De beste verktøyene for å dekryptere Ransomware

De beste verktøyene for å dekryptere Ransomware
Innholdsfortegnelse

I en verden som stadig er online og der vi daglig må legge inn sensitiv informasjon, er vi ikke utsatt for å falle i hendene på angripere, og som bevis på dette kunne vi nylig bekrefte hvordan ransomware brukte Wannacry angrep som den angrep. Samtidig med at selskaper og brukere krypterer informasjonen sin og krever betaling i bytte, minimumsverdien er USD 30, for å få passordet for gjenoppretting av informasjon, som ikke alltid er 100% pålitelig.

Det grunnleggende poenget med ransomware -angrepet består i å kryptere alle filene på datamaskinen for senere å kreve pengene på forespurt tid, ellers vil et visst antall filer bli eliminert og verdien som skal betales vil øke:

Av denne grunn vil Solvetic i dag analysere i detalj de beste programmene for å dekryptere de berørte filene og gjenopprette det største antallet filer, og oppnå deres integritet og tilgjengelighet.

Før vi bruker disse verktøyene må vi ta hensyn til følgende:

  • Hver type kryptering har en annen type kryptering, så vi må identifisere angrepstypen for å bruke det riktige verktøyet.
  • Bruken av hvert verktøy har et annet nivå av instruksjoner som vi må analysere utviklerens nettsted i detalj.

RakhniDecryptor

Denne applikasjonen er utviklet av et av de beste sikkerhetsselskapene som Kaspersky Lab, og er utviklet for å dekryptere noen av de sterkeste ransomware -angrepene.

Noen av typer skadelig programvare som RakhniDecryptor angriper er:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Lansom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Lansom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman versjon 3 og 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Husk at når ransomware angriper og infiserer en fil, redigerer den utvidelsen ved å legge til en ekstra linje som følger: 

 Før: file.docx / after: file.docx.locked Før 1.docx / etter 1.dochb15
Hver av de nevnte malware har en serie utvidelsesvedlegg som den berørte filen er kryptert med. Dette er disse utvidelsene som det er viktig å vite for å ha en mer detaljert kunnskap om dem:

Trojan-Ransom.Win32.RakhniDen har følgende utvidelser:

Trojan-Ransom.Win32.MorDen har følgende utvidelse:
._crypt

Trojan-Ransom.Win32.AutoitDen har følgende utvidelse:
<…

Trojan-Ransom.MSIL.LortokInkluderer følgende utvidelser:

Trojan-Ransom.AndroidOS.PletorDen har følgende utvidelse:

Trojan-Ransom.Win32.Agent.iihDen har følgende utvidelse:
.+

Trojan-Ransom.Win32.CryFileDen har følgende utvidelse:

Trojan-Ransom.Win32.DemocryDen har følgende utvidelser:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman versjon 3Den har følgende utvidelser:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman versjon 4Den har følgende utvidelse:
. (navnet og utvidelsen påvirkes ikke)

Trojan-Ransom.Win32.LibraDen har følgende utvidelser:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikDen har følgende utvidelser:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopDen har følgende utvidelse:

Trojan-Ransom.Win32.CrusisDen har følgende utvidelse:

  • .ID. @… Xtbl
  • .ID. @… CrySiS
  • .id -. @… xtbl
  • .id -. @… lommebok
  • .id -. @… dhrama
  • .id -. @… løk
  • . @… Lommebok
  • . @… Dhrama
  • . @… Løk

Trojan-Ransom.Win32. NemchigDen har følgende utvidelse:

Trojan-Ransom.Win32.LamerDen har følgende utvidelser:

Trojan-Ransom.Win32.CryptokluchenDen har følgende utvidelser:

Trojan-Lansom.Win32.RotorDen har følgende utvidelser:

Trojan-Ransom.Win32.ChimeraDen har følgende utvidelser:

Trojan-Ransom.Win32.AecHu
Den har følgende utvidelser:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffDen har følgende utvidelser:

  • .
  • .
  • .

Vi kan se at det er ganske mange utvidelser, og det er ideelt å ha dem til stede for i detalj å identifisere filtypen som berøres.
Denne applikasjonen kan lastes ned på følgende lenke:

Når den er lastet ned, trekker vi ut innholdet og kjører filen på den infiserte datamaskinen, og følgende vindu vises:

Vi kan klikke på Endre parametere -linjen for å definere i hvilken type enheter analysen skal utføres, for eksempel USB -stasjoner, harddisker eller nettverksstasjoner. Der klikker vi på Start skanning for å starte analysen og respektive dekryptering av de berørte filene.

