ไวรัส CryptoLocker สามารถถอดรหัสได้แล้วครับ

ที่มาจากเพจ https://www.facebook.com/hackandsecbook

"เราจะทำตามสัญญาขอเวลาอีกไม่นาน แล้วไฟล์ทั้งหลายจะคืนกลับมาาาาาา"
ก่อนหน้านี้เคยมีข่าวว่าคนที่เขียน CryptoLocker ปล่อย private key สำหรับการ decrypt ไฟล์ที่ถูกเข้ารหัส แล้วจะปล่อยเครื่องมือมาใช้ในการถอดรหัสไฟล์มาให้อีกที

มาวันนี้ปล่อยออกมาแล้วครับ สามารถ download ได้ตาม link (1) ตามที่แปะไว้ด้านล่างครับ มีคนลองแล้วด้วยว่าแก้ไขได้จริงๆ แถมตอนสุดท้ายหลังจาก decrypt เสร็จมีการขึ้นข้อความ "I'm sorryabout the encryption, your files are unlocked for free. Be good to the world and don't forget to smile smile emoticon"

งานนี้ไม่ทราบว่าทำไมคนเขียน CryptoLocker ถึงตัดสินใจทำแบบนี้ แต่ก็ถือว่าเยี่ยมไปเลยครับ

https://easysyncbackup.com/Downloads/LockerUnlocker.exe

http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/

http://www.bleepingcomputer.com/forums/t/578182/today-locker-ransomware-dev-decrypted-everyones-files-for-free/#entry3723675

ลองชั่งน้ำหนักดูละกันนะครับว่าจะลองใช้มั้ย(เห็นถามเข้ามากันเยอะ) เบื้องต้นตาม link ที่ให้ไว้ยังไม่มีคนไหนพบสิ่งผิดปกติครับ โดยส่วนตัวถ้าเป็นผมจะทำดังนี้
1. decrypt file ด้วยเครื่องมือนี้
2. backup file ทั้งหมด
3. wipe เครื่องใหม่หมด จากนั้นลง windows ใหม่

ปล. หากใครไม่ทราบ bitcoin address แล้วต้องการ decrypt ไฟล์(ยังไม่ได้ลง Windows ทับ)ให้ทำตามนี้ครับ
1. Download ShadowExplorer.
2. Export the file C:\ProgramData\rkcl\data.aa6 to any location. (Just access the file through Windows Explorer, if you haven't deleted the rkcl folder.)
3. Open the file in Notepad or similar.


http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-33#entry3721707

มัลแวร์แนวแรนซั่มแวร์ (ransomware/cryptolocker) สามารถติดเครื่องที่เป็น Android ได้แล้ว

จากเพจ https://www.facebook.com/longhackz

มัลแวร์แนวแรนซั่มแวร์ (ransomware/cryptolocker) เริ่มล่ามมาเครื่อง Android อีกแล้วครับล่าสุด Bitdefender ตรวจพบสแปมเมลจำนวนมากแนบไฟล์ที่อ้างว่าเป็นอัพเดทสำหรับ Flash Player ของ Andriod ให้ติดตั้ง เมื่อเหยื่อเผลอติดตั้งจะขึ้นหน้าจอ เตือนว่า FBI พบว่าเครื่องของคุณ "เคยใช้ดูหนังโป๊น่ะ" ต้องจ่ายเงินค่าไถ่ 16000 บาท เพื่อปลดล็อค แต่ถ้าไม่จ่ายเงินแล้วแอพพบว่า user มีความพยายามจะเข้าใช้เครื่องต่อ ค่าไถ่จะเพิ่มขึ้นถึงสามเท่า! โดยแรนซั่มแวร์ตัวนี้จะปิดทำการปุ่ม Home บนเครื่อง แต่โชคดีที่มันไม่ได้เข้ารหัสไฟล์ในเครื่องผู้ใช้สามารถใช้ adb เพื่อกู้กลับมาได้ครับ ใครจะเปิดไฟล์แนบจากอีเมลต้องสงสัยอาจตกเป็นเหยื่อได้ ถ้าได้รับอีเมลที่บอกให้เราต้องเปิดไฟล์แนบจากแหล่งที่มาไม่น่าเชื่อถือแนะนำให้ลบทิ้งครับ
ที่มา: http://www.net-security.org/malware_news.php?id=3046

รวมโปรแกรมถอดรหัสไวรัส cryptolocker

โปรแกรมถอดรหัส cryptolocker

ให้ลองใช้โปรแกรมถอดรหัสเหล่านี้ดูก่อน เพราะว่าตัว cryptolocker มันมีหลายสายพันธุ์บางตัวอาจจะถอดรหัสได้ (แต่ก่อนอื่นต้อง remove ตัว มัลแวร์ออกก่อนครับ)

Anti Malware
- Malwarebytes' Anti-Malware


Decryptor
- decryptcryptolocker.com


Decryptor ของ kaspersky
- RectorDecryptor
 to encrypted by Trojan-Ransom.Win32.Rector.
 
- XoristDecryptor
to decrypt files crypted by Trojan-Ransom.Win32.Xorist family (or Trojan-Ransom.MSIL.Vandev )

- RakhniDecryptor
to encrypted by Trojan-Ransom.Win32.Rakhni.

- RannohDecryptor
to encrypt files on a victim-computer by changing files' names and extensions.  
Trojan-Ransom.Win32.Rannoh family

- ScatterDecryptor
to decrypt files crypted by Trojan-Ransom.BAT.Scatter.

- ScraperDecryptor
to decrypt files affected by the Trojan-Ransom.Win32.Scraper 


ตรวจสอบไฟล์หรือเวปไซด์ที่ไม่แน่ใจก่อนเปิด
Virustotal.com