00132

Антивирусные компании FireEye и Fox-IT совместными усилиями запустили сервис DecryptCryptoLocker для бесплатной расшифровки файлов, которые были зашифрованы зловредом-вымогателем CryptoLocker.

CryptoLocker работает по стандартной схеме: после зашифровки файлов он требует перечисления определённой денежной суммы на указанный bitcoin-адрес, после чего сообщает ключ для расшифровки документов.

В результате проведённой операции компаниям FireEye и Fox-IT удалось получить большое количество секретных ключей, которые использует CryptoLocker для зашифровки файлов. На вышеупомянутом сайте пользователи могут использовать эти ключи, чтобы «освободить» свои документы без выплаты вознаграждения вымогателям.

Процедура расшифровки начинается с того, что пользователь должен выбрать какой-нибудь зашифрованный файл, который не содержит важной информации. Его нужно закачать на сервер DecryptCryptoLocker. При этом следует указать почтовый адрес, на который будет выслан секретный ключ для расшифровки файлов.

Затем следует скачать утилиту Decryptolocker.exe и дождаться получения секретного ключа по электронной почте. После этого нужно запустить команду следующего вида:

Decryptolocker.exe –key “<key>” <Lockedfile.doc>

Поскольку в интернете встречается большое количество вариантов CryptoLocker, новый сервис не может гарантировать работоспособность для их всех.



28 комментариев

  1. 06.08.2014 at 23:15

    я сижу на Линуксе и мне смешно читать такие заголовки

    • 07.08.2014 at 00:15

      а тёток бухгалтеров тоже на линукс пересадить

      • 07.08.2014 at 11:41

        И что в этом такого? Если есть весь софт, который им нужен, то они разницы и не заметят. У нас вот сидели такие, в 1с через rdp работали.

    • 07.08.2014 at 00:29

      Эх.. историю вы не знаете. Червь Морриса уже забыли… Есть вирусы и под линукс. Кстати, как приятно будет посмотреть на линуксоидов, которым придет подобное чудо. ) Под root’ом не сидите? Ок. Исполняемые файлы в линукс в elf формате. Нужные шифровальные функции прописаны в том же файле, чтобы избавить себя от проблем зависимостей от библиотек. Итак вы заходите на зловредный сайт, тот начинает в ваш браузер пихать разный контент. В кэш попадает java-скрипт (ява она кросплатформенная, да?) Сайт требует запустить контент. Контент запускается из кэша. Java-скрипт будет загрузчиком исполняемого файла или зловредом (на выбор). Далее он уже качает исполняемый файл и тот делает свое дело (можно скачать shell script, команду rm -rf /* никто не отменял). Кстати, пользователю дозволяется добавлять что-то в автозагрузку cron. Так что будет запускаться при каждом запуске. Можно не шифровать, а удалить всё что есть в профиле пользователя. Нет root’а? Ничего страшного- можно удалить/зашифровать всё до чего руки дотянутся. Как вам такой вариант? Примерно так заражаются Windows машины. В пределах пользовательского профиля тоже можно развлечься, но если пользователь сидит под рутом, то совсем хорошо. Кстати, руткиты и бэкдоры под линукс довольно популярны. У вас AppArmor настроен? Про ядерные руткиты слышали? И не надо ничего компилировать. Всё уже будет скомпилировано до вас. Удачи! 🙂

      • 07.08.2014 at 00:56

        Какой идиот будет запускать браузер от рута ? это вам не Windows админ, который по-умолчанию всё запускаемое запускает от своего же профиля. Ну и много ли вы видали пользователей, а тем более админов, у которых на linux’е установлена Java ? Лично у меня её нет. И программ у меня таких нет, которые написаны на java и я не один. Статистика на сайте одного антивируса вот висела по использования Java на *nix ос, она в итоге показала, что её используют, менее, чем на 4% всех существующих ос из семейства *nix. Про формат исполняемых файлов вы перегнули баранку. Я пробовал, например у себя на рабочем Debian’e, хотя на обычном компе у меня стоит Lubuntu, запустить исполняемый файл, скомпилированный под Centos и знаете, что мне баш написал ? Я процитирую: «Не возможно выполнить бинарный файл». Вы такую «совместимость» имели ввиду ? Я повторюсь, что это не Windows, где во всех её версиях, формат исполняемых файлов одинаковый, а зоопарк дистрибутивов, в котором даже версии библиотек по обработки исполняемых файлов — разные,не принимая в расчет свои собственные изменения в отдельных ветвях дистрибутивах и версии ядер..