Merk:Hvis en fil er berørt med _crypt -utvidelsen, kan prosessen ta opptil 100 dager, så det anbefales å ha tålmodighet.

Rannoh Decryptor

Dette er et annet av alternativene som tilbys av Kaspersky Lab som er fokusert på dekryptering av filer som har blitt angrepet med Trojan-Ransom.Win32 malware. Ytterligere kan oppdage skadelig programvare som Fury, Cryakl, AutoIt, Polyglot aka Marsjoke og Crybola.

For å identifisere utvidelsene som er berørt av disse ransomware må vi huske på følgende:

Trojan-Ransom.Win32.RannohUtvidelsene som denne skadelige programvaren legger til er:
.

Trojan-Ransom.Win32.CryaklMed denne infeksjonen vil vi ha følgende forlengelse:
. {CRYPTENDBLACKDC} (Denne taggen legges til i slutten av filen)

Trojan-Ransom.Win32.AutoItDette angrepet påvirker e -postservere og har følgende syntaks:
@_.

Trojan-Ransom.Win32.CryptXXXNår vi er infisert med denne ransomware, vil vi ha en av følgende utvidelser:

  • .crypt
  • .crypz
  • .cryp1

Dette verktøyet kan lastes ned på følgende lenke:

Når du pakker ut den kjørbare filen, er det bare å kjøre filen og klikke på Start scan -knappen for å starte prosessen med å analysere og dekryptere de berørte filene.

WanaKiwi

Dette enkle, men nyttige verktøyet er basert på wanadecrypt som lar oss utføre følgende oppgaver:

  • Dekrypter infiserte filer
  • Hent brukerens private nøkkel for senere å lagre den som 00000000.dky.
Dette verktøyet bruker metoden Primes -ekstraksjon som gir muligheten til å hente primtallene som ikke ble ryddet opp under CryptReleaseContext () -prosessen. Utførelsen av dette verktøyet er basert på kommandolinjen, og syntaksen vil være som følger: 
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
I denne syntaksen er PID valgfri siden Wanakiwi vil se etter PID -ene i en av følgende prosesser:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi kan lastes ned på følgende lenke:

Wanakiwi er bare kompatibel med følgende operativsystemer, Windows XP, Windows Vista, Windows 7, Windows Server 2003 og 2008. Noe viktig å huske på er at Wanakiwi baserer sin prosess på å skanne mellomrom som er generert av disse tastene I tilfelle for å ha startet datamaskinen på nytt etter en infeksjon eller å ha eliminert en prosess, er det mest sannsynlig at Wanakiwi ikke vil kunne utføre oppgaven riktig.

Emsisoft

Emsisoft har utviklet forskjellige typer dekryptere for malware -angrep som:

  • Badblock
  • Apokalyse
  • Xorist
  • ApocalypseVM
  • Stemplet
  • Fabiansomware
  • Philadelphia
  • Al-Namrood
  • FenixLocker
  • Globe (versjon 1, 2 og 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Amnesi (versjon 1 og 2)
Hvert av disse verktøyene kan lastes ned på følgende lenke:

Noen av utvidelsene som vi finner med:

Amnesi:Det er et av de vanligste angrepene, det er skrevet i Delphi og krypterer filene ved hjelp av AES-256, og det legger til * .amnesia-utvidelsen til slutten av den infiserte filen. Amnesia legger til infeksjonen i Windows -registret for at den skal kunne utføres ved hver pålogging. 

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 baserer sitt angrep på RDP -tilkoblinger og krypterer filer ved hjelp av tilpassede versjoner av AES og RSA.
De infiserte filene vil ha følgende utvidelser:

  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 er den avanserte versjonen av CryptON ransomware og utfører angrep gjennom RDP-tilkoblinger ved hjelp av AES-, RSA- og SHA-512-krypteringsalgoritmer.
Filer infisert med Cry9 vil ha følgende utvidelser:

Skader:Denne ransomware er skrevet i Delphi ved hjelp av algoritmene SHA-1 og Blowfish, og krypterer den første og siste 8 Kb av den berørte filen.

Filer med denne utvidelsen har filtypen .damage.

