研究人员发布了一个新网站,为CryptoLocker勒索软件的受害者提供了所需要的私钥来解密和恢复锁定文件。
对于此前广为流行的CryptoLocker勒索软件的受害者,当他们发现其文件被加密时,他们只有两个选择:要么向该勒索软件背后的攻击者付款来恢复文件,要么接受已经永远失去这些被加密文件的事实。不过现在研究人员发布了一个新网站,以帮助受害者免费解密CryptoLocker文件。
虽然勒索软件并不是新鲜事,但在2013年12月CryptoLocker被发现后,立即掀起了波澜,主要是因为它是正确利用商业级加密的第一个勒索软件变体之一。与其他勒索软件不同,CryptoLocker的编写者采用了新方法用以在收到受害者付款后提供解密文件,通常是300美元的范围内。这样的组合让CryptoLocker感染了全球范围内20万台计算机,并让其编写者获得超过2700万的赎金。
在国际执法联合行动Operation Tovar拿下CryptoLocker的主要分发基础设施GameOver Zeus后,现在,FireEye和Fox-IT公司合作推出了decrptcryptolocker.com来为剩下的受害者提供协助。
若要使用该网站,受害者需要将包含非敏感信息的CryptoLocker加密的文件放到这个Web门户网站。该门户网站随后会发送一个密钥,以及下载和安装本地解密工具的链接,这两者结合可以让受害者解密其文件。根据FireEye在博客文章中表示,这些CryptoLocker密钥显然是通过“各种合作伙伴关系和逆向工程协议”而获得,但他们并没有进一步进行阐述。
“Operation Tovar对CryptoLocker的机器感染和传播有着明显的影响,然而,没有任何已知途径可以帮助用户拿回其加密文件,如果不先向感染其机器的攻击者付款的话,”FireEye表示,“虽然修复被感染的机器有点困难,希望通过https://www.decryptCryptoLocker.com和Decryptolocker.exe的帮助,我们能够帮助你拿回一些可能仍然被加密的有价值的文件。”
虽然这个网站可能让用户恢复一度被认为是不可挽回的文件,FireEye的研究人员警告说,这并不一定能够拯救未来勒索软件的受害者。这是因为还有很多像CryptoLocker的勒索软件变体,还有越来越多CryptoLocker的仿冒品,例如CryptoWall,这些勒索软件的解密过程可能在编码和功能方面有些不同,或者可能根本不会解密文件。考虑到这一点,FireEye表示,对抗勒索软件攻击的最佳方法仍然是确保定期的数据备份。
FireEye建议:“理想情况下,这至少要在两个位置进行:一个要在企业内部(例如外部硬盘驱动器),另一个在企业外部(例如云存储)。”