Най -добрите инструменти за декриптиране на Ransomware

Най -добрите инструменти за декриптиране на Ransomware
Съдържание

В свят, който е постоянно онлайн и в който трябва да въвеждаме ежедневно множество чувствителна информация, ние не сме податливи да попаднем в ръцете на нападателите и като доказателство за това наскоро успяхме да проверим как рансъмуерът използва своя Wannacry Едновременно с това компаниите и потребителите криптират информацията им и изискват плащане в замяна, като минималната стойност е 30 USD, за получаване на паролата за възстановяване на информация, която не винаги е 100% надеждна.

Основният момент на атаката с ransomware се състои в шифроване на всички файлове на компютъра, за да се поискат по -късно парите в исканото време или в противен случай определен брой файлове ще бъдат елиминирани и стойността, която трябва да се плати, ще се увеличи:

Поради тази причина днес Solvetic ще анализира подробно най -добрите приложения за декриптиране на засегнатите файлове и възстановяване на най -голям брой файлове, като получи тяхната цялост и наличност.

Преди да използваме тези инструменти, трябва да вземем предвид следното:

  • Всеки тип криптиране има различен тип криптиране, така че трябва да идентифицираме типа атака, за да използваме подходящия инструмент.
  • Използването на всеки инструмент има различно ниво на инструкции, за които трябва да анализираме подробно уебсайта на разработчика.

RakhniDecryptor

Разработено от една от най -добрите охранителни компании като Kaspersky Lab, това приложение е разработено с цел да декриптира някои от най -силните видове атаки срещу ransomware.

Някои от видовете зловреден софтуер, които RakhniDecryptor атакува, са:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman версии 3 и 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Не забравяйте, че когато ransomware атакува и заразява файл, той редактира разширението му, като добавя допълнителен ред, както следва: 

 Преди: file.docx / след: file.docx.locked Преди 1.docx / след 1.dochb15
Всеки от гореспоменатите зловредни програми има поредица прикачени файлове с разширения, с които засегнатият файл е криптиран, това са тези разширения, които е важно да знаете, за да имате по -подробни познания за тях:

Trojan-Ransom.Win32.RakhniТой има следните разширения:

Trojan-Ransom.Win32.MorТой има следното разширение:
._crypt

Trojan-Ransom.Win32.AutoitТой има следното разширение:
<…

Trojan-Ransom.MSIL.LortokВключва следните разширения:

Trojan-Ransom.AndroidOS.PletorТой има следното разширение:

Trojan-Ransom.Win32.Agent.iihТой има следното разширение:
.+

Trojan-Ransom.Win32.CryFileТой има следното разширение:

Trojan-Ransom.Win32.DemocryТой има следните разширения:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman версия 3Той има следните разширения:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman версия 4Той има следното разширение:
. (името и разширението не са засегнати)

Trojan-Ransom.Win32.LibraТой има следните разширения:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikТой има следните разширения:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopТой има следното разширение:

Trojan-Ransom.Win32.CrusisТой има следното разширение:

  • .ID. @… Xtbl
  • .ID. @… CrySiS
  • .id -. @… xtbl
  • .id -. @… портфейл
  • .id -. @… dhrama
  • .id -. @… лук
  • . @… Портфейл
  • . @… Драма
  • . @… Лук

Trojan-Ransom.Win32. НемчигТой има следното разширение:

Trojan-Ransom.Win32.LamerТой има следните разширения:

Trojan-Ransom.Win32.CryptokluchenТой има следните разширения:

Trojan-Ransom.Win32.RotorТой има следните разширения:

Trojan-Ransom.Win32.ChimeraТой има следните разширения:

Trojan-Ransom.Win32.AecHu
Той има следните разширения:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffТой има следните разширения:

  • .
  • .
  • .

Можем да видим, че има доста разширения и е идеално те да бъдат налични, за да идентифицират в детайли вида на засегнатия файл.
Това приложение може да бъде изтеглено на следния линк:

След като изтеглите, ние извличаме съдържанието и изпълняваме файла на заразения компютър и ще се покаже следният прозорец:

Можем да кликнете върху реда Промяна на параметрите, за да определите в кой тип единици да се извърши анализът, като например USB устройства, твърди дискове или мрежови устройства. Там ще кликнете върху Стартиране на сканирането, за да започнете анализа и съответното декриптиране на засегнатите файлове.

Забележка:Ако файлът е засегнат с разширението _crypt, процесът може да отнеме до 100 дни, затова се препоръчва да имате търпение.

Декриптор Rannoh

Това е друга от опциите, предлагани от Лаборатория Касперски, която е фокусирана върху декриптиране на файлове, които са били атакувани със зловреден софтуер Trojan-Ransom.Win32. Допълнителните могат да откриват зловреден софтуер като Fury, Cryakl, AutoIt, Polyglot известен още като Marsjoke и Crybola.

За да идентифицираме разширенията, засегнати от този ransomware, трябва да имаме предвид следното:

Trojan-Ransom.Win32.RannohРазширенията, които този злонамерен софтуер добавя, са:
.

Trojan-Ransom.Win32.CryaklС тази инфекция ще имаме следното разширение:
. {CRYPTENDBLACKDC} (Този маркер ще бъде добавен в края на файла)

Trojan-Ransom.Win32.AutoItТази атака засяга пощенските сървъри и има следния синтаксис:
@_.

Trojan-Ransom.Win32.CryptXXXПри заразяване с този ransomware ще имаме някое от следните разширения:

  • .crypt
  • .crypz
  • .cryp1

Този инструмент може да бъде изтеглен на следната връзка:

Когато извличате изпълнимия файл, просто стартирайте файла и щракнете върху бутона Стартиране на сканирането, за да започнете процеса на анализ и декриптиране на засегнатите файлове.

WanaKiwi

Този прост, но полезен инструмент се основава на wanadecrypt, който ни позволява да изпълняваме следните задачи:

  • Дешифрирайте заразените файлове
  • Изтеглете личния ключ на потребителя, за да го съхраните по -късно като 00000000.dky.
Този инструмент използва метода за извличане на Primes, който предоставя възможност за извличане на основните числа, които не са били почистени по време на процеса CryptReleaseContext (). Изпълнението на този инструмент се основава на командния ред и неговият синтаксис ще бъде както следва: 
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
В този синтаксис PID е незадължителен, тъй като Wanakiwi ще търси PID в някой от следните процеси:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi може да бъде изтеглен на следната връзка:

Wanakiwi е съвместим само със следните операционни системи, Windows XP, Windows Vista, Windows 7, Windows Server 2003 и 2008. Нещо важно, което трябва да имате предвид, е, че Wanakiwi базира своя процес на сканиране на пространствата, генерирани от тези ключове. на рестартиране на компютъра след инфекция или елиминиране на процес, най -вероятно Wanakiwi няма да може да изпълни правилно задачата си.

Emsisoft

Emsisoft е разработил различни видове декриптори за атаки на зловреден софтуер като:

  • Лош блок
  • Апокалипсис
  • Xorist
  • АпокалипсисVM
  • Печат
  • Fabiansomware
  • Филаделфия
  • Ал-Намруд
  • FenixLocker
  • Globe (версия 1, 2 и 3)
  • OzozaLocker
  • GlobeImposter
  • Н.Морейра
  • CryptON Cry128
  • Амнезия (версия 1 и 2)
Всеки от тези инструменти може да бъде изтеглен на следната връзка:

Някои от разширенията, които ще намерим с:

Амнезия:Това е една от най-често срещаните атаки, написана е в Delphi и криптира файловете с помощта на AES-256 и добавя разширението * .amnesia в края на заразения файл. Amnesia добавя инфекцията към системния регистър на Windows, за да може тя да се изпълнява при всяко влизане. 

 HKEY_CURRENT_USER \ СОФТУЕР \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 основава атаката си на RDP връзки и криптира файлове, използвайки персонализирани версии на AES и RSA.
Заразените файлове ще имат следните разширения:

  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 е усъвършенстваната версия на CryptON ransomware и извършва атаки чрез RDP връзки, използвайки алгоритми за криптиране AES, RSA и SHA-512.
Файловете, заразени с Cry9, ще имат следните разширения:

Щета:Този ransomware е написан в Delphi, използвайки алгоритмите SHA-1 и Blowfish, криптирайки първите и последните 8 Kb от засегнатия файл.

Файловете с това разширение имат разширението .damage.

CryptON
Това е друг от ransomware, който извършва своите атаки чрез RDP, използвайки алгоритми RSA, AES-256 и SHA-256. Файловете, засегнати от този ransomware, ще имат следните разширения:

  • .id-_ заключено
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

В следната връзка можем да видим подробна информация за различните разширения на другите видове ransomware, които Emsisoft атакува:

Инструмент за декриптиране на Avast

Друг от лидерите в разработката на софтуер за сигурност е Avast, който освен антивирусни инструменти, ни предлага множество инструменти за декриптиране на файлове в нашата система, които са били засегнати от множество видове ransomware.

Благодарение на Avast Decryptor Tool можем да се справим с различни видове ransomware като:

  • Bart: Добавете разширението .bart.zip към заразените файлове
  • AES_NI: Добавете разширенията .aes_ni, .aes256 и .aes_ni_0day към заразените файлове, използвайки AES 256-битово криптиране.
  • Алкатраз. Добавете разширението Alcatraz, използвайки AES-256 256-битово криптиране.
  • Апокалипсис: Добавете разширенията .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted към заразените файлове.
  • Crypt888: Добавете разширението Lock. В началото на заразения файл
  • CryptopMix_: Добавете разширенията .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd към файлове, използвайки AES 256-битово криптиране
  • EncriptTile: Добавете думата encripTile някъде във файла.
  • BadBlock: този ransomware не добавя разширения, но показва съобщение, наречено Help Decrypt.html.
  • FindZip: Добавете разширението .crypt към засегнатите файлове, особено в средите на macOS.
  • Мозайката: Този откупващ софтуер добавя някое от следните разширения към засегнатите файлове .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org, или .gefickt.
  • Legion: Добавете разширенията ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion или. $ Centurion_legion @ aol.com $ .cbf към заразените файлове.
  • XData: Добавете разширението. ~ Xdata ~ към криптирани файлове.

За да изтеглите някои от инструментите за всеки от тези видове ransomware, можем да посетим следната връзка:

Забележка:Там ще намерим някои други допълнителни видове атаки.

Инструменти за декриптиране на AVG Ransomware

За никого не е тайна, че друга от водещите охранителни компании е AVG, което ни позволява да изтегляме безплатно множество инструменти, разработени специално за следните видове атаки:

Видове атаки

  • Апокалипсис: Тази атака добавя разширенията .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted към засегнатите файлове.
  • Badblock: Добавете съобщението Help Decrypt.html към заразения компютър.
  • Барт: Тази атака добавя разширението .bart.zip към заразените файлове.
  • Crypt888: Добавете разширението Lock към началото на заразените файлове.
  • Legion: Тази атака добавя в края на засегнатите файлове разширенията ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion или. $ Centurion_legion @ aol.com $ .cbf
  • SZFLocker: Този ransomware добавя .szf разширение към файловете
  • TeslaCrypt: Този тип атака не криптира файловете, но показва следното съобщение, след като файловете бъдат шифровани.

Някои от тези инструменти могат да бъдат изтеглени на следната връзка.

NoMoreRansom

Това приложение е съвместно проектирано от компании като Intel, Kaspersky и Europool и се фокусира върху разработването и създаването на инструменти, които са фокусирани върху атаки срещу ransomware като:

Видове атаки

  • Rakhni: Този инструмент декриптира файлове, засегнати от Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версии 3 и 4 .
  • Къртица: Шифрова файлове с разширение мол
  • Cry128
  • BTC
  • Cry9
  • Щета
  • Алкатраз
  • Барт сред много други.

В следната връзка можем да изтеглим всеки от тези инструменти и да знаем подробно как те влияят на файловете:

Много от тези приложения, както споменахме, са разработени съвместно с други компании.

По този начин имаме множество опции за противодействие на атаките срещу ransomware и разполагаме с файлове.

Така ще помогнете за развитието на сайта, сподели с приятелите си

wave wave wave wave wave

Популярни Публикации

wave
1
post-title
Как да сериализирате и десериализирате данни в Python
2
post-title
Сканирайте уязвимостта на уебсайт с ZAP
3
post-title
Как да конвертирате документи на Google Документи във формат на Office
4
post-title
▷ Как да инсталирате TeamViewer RHEL 8 - Червена шапка
5
post-title
Windows 7 - Разширени съвети 5

Препоръчано

wave
- Sponsored Ad -

Избор На Редактора

wave
- Sponsored Ad -