CryptON
Det er en annen av ransomware som utfører sine angrep gjennom RDP ved bruk av RSA, AES-256 og SHA-256 algoritmer. Filene som er berørt av denne ransomware vil ha følgende utvidelser:

  • .id-_låst
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

I den følgende lenken kan vi se detaljert informasjon om de forskjellige utvidelsene til de andre typene ransomware som Emsisoft angriper:

Avast Decryptor Tool

En annen av lederne i utviklingen av sikkerhetsprogramvare er Avast, som, bortsett fra antivirusverktøy, tilbyr oss flere verktøy for å dekryptere filer på systemet vårt som har blitt påvirket av flere typer ransomware.

Takket være Avast Decryptor Tool kan vi håndtere ulike typer ransomware, for eksempel:

  • Bart: Legg til utvidelsen .bart.zip i infiserte filer
  • AES_NI: Legg til utvidelsene .aes_ni, .aes256 og .aes_ni_0day til infiserte filer ved hjelp av AES 256-biters kryptering.
  • Alcatraz. Legg til Alcatraz-utvidelsen ved hjelp av AES-256 256-biters kryptering.
  • Apocalypse: Legg til utvidelsene .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted til infiserte filer.
  • Crypt888: Legg til forlengelsen Lock. I begynnelsen av den infiserte filen
  • CryptopMix_: Legg til utvidelsene .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd til filer ved hjelp av AES 256-biters kryptering
  • EncriptTile: Legg til ordet encripTile et sted i filen.
  • BadBlock: denne ransomware legger ikke til utvidelser, men viser en melding som heter Help Decrypt.html.
  • FindZip: Legg til .crypt -utvidelsen til de berørte filene, spesielt i macOS -miljøer.
  • Jigsaw: Denne ransomware legger til noen av følgende utvidelser til de berørte filene .kkk, .btc, .gws, .J, .crypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .crypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org, eller .gefickt.
  • Legion: Legg til utvidelsene ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion eller. $ Centurion_legion @ aol.com $ .cbf til infiserte filer.
  • XData: Legg til utvidelsen. ~ Xdata ~ til krypterte filer.

For å laste ned noen av verktøyene for hver av disse typer ransomware kan vi besøke følgende lenke:

Merk:Der vil vi finne noen andre angrepstyper.

AVG dekrypteringsverktøy for ransomware

Det er ingen hemmelighet for noen at et annet av de ledende sikkerhetsselskapene er AVG, som lar oss laste ned flere verktøy gratis som er utviklet spesielt for følgende typer angrep:

Typer angrep

  • Apocalypse: Dette angrepet legger utvidelsene .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted til de berørte filene.
  • Badblock: Legg til Help Decrypt.html -meldingen på den infiserte datamaskinen.
  • Bart: Dette angrepet legger til utvidelsen .bart.zip i de infiserte filene.
  • Crypt888: Legg til forlengelsen Lock til begynnelsen av de infiserte filene.
  • Legion: Dette angrepet legger til slutten av de berørte filene utvidelsene ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion eller. $ Centurion_legion @ aol.com $ .cbf
  • SZFLocker: Denne ransomware legger til .szf -utvidelse til filer
  • TeslaCrypt: Denne typen angrep krypterer ikke filene, men viser følgende melding når filene er kryptert.

Noen av disse verktøyene kan lastes ned på følgende lenke.

NoMoreRansom

Denne applikasjonen er designet i fellesskap av selskaper som Intel, Kaspersky og Europool og fokuserer på å utvikle og lage verktøy som er fokusert på ransomware -angrep som:

Typer angrep

  • Rakhni: Dette verktøyet dekrypterer filer som er berørt av Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) versjon 3 og 4 .
  • Mole: Krypterer filer med muldvarpstørrelsen
  • Gråt128
  • BTC
  • Cry9
  • Skader
  • Alcatraz
  • Bart blant mange andre.

I den følgende lenken kan vi laste ned hvert av disse verktøyene og vite i detalj hvordan de påvirker filene:

Mange av disse applikasjonene er, som vi har nevnt, utviklet i samarbeid med andre selskaper.

På denne måten har vi flere alternativer for å motvirke ransomware -angrep og ha filene våre tilgjengelige.

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
Slik slår du på og av Amazfit GTS
2
post-title
▷ Hvordan sette passord til en mappe i Windows 10
3
post-title
Installer LibreOffice 6 på CentOS, Fedora, Debian, Ubuntu og Linux Mint
4
post-title
Installer PSP -emulator på iPhone eller iPad uten Jailbreak Windows 10
5
post-title
Slik slår du av eller starter iPhone XR på nytt

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -