri Samoiliv) , Externe OWC-Festplatte (Karen) .

Teilen Teilen Tweet Email Sollten Sie sofort auf Windows 11 aktualisieren?

Windows 11 kommt bald, aber sollten Sie so schnell wie möglich aktualisieren oder ein paar Wochen warten? Lass es uns herausfinden.

Weiter lesen Verwandte Themen
  • Sicherheit
  • Verschlüsselung
  • Trojanisches Pferd
  • Anti-Malware
Über den Autor Matthew Hughes(386 veröffentlichte Artikel)

Matthew Hughes ist ein Softwareentwickler und Autor aus Liverpool, England. Er ist selten ohne eine Tasse starken schwarzen Kaffees in der Hand zu finden und liebt sein Macbook Pro und seine Kamera absolut. Sie können seinen Blog unter http://www.matthewhughes.co.uk lesen und ihm auf Twitter unter @matthewhughes folgen.

Mehr von Matthew Hughes

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um sich zu abonnieren