        • 09.08.2014 at 11:07

          Вы ошибаетесь. В руководстве по gcc кроссплатформенному программированию посвящен большой раздел. Еще дедушка Столлмен писал. В общем, там две проблемы: 1-ая это проблема зависимостей, нет библиотек. Статические библиотеки элементарно включаются в бинарник при компиляции. Статическую библиотеку нам никто не мешает написать самому или вовсе не использовать библиотеку, а просто написать нужный код в бинарник без библиотек. 2-ое это совместимость с архитектурой процессора. Тут тоже всё просто. Надо лишь скомпилировать бинарник под архитектуру i386. Современные процессоры прекрасно поддерживают обратную совместимость со старой архитектурой i386. Вы когда запускали бинарник на др. машине посмотрели логи в /var/log/messages почему у вас бинарник не запускается? Наверное, нет. Скорее всего бинарник у вас ругнулся на отсутствие библиотек. Далее про браузер. Ваш браузер прекрасно понимает java скрипт. Иначе бы половина сайтов, написанных на PHP+Java Script у вас бы отображались некорректно. Не работали бы всякие красивости в виде выпадающих списков, кнопки, меню, математических вычислений, анимации. Не путайте java машину и java скрипт. Это разные вещи. javascript это интерпретируемый язык. В браузере есть javascript интерпретатор, а сам javascript можно написать в блокноте и его не нужно компилировать. Java приложение другое дело. Оно компилируется. А для его запуска нужна java-машина, которую нужно установить на машину. Само ядро прекрасно понимает чего вы от него хотите. Главное чтобы сам бинарник-программа была правильно скомпилирована и чтобы знала откуда и что брать. Все вышесказанное это азы. Странно, что вы этого не знаете. Единственная проблема это браузер с песочницей. Та же песочница в Chrome ограничивает как дисковые операции так и сетевой стэк. Другие браузеры могут ограничивать только сетевой стэк, но не дисковые операции. Третьи могут не иметь песочницы вовсе. Поэтому основная проблема в том как доставить злой бинарник на linux машину, а дальше дело техники. Но помимо браузера есть другие пути распостранения. Например через зараженную флэшку. Linux прекрасно понимает autorun.inf. Вобщем, ничего сложного. В отсутствии прав суперпользователя остается уязвимым профиль самого пользователя. Удачи 🙂

          • 09.08.2014 at 19:35

            Поверьте, сейчас я в конец убедился в том, что я прав после того, как услышал от вас просто ошеломительные сказки про различные вещи, о которых вы наверное где-то читали, но так и не удосужились понять, как они работают и зачем они вообще нужны, и как говорится — факты на лицо..Начнем, пожалуй с компилятора gcc: чем отличается сообщение о не возможности выполнить бинарный файл от сообщения, которое прямо таки намекает, что требуемая библиотека не найдена ?. Если вы про это ещё не успели почитать, я вам и про это расскажу — первое означает, что файл не может быть идентифицирован как программа, а это может быть только в том случае, если у него нет Elf хидера в самом начале и загрузчик не может определить, под какую архитектуру предназначен файл, на какой адрес нужно загружать программу, сколько ей выделить резерв-стека и где находится указать на программный заголовок, без этих базовый сведений или в случае указания лишнего байта в каком-либо значении, программа не может быть запущена корректно, для этого и придумали сообщения о не возможности запуска файла. Второе сообщение, которое по каким-либо причинам, но скорей это из-за не знания элементарного английского, ах, сообщения же все на русском языке пишут, так что я даже не знаю, что вам помешало его понять верно, означает: не поверите! — библиотека, которая содержит функции для конечной программа не была найдена, или по указанному смещению не найдена ф-ция. Кстати, да, если моя программа не содержит никаких внешних вызовов и скомпилирована под архитектуру i386, процессор с arm или mips её тоже запустит ? А про /var/log/messages, которого у меня даже НЕТ вы лучше погуглите ещё немного, чтобы когда в следующий раз, вступали в спор, знать — что и для чего нужно ну или — где это хотя бы находится, а где нет. А про «Ваш браузер прекрасно понимает java скрипт. Иначе бы половина сайтов, написанных на PHP+Java Script у вас бы отображались некорректно.» — меня просто убило, не представляю, откуда вы набираетесь всей этой чуши, наверное уроки Дениса. Попова смотрите ?:). Вы, надеюсь понимаете, что Java и Javascript — два совершенно-разных ЯП, один из которых работает от вм — Java, а другой — реализован в ядре браузера ? да и причем тут собственно php, какую он роль играет в моем браузере ? Искренне надеюсь услышать от вас нечто подобное:»Без него у вас бы сайты на php не работали бы»:D, тогда мне станет в одно время и смешно и грустно..
            «Например через зараженную флэшку. Linux прекрасно понимает autorun.inf» — вы это серьезно, откуда вы это знаете ? Вы ведь отличные от Windows ос видели лишь на скринах или читали про них в новостях 90х годов. Не устарела ли инфа ? P.S У меня ни один «Linux» за всё время, что я им пользуюсь — ниразу не выполнил ни строчки из того, что там написано. Наверное потому, что это файл используется исключительно для авто-запуска программ в ос Windows..
            Читая ваш пост, мне скорей становится грустно, потому что по делу вы не можете сказать ничего стоящего, зато много пихаете лишнего, забыли, кстати добавить пояснения — что такое компилятор и что такое процессор и как то и другое работает:)

      • 07.08.2014 at 02:08

        как приятно будет посмотреть на линуксоидов, которым придет подобное чудо. )

        Будет.. придет.. А в настоящем времени есть примеры? Примеров нет. Что остается в итоге? А итоге, пустая болтовня об «уязвимостях» линукс.

      • 09.08.2014 at 23:10

        Червей с вирусами-то не смешивай, да? Вирус — это программный код, живущий внутри другого кода и запускающийся вместе с ним. И ошибки в сендмейле — это только лишь ошибки в программе, закрыли и всё. Или ты думаешь, сейчас не находят ошибок, которые закрывают?

    • 07.08.2014 at 12:42

      А что Андроид не Линукс — еще более дырявый чем Винда. На Линукс для настольных систем нет такого распространения вирусов, только потому, что кроме горстки прыщавых задротов у которых нет ни денег, ни нормальной половой жизни он там нахер никому не нужен.

      • 07.08.2014 at 12:46

        Jane, давайте обойдемся без оскорблений.

        А что с Андроидом какие-то проблемы?

        Не знаю, не слышал.

      • 08.08.2014 at 03:56

        Что-то ты много таких «прыщавых задротов» насчитал па всему миру, аж 2 миллиарда — это именно столько на данный момент продано андроид смартфонов. Сам небось пользуешься им ?

      • 08.08.2014 at 13:53

        Мне кажется вы немного более ущербны если пишите такую чуш. Я использую линукс и вам и не снилась то как я выгляжу и какая у меня жизнь.

        • 08.08.2014 at 15:30

          Сначала писать грамотно научись, а потом будешь рассказывать про то, что мне не снилось.

      • 08.08.2014 at 17:11

        А что Андроид не Линукс

        Вот что пишет википедия:Основана на ядре Linux[5] и собственной реализации Java от Google. Изначально разрабатывалась компанией Android Inc., которую затем купила Google. Впоследствии Google инициировала создание альянса Open Handset Alliance (OHA), который сейчас занимается поддержкой и дальнейшим развитием платформы.Объяснять не надо, что это значит? Или ты у нас только по «прыщавым» большой спец?

  2. 06.08.2014 at 23:27

    Так и вижу, как хомячки кинулись в консоли вызывать команду расшифровки для каждого файла. А ещё очень забавно будет видеть, как они перед этим скопируют decryptolocker этот в каждую папку, потому что не умеют абсолютных путей. Да я даже не уверен, что они смогут с помощью cd дойти до нужной папки.

    • 07.08.2014 at 01:54

      Для win7:
      копируем Decryptolocker.exe на рабочий стол;
      в cmd пишем: for /r «c:» %i in (*.123) do «%userprofile%DesktopDecryptolocker.exe» –key «key» «%i»
      где c: — буква(ы) диска(ов) на котором зашифрованные файлы. Для новой буквы — выполнять команду по-новой;
      где 123 — расширение зашифрованных файлов;
      где «key» — ключ.
      Хомячки спасены.

      P.S. Может потребоваться запуск cmd от админка.

      • 07.08.2014 at 02:19

        >Хомячки спасены.Ага, спасены, как же! Да любого хомячка от Вашего спасительного способа, кондрашка хватит. Ему легче новый компьютер купить чем проделать тоже самое.

      • 07.08.2014 at 02:37

        Хочу Вам рассказать реальный случай из жизни. На днях позвонила мне знакомая моей мамы и, взволнованным голосом, заикаясь поведала о большой беде: «Все было хорошо, я была в контакте и, вдруг, мигнул свет! Теперь на модеме крутится «добро пожаловать», а на процессоре не все лампочки горят. Я наверное сломала компьютер..»Шел по улице, вспомнил этот случай, дак еле удержался, чтоб не засмеяться.

      • 07.08.2014 at 20:47

        Попробовал ваш способ, говорит «in was unexpected at this time». А если запускаю через коммандную строку по инструкции сайта,то пишет :

        • 07.08.2014 at 20:51

          …пишет: The syntax of the command is incorrect. Не пойму где подвох.

          • 08.08.2014 at 15:31

            Decryptolocker.exe -?
            Decryptolocker.exe -h
            Decryptolocker.exe /h
            Decryptolocker.exe /?
            Один из вариантов-то сработает, я думаю. Вообще, общепринято на винде параметры передавать черещ /, а в юниксах через -, порты под винду тоже используют -. А тут что, порт разве?

  3. 05.10.2014 at 19:28

    а тут есть специалисты в дешифровании ???

  4. 02.12.2014 at 04:06

    Ребят, здравствуйте. У меня вопрос. Купил видео курс, с активацией ключа, привязка только к одной машине, как мне вытащить видео файлы, если они зашифрованы в exe? Сразу скажу, что в хакерстве я 0 ))) Могу скинуть один файл.За раннее благодарен.

Оставить мнение