Ve světě, který je neustále online a ve kterém musíme denně zadávat více citlivých informací, nejsme náchylní k tomu, abychom se dostali do rukou útočníků, a jako důkaz toho jsme nedávno mohli ověřit, jak ransomware využíval svůj Wannacry útok, kterým zaútočil.Současně na společnosti a uživatele, kteří šifrují své informace a požadují výměnou platbu, přičemž minimální hodnota je 30 USD, za získání hesla pro obnovení informací, které není vždy 100% spolehlivé.
Základní bod útoku ransomwaru spočívá v šifrování všech souborů v počítači, aby bylo možné později požadovat peníze v požadovaném čase, jinak bude určitý počet souborů odstraněn a hodnota, kterou je třeba zaplatit, se zvýší:
Z tohoto důvodu dnes společnost Solvetic podrobně analyzuje nejlepší aplikace k dešifrování zasažených souborů a obnovení největšího počtu souborů, přičemž získá jejich integritu a dostupnost.
Před použitím těchto nástrojů musíme vzít v úvahu následující:
- Každý typ šifrování má jiný typ šifrování, proto musíme identifikovat typ útoku, abychom mohli použít příslušný nástroj.
- Použití každého nástroje má jinou úroveň pokynů, pro které musíme podrobně analyzovat webové stránky vývojáře.
RakhniDecryptor
Tato aplikace byla vyvinuta jednou z nejlepších bezpečnostních společností, jako je Kaspersky Lab, a byla vyvinuta za účelem dešifrování některých nejsilnějších typů ransomwarových útoků.
Některé z typů malwaru, na který RakhniDecryptor útočí, jsou:
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.Bitman verze 3 a 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
Pamatujte, že když ransomware napadne a nakazí soubor, upraví jeho rozšíření přidáním dalšího řádku následujícím způsobem:
Před: file.docx / after: file.docx.locked Before 1.docx / after 1.dochb15Každý z výše uvedených malwarů má řadu příloh rozšíření, pomocí kterých je příslušný soubor šifrován. Jedná se o tato rozšíření, která je důležité znát, abyste o nich měli podrobnější znalosti:
Trojan-Ransom.Win32.RakhniMá následující rozšíření:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.MorMá následující rozšíření:
._krypta
Trojan-Ransom.Win32.AutoitMá následující rozšíření:
<…
Trojan-Ransom.MSIL.LortokObsahuje následující rozšíření:
- …
- …
Trojan-Ransom.AndroidOS.PletorMá následující rozšíření:
…
Trojan-Ransom.Win32.Agent.iihMá následující rozšíření:
.+
Trojan-Ransom.Win32.CryFileMá následující rozšíