想解密CryptoLocker文件?研究人員支招
責編:admin |2014-08-25 12:26:10研究人員發布了一個新網站,為CryptoLocker勒索軟件的受害者提供了所需要的私鑰來解密和恢復鎖定文件。
對于此前廣為流行的CryptoLocker勒索軟件的受害者,當他們發現其文件被加密時,他們只有兩個選擇:要么向該勒索軟件背后的攻擊者付款來恢復文件,要么接受已經永遠失去這些被加密文件的事實。不過現在研究人員發布了一個新網站,以幫助受害者免費解密CryptoLocker文件。
雖然勒索軟件并不是新鮮事,但在2013年12月CryptoLocker被發現后,立即掀起了波瀾,主要是因為它是正確利用商業級加密的第一個勒索軟件變體之一。與其他勒索軟件不同,CryptoLocker的編寫者采用了新方法用以在收到受害者付款后提供解密文件,通常是300美元的范圍內。這樣的組合讓CryptoLocker感染了全球范圍內20萬臺計算機,并讓其編寫者獲得超過2700萬的贖金。
在國際執法聯合行動Operation Tovar拿下CryptoLocker的主要分發基礎設施GameOver Zeus后,現在,FireEye和Fox-IT公司合作推出了decrptcryptolocker.com來為剩下的受害者提供協助。
若要使用該網站,受害者需要將包含非敏感信息的CryptoLocker加密的文件放到這個Web門戶網站。該門戶網站隨后會發送一個密鑰,以及下載和安裝本地解密工具的鏈接,這兩者結合可以讓受害者解密其文件。根據FireEye在博客文章中表示,這些CryptoLocker密鑰顯然是通過“各種合作伙伴關系和逆向工程協議”而獲得,但他們并沒有進一步進行闡述。
“Operation Tovar對CryptoLocker的機器感染和傳播有著明顯的影響,然而,沒有任何已知途徑可以幫助用戶拿回其加密文件,如果不先向感染其機器的攻擊者付款的話,”FireEye表示,“雖然修復被感染的機器有點困難,希望通過https://www.decryptCryptoLocker.com和Decryptolocker.exe的幫助,我們能夠幫助你拿回一些可能仍然被加密的有價值的文件。”
雖然這個網站可能讓用戶恢復一度被認為是不可挽回的文件,FireEye的研究人員警告說,這并不一定能夠拯救未來勒索軟件的受害者。這是因為還有很多像CryptoLocker的勒索軟件變體,還有越來越多CryptoLocker的仿冒品,例如CryptoWall,這些勒索軟件的解密過程可能在編碼和功能方面有些不同,或者可能根本不會解密文件。考慮到這一點,FireEye表示,對抗勒索軟件攻擊的最佳方法仍然是確保定期的數據備份。
FireEye建議:“理想情況下,這至少要在兩個位置進行:一個要在企業內部(例如外部硬盤驅動器),另一個在企業外部(例如云存儲)。”