Cele mai bune instrumente pentru a decripta Ransomware

Cele mai bune instrumente pentru a decripta Ransomware | Programe 2024
Cele mai bune instrumente pentru a decripta Ransomware | Programe 2024
Cuprins

Într-o lume care este în mod constant online și în care trebuie să introducem zilnic mai multe informații sensibile, nu suntem susceptibili să cădem în mâinile atacatorilor și, ca dovadă a acestui fapt, am putut verifica recent modul în care ransomware-ul și-a folosit Wannacry atac cu care a atacat. În același timp, companiilor și utilizatorilor le criptează informațiile și solicită o plată în schimb, valoarea minimă fiind de 30 USD, pentru obținerea parolei de recuperare a informațiilor, care nu este întotdeauna 100% fiabilă.

Punctul fundamental al atacului ransomware constă în criptarea tuturor fișierelor de pe computer pentru a cere ulterior banii într-un timp solicitat sau altfel un anumit număr de fișiere va fi eliminat și valoarea de plătit va crește:

Din acest motiv, Solvetic va analiza astăzi în detaliu cele mai bune aplicații pentru a decripta fișierele afectate și pentru a recupera cel mai mare număr de fișiere, obținând integritatea și disponibilitatea acestora.

Înainte de a utiliza aceste instrumente trebuie să ținem cont de următoarele:

  • Fiecare tip de criptare are un tip diferit de criptare, deci trebuie să identificăm tipul de atac pentru a utiliza instrumentul adecvat.
  • Utilizarea fiecărui instrument are un nivel diferit de instrucțiuni pentru care trebuie să analizăm în detaliu site-ul web al dezvoltatorului.

RakhniDecryptor

Dezvoltată de una dintre cele mai bune companii de securitate precum Kaspersky Lab, această aplicație a fost dezvoltată pentru a decripta unele dintre cele mai puternice tipuri de atacuri ransomware.

Unele dintre tipurile de malware pe care RakhniDecryptor le atacă sunt:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman versiunea 3 și 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Amintiți-vă că atunci când ransomware atacă și infectează un fișier, acesta își editează extensia adăugând o linie suplimentară după cum urmează: 

 Înainte: file.docx / after: file.docx.locked Înainte 1.docx / after 1.dochb15
Fiecare dintre programele malware menționate anterior are o serie de atașamente de extensie cu care este criptat fișierul afectat, acestea sunt aceste extensii pe care este important să le cunoaștem pentru a avea o cunoaștere mai detaliată a acestora:

Trojan-Ransom.Win32.RakhniAre următoarele extensii:

Trojan-Ransom.Win32.MorAre următoarea extensie:
._criptă

Trojan-Ransom.Win32.AutoitAre următoarea extensie:
<…

Trojan-Ransom.MSIL.LortokInclude următoarele extensii:

Trojan-Ransom.AndroidOS.PletorAre următoarea extensie:

Trojan-Ransom.Win32.Agent.iihAre următoarea extensie:
.+

Trojan-Ransom.Win32.CryFileAre următoarea extensie:

Trojan-Ransom.Win32.DemocryAre următoarele extensii:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman versiunea 3Are următoarele extensii:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman versiunea 4Are următoarea extensie:
. (numele și extensia nu sunt afectate)

Trojan-Ransom.Win32.LibraAre următoarele extensii:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikAre următoarele extensii:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopAre următoarea extensie:

Trojan-Ransom.Win32.CrusisAre următoarea extensie:

  • .ID. @ … Xtbl
  • .ID. @ … CrySiS
  • .id -. @ … xtbl
  • .id -. @ … portofel
  • .id -. @ … dhrama
  • .id -. @ … ceapă
  • . @ … Portofel
  • . @ … Dhrama
  • . @… Ceapă

Trojan-Ransom.Win32. NemchigAre următoarea extensie:

Trojan-Ransom.Win32.LamerAre următoarele extensii:

Trojan-Ransom.Win32.CryptokluchenAre următoarele extensii:

Trojan-Ransom.Win32.RotorAre următoarele extensii:

Trojan-Ransom.Win32.ChimeraAre următoarele extensii:

Trojan-Ransom.Win32.AecHu
Are următoarele extensii:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffAre următoarele extensii:

  • .
  • .
  • .

Putem vedea că există destul de multe extensii și este ideal să le avem prezente pentru a identifica în detaliu tipul de fișier afectat.
Această aplicație poate fi descărcată la următorul link:

Odată descărcat, extragem conținutul și executăm fișierul pe computerul infectat și va fi afișată următoarea fereastră:

Putem face clic pe linia Modificare parametri pentru a defini în ce tip de unități urmează să fie efectuată analiza, cum ar fi unitățile USB, hard disk-urile sau unitățile de rețea. Acolo vom face clic pe Start scanare pentru a începe analiza și decriptarea respectivă a fișierelor afectate.

Notă:Dacă un fișier este afectat de extensia _crypt, procesul poate dura până la 100 de zile, deci este recomandat să aveți răbdare.

Rannoh Decryptor

Aceasta este o altă opțiune oferită de Kaspersky Lab, care se concentrează pe decriptarea fișierelor care au fost atacate cu malware Trojan-Ransom.Win32. Suplimentar poate detecta malware cum ar fi Fury, Cryakl, AutoIt, Polyglot aka Marsjoke și Crybola.

Pentru a identifica extensiile afectate de aceste ransomware trebuie să avem în vedere următoarele:

Trojan-Ransom.Win32.RannohExtensiile pe care le adaugă acest malware sunt:
.

Trojan-Ransom.Win32.CryaklCu această infecție vom avea următoarea extensie:
. {CRYPTENDBLACKDC} (Această etichetă va fi adăugată la sfârșitul fișierului)

Trojan-Ransom.Win32.AutoItAcest atac afectează serverele de e-mail și are următoarea sintaxă:
@_.

Trojan-Ransom.Win32.CryptXXXCând suntem infectați cu acest ransomware, vom avea oricare dintre următoarele extensii:

  • .criptă
  • .crypz
  • .cryp1

Acest instrument poate fi descărcat de la următorul link:

Când extrageți fișierul executabil, pur și simplu rulați fișierul și faceți clic pe butonul Start scanare pentru a începe procesul de analiză și decriptare a fișierelor afectate.

WanaKiwi

Acest instrument simplu, dar util se bazează pe wanadecrypt, care ne permite să îndeplinim următoarele sarcini:

  • Decriptați fișierele infectate
  • Recuperați cheia privată a utilizatorului pentru a o stoca ulterior ca 00000000.dky.
Acest instrument folosește metoda de extragere Primes, care oferă posibilitatea de a recupera numerele prime care nu au fost curățate în timpul procesului CryptReleaseContext (). Executarea acestui instrument se bazează pe linia de comandă și sintaxa acestuia va fi după cum urmează: 
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
În această sintaxă, PID este opțional, deoarece Wanakiwi va căuta PID-urile în oricare dintre următoarele procese:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi poate fi descărcat de pe următorul link:

Wanakiwi este compatibil numai cu următoarele sisteme de operare, Windows XP, Windows Vista, Windows 7, Windows Server 2003 și 2008. Ceva important de reținut este că Wanakiwi își bazează procesul pe scanarea spațiilor generate de aceste taste În cazul în care după ce a repornit computerul după o infecție sau a eliminat un proces, este cel mai probabil ca Wanakiwi să nu-și poată îndeplini sarcina corect.

Emsisoft

Emsisoft a dezvoltat diferite tipuri de decriptori pentru atacuri malware, cum ar fi:

  • Badblock
  • Apocalyse
  • Xorist
  • ApocalypseVM
  • Ștampilat
  • Fabiansomware
  • Philadelphia
  • Al-Namrood
  • FenixLocker
  • Globe (versiunea 1, 2 și 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Amnezie (versiunile 1 și 2)
Fiecare dintre aceste instrumente poate fi descărcat de la următorul link:

Unele dintre extensiile pe care le vom găsi cu:

Amnezie:Este unul dintre cele mai frecvente atacuri, este scris în Delphi și criptează fișierele folosind AES-256 și adaugă extensia * .amnesia la sfârșitul fișierului infectat. Amnesia adaugă infecția în registrul Windows pentru a putea fi executată la fiecare autentificare. 

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 își bazează atacul pe conexiunile RDP și criptează fișierele folosind versiuni personalizate ale AES și RSA.
Fișierele infectate vor avea următoarele extensii:

  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 este versiunea avansată a ransomware-ului CryptON și efectuează atacuri prin conexiuni RDP folosind algoritmi de criptare AES, RSA și SHA-512.
Fișierele infectate cu Cry9 vor avea următoarele extensii:

Deteriora:Acest ransomware este scris în Delphi utilizând algoritmii SHA-1 și Blowfish, criptând primul și ultimul 8 Kb din fișierul afectat.

Fișierele cu această extensie au extensia .damage.

