Το CryptoLocker είναι ένα από τα πιο ύπουλα και επικίνδυνα malware στην ιστορία των υπολογιστών. Ενώ μέχρι πρότινος το να κολλήσουμε το CryptoLocker ήταν θανατική καταδίκη για τα αρχεία μας, πλέον η ανάκτηση αρχείων μετά την αφαίρεση CryptoLocker είναι δυνατή για πολλούς από εμάς, και μάλιστα δωρεάν.

Δείτε τις ενότητες του οδηγού

Προτάσεις συνεργασίας

Διαφημίστε την επιχειρησή σας στο site του PCsteps, ή και στο κανάλι μας στο YouTube.

Επικοινωνία

Γίνε VIP μέλος στο PCSteps

Τα μέλη διαβάζουν όλα μας τα άρθρα χωρίς διαφημίσεις, και έχουν επιπλέον μοναδικά προνόμια.

Συμμετοχή

Τι είναι το CryptoLocker?

Το CryptoLocker είναι λίγο-πολύ το αντίστοιχο του ιού Ebola για τους υπολογιστές.

Πρόκειται για ένα malware το οποίο ανήκει στην κατηγορία “ransomware“. Τα malware αυτού του τύπου συνήθως κλειδώνουν τον υπολογιστή, ζητώντας να πληρώσουμε ένα ποσόν στους δημιουργούς για να τον ξεκλειδώσουμε.

Συχνά μάλιστα παριστάνουν πως δήθεν εκπροσωπούν κάποια αστυνομική αρχή, όπως το FBI ή ακόμη και τη δίωξη του ηλεκτρονικού εγκλήματος, και πως τα χρήματα που πρέπει να πληρώσουμε είναι κάποιου είδους “πρόστιμο”.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 01

Ενώ αυτά τα ransomware είναι ενοχλητικά, συνήθως η αφαίρεσή τους είναι σχετικά απλή. Ο “ιός της αστυνομίας”, όπως είναι γνωστός, μπορεί να αφαιρεθεί σε λίγα λεπτά με ένα boot time antivirus.

Τα πράγματα, όμως, δεν είναι τόσο απλά με το CryptoLocker.

Το συγκεκριμένο malware ουσιαστικά κρυπτογραφεί όλα μας τα αρχεία, με ένα μοναδικό ιδιωτικό κλειδί AES-256 για το κάθε αρχείο.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 01a

Στη συνέχεια, όλα τα κλειδιά κρυπτογραφούνταν με ένα ζεύγος δημόσιου και ιδιωτικού κλειδιού με τον αλγόριθμο RSA-2048, μοναδικό για τον υπολογιστή.

Σαν αποτέλεσμα, ενώ τα αρχεία παρέμεναν στο δίσκο μας, η πρόσβασή μας σε αυτά ήταν αδύνατη, εκτός αν πληρώναμε τους δημιουργούς 300 ευρώ ή 300 δολάρια (ισοτιμίες και αηδίες) για να μας στείλουν το “κλειδί” που αποκρυπτογραφεί τα δεδομένα.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 02

Μάλιστα, η πληρωμή έπρεπε να γίνει εντός τριών ημερών. Μετά από αυτές, το ιδιωτικό κλειδί RSA-2048 υποτίθεται θα καταστρεφόταν και τα δεδομένα θα αχρηστεύονταν οριστικά.

Στην πράξη, οι δημιουργοί του CryptoLocker έδιναν τη δυνατότητα για ξεκλείδωμα και αργότερα, αρκεί να πλήρωνε κάποιος 10 bitcoin, που τη στιγμή που γράφονται αυτές οι γραμμές έχουν αξία σχεδόν 3700 ευρώ.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 03

Γιατί η απλή αφαίρεση CryptoLocker δεν λειτουργεί

Η αφαίρεση CryptoLocker είναι αρκετά εύκολη. Για την ακρίβεια, μπορεί να χρησιμοποιηθεί ακριβώς η ίδια μέθοδος για την αφαίρεση του ιού της αστυνομίας, με ένα Kaspersky Rescue CD/USB.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 03a

Το πρόβλημα όμως είναι πως η απλή αφαίρεση CryptoLocker δεν είναι αρκετή. Τα αρχεία παραμένουν κρυπτογραφημένα και απροσπέλαστα.

Μάλιστα, το CryptoLocker δεν επηρέαζε μόνο τον τοπικό σκληρό δίσκο, αλλά και όποιους εξωτερικούς σκληρούς δίσκους ή ακόμη και δικτυακά drives ήταν συνδεδεμένα στον υπολογιστή, κρυπτογραφώντας ακόμη και τα backup που πιθανώς είχαμε.

Στο μεταξύ, η κρυπτογράφηση RSA-2048 είναι τόσο ισχυρή, που αν προσπαθούσε ένας απλός υπολογιστής να τη σπάσει θα χρειαζόταν 4 τετράκις εκατομμύρια χρόνια…

Η άνοδος και η πτώση του CryptoLocker

Το CryptoLocker αποδείχτηκε εξαιρετικά κερδοφόρο για τους δημιουργούς του. Εκτιμάται πως απέδωσε από 3 εκατομμύρια μέχρι 27 εκατομμύρια δολάρια.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 04

Όπως είναι αναμενόμενο, ένα τόσο επικίνδυνο malware κινητοποίησε τις αρχές.

Σύντομα μετά την εμφάνισή του, οι αρμόδιες αρχές από τις ΗΠΑ, το Ηνωμένο Βασίλειο, και τις περισσότερες ευρωπαϊκές χώρες συντόνισαν τις προσπάθειές τους, σε μια επιχείρηση που ονομάστηκε “Operation Tovar“.

Στόχος ήταν το Gameover ZeuS botnet, ένα δίκτυο από 500.000 μέχρι 1.000.000 υπολογιστών με Windows, τα οποία είχαν μολυνθεί με τον Gameover Trojan, που επέτρεπε τον απομακρυσμένο έλεγχο των υπολογιστών, εν αγνοία των χρηστών τους.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 05

Οι υπολογιστές του συγκεκριμένου botnet, εκτός από τις υποκλοπές προσωπικών στοιχείων και κωδικών, που είχαν σαν αποτέλεσμα την κλοπή άνω των 100 εκατομμυρίων δολαρίων, χρησιμοποιούνταν και για spamming και για τη διάδοση του CryptoLocker.

Με τις συντονισμένες προσπάθειες των αρχών, τον Ιούνιο του 2014 ο ηγέτης των hacker που έλεγχαν το δίκτυο αυτό συνελήφθη από το FBI. Οι server που έλεγχαν το botnet κατέβηκαν, και πλέον το αυθεντικό CryptoLocker είναι επισήμως νεκρό.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 05a

Όπως αναφέραμε όμως, παρά την αφαίρεση CryptoLocker και τον περιορισμό της διάδοσής του, τα αρχεία όσων μολύνθηκαν εξακολουθούν να είναι κρυπτογραφημένα.

Μάλιστα, ακόμη κι αν κάποιος ήθελε να πληρώσει για να ξεκλειδωθούν τα αρχεία του, εφόσον οι server που επέτρεπαν την πληρωμή έχουν κατέβει, είναι πλέον αδύνατον.

Η ανάκτηση αρχείων που κλειδώθηκαν με το CryptoLocker

Η εταιρεία ηλεκτρονικής ασφάλειας Kyrus Technologies είχε ήδη εφαρμόσει τη μέθοδο της αντίστροφης μηχανικής (reverse engineering) για να κατανοήσει πώς λειτουργεί το CryptoLocker και να δημιουργήσει ένα εργαλείο αποκρυπτογράφησης.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 07

Αυτή η διαδικασία έγινε από το Νοέμβριο του 2013. Το συγκεκριμένο εργαλείο μπορούσε να εντοπίσει το δημόσιο κλειδί RSA-2048.

Το πρόβλημα είναι πως ακόμη και με το εργαλείο της αποκρυπτογράφησης, χωρίς το μοναδικό ιδιωτικό κλειδί για το μολυσμένο υπολογιστή, η ανάκτηση αρχείων ήταν αδύνατη.

Όμως, δύο άλλες εταιρείες, οι FireEye και Fox-IT κατάφεραν να εντοπίσουν ένα σημαντικό ποσοστό των ιδιωτικών κλειδιών cryptolocker, μέσω “διαφόρων συνεργασιών και εφαρμογών αντίστροφης μηχανικής”, όπως αναφέρουν.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 08

Και, μέσα από τη σελίδα https://www.decryptCryptoLocker.com/ που δημιούργησαν, μπορεί ο καθένας, δωρεάν να αποκρυπτογραφήσει τα αρχεία του.

Εντοπισμός του ιδιωτικού κλειδιού RSA

Αρκεί λοιπόν να μπούμε στην προαναφερθείσα σελίδα, να γράψουμε το email μας στη φόρμα και να επιλέξουμε ένα από τα κρυπτογραφημένα αρχεία στο δίσκο μας.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 08

Κάνοντας κλικ στο “Decrypt It”, και εφόσον είναι όντως κρυπτογραφημένο με το CryptoLocker, θα μας εμφανίσει ένα μήνυμα επιτυχίας, και θα μας καθοδηγήσει στο να κατεβάσουμε ένα μικρό αρχείο Decryptolocker.exe.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 09

Μόλις η ιστοσελίδα εντοπίσει το κλειδί, θα μας το στείλει στο email που δηλώσαμε.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 10

Καθώς το RSA Private Key αφορά ολόκληρο τον υπολογιστή, δεν θα χρειαστεί να ξανακάνουμε την παραπάνω διαδικασία.

Το κλειδί που έχουμε μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση κάθε ενός από τα αρχεία μας.

Αποκρυπτογράφηση των αρχείων με το decryptolocker.exe

Το πρόγραμμα decryptolocker.exe λειτουργεί αποκλειστικά μέσω της γραμμής εντολών.

Αρκεί απλά να γράψουμε την εντολή
Decryptolocker.exe –key “<κλειδί>” <αρχείο.doc>

Στη θέση <κλειδί> κάνουμε αντιγραφή-επικόλληση το μακρινάρι που μας ήρθε στο email, ενώ στη θέση <αρχείο.doc> γράφουμε το αρχείο (μαζί με τη διαδρομή, αν δεν βρίσκεται στον ίδιο φάκελο με το πρόγραμμα, πχ c:\αρχείο.doc.

Τρέχοντας αυτή την εντολή, το αρχείο αποκρυπτογραφείται.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 11

Να σημειωθεί πως το πρόγραμμα αυτό μπορεί να αποκρυπτογραφήσει μόνο ένα αρχείο κάθε φορά.

Θα πρέπει, αν έχουμε τις κατάλληλες γνώσεις, να γράψουμε ένα σκριπτάκι σε Powershell ή Batch για να αποκρυπτογραφήσει αυτόματα πολλαπλά αρχεία.

Τα δυσάρεστα νέα

Ενώ το παραπάνω πρόγραμμα είναι θαυματουργό, δεδομένου του πόσο ισχυρή είναι η κρυπτογράφηση με το CryptoLocker, δυστυχώς δεν θα μας βοηθήσει σε τίποτα αν απελπιστήκαμε και διαγράψαμε όλα τα κρυπτογραφημένα μας αρχεία.

Ακόμα χειρότερα, παρ' όλο που η σπείρα του CryptoLocker εξαρθρώθηκε, όσοι πλήρωσαν για το ξεκλείδωμα των αρχείων τους το πιθανότερο είναι πως δεν θα αποζημιωθούν. Παρά τις προσπάθειες των αρχών δεν έχει εντοπιστεί ούτε ένα μέρος από τα χρήματα.

αφαίρεση cryptolocker και ανάκτηση των αρχείων 12

Τέλος, την επιτυχία του CryptoLocker έχουν ξεκινήσει να μιμούνται και τρίτα ransomware από άλλα δίκτυα. Για αυτές τις νέες παραλλαγές CryptoLocker δεν υπάρχει ακόμα σύστημα αποκρυπτογράφησης.

Εσείς χρειαστήκατε αφαίρεση CryptoLocker?

Αν είστε από τους άτυχους που κόλλησαν το επικίνδυνο αυτό malware, γράψτε μας στα σχόλια για το πώς κάνατε την αφαίρεση CryptoLocker και αν καταφέρατε τελικά να αποκρυπτογραφήσετε τα αρχεία σας.