CryptON
Este un alt ransomware care își efectuează atacurile prin RDP folosind algoritmi RSA, AES-256 și SHA-256. Fișierele afectate de acest ransomware vor avea următoarele extensii:

  • .id-_blocat
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

În următorul link putem vedea informații detaliate despre diferitele extensii ale celorlalte tipuri de ransomware pe care le atacă Emsisoft:

Instrument Avast Decryptor

Un alt lider al dezvoltării software-ului de securitate este Avast, care, în afară de instrumentele antivirus, ne oferă mai multe instrumente pentru decriptarea fișierelor din sistemul nostru care au fost afectate de mai multe tipuri de ransomware.

Datorită instrumentului Avast Decryptor, putem face față diferitelor tipuri de ransomware, cum ar fi:

  • Bart: Adăugați extensia .bart.zip la fișierele infectate
  • AES_NI: Adăugați extensiile .aes_ni, .aes256 și .aes_ni_0day la fișierele infectate utilizând criptarea AES pe 256 de biți.
  • Alcatraz. Adăugați extensia Alcatraz utilizând criptarea AES-256 pe 256 de biți.
  • Apocalipsă: adăugați extensiile .crypted, .FuckYourData, .locked, .Encryptedfile sau .SecureCrypted la fișierele infectate.
  • Crypt888: Adăugați extensia Lock. La începutul fișierului infectat
  • CryptopMix_: Adăugați extensiile .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd în fișiere folosind criptare AES pe 256 de biți
  • EncriptTile: Adăugați cuvântul encripTile undeva în fișier.
  • BadBlock: acest ransomware nu adaugă extensii, dar afișează un mesaj numit Help Decrypt.html.
  • FindZip: Adăugați extensia .crypt la fișierele afectate, în special în mediile macOS.
  • Jigsaw: acest ransomware adaugă oricare dintre următoarele extensii la fișierele afectate .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org, sau .gefickt.
  • Legion: Adăugați extensiile ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion sau. $ Centurion_legion @ aol.com $ .cbf în fișierele infectate.
  • XData: Adăugați extensia. ~ Xdata ~ la fișierele criptate.

Pentru a descărca unele dintre instrumentele pentru fiecare dintre aceste tipuri de ransomware putem vizita următorul link:

Notă:Acolo vom găsi alte tipuri de atac suplimentare.

Instrumente de decriptare AVG Ransomware

Nu este un secret pentru nimeni că o altă dintre cele mai importante companii de securitate este AVG, care ne permite să descărcăm gratuit mai multe instrumente care au fost dezvoltate special pentru următoarele tipuri de atacuri:

Tipuri de atacuri

  • Apocalipsa: acest atac adaugă extensiile .encrypted, .FuckYourData, .locked, .Encryptedfile sau .SecureCrypted la fișierele afectate.
  • Badblock: Adăugați mesajul Help Decrypt.html pe computerul infectat.
  • Bart: Acest atac adaugă extensia .bart.zip la fișierele infectate.
  • Crypt888: Adăugați extensia Lock la începutul fișierelor infectate.
  • Legiune: acest atac adaugă la sfârșitul fișierelor afectate extensiile ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion sau. $ Centurion_legion @ aol.com $ .cbf
  • SZFLocker: Acest ransomware adaugă extensia .szf la fișiere
  • TeslaCrypt: Acest tip de atac nu criptează fișierele, dar afișează următorul mesaj odată ce fișierele sunt criptate.

Unele dintre aceste instrumente pot fi descărcate la următorul link.

NoMoreRansom

Această aplicație a fost proiectată în comun de companii precum Intel, Kaspersky și Europool și se concentrează pe dezvoltarea și crearea de instrumente care se concentrează asupra atacurilor ransomware, cum ar fi:

Tipuri de atacuri

  • Rakhni: Acest instrument decriptează fișierele afectate de Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) versiunea 3 și 4 .
  • Aluniță: criptează fișierele cu extensia aluniță
  • Cry128
  • BTC
  • Plânge9
  • Deteriora
  • Alcatraz
  • Bart printre mulți alții.

În următorul link putem descărca fiecare dintre aceste instrumente și putem cunoaște în detaliu modul în care acestea afectează fișierele:

Multe dintre aceste aplicații sunt, așa cum am menționat, dezvoltate împreună cu alte companii.

În acest fel, avem mai multe opțiuni pentru a contracara atacurile ransomware și pentru a avea fișierele disponibile.

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cunoașterea Google Adwords
2
post-title
Cum se elimină contul Google Xiaomi Mi 8 Pro
3
post-title
Panel Panoul tactil Windows 10 nu funcționează SOLUȚIE
4
post-title
Cum se folosește subselecția în MySQL
5
post-title
Instalarea și configurarea MySQL Community Server 5.5.41 și MySQL Workbench 6.2 CE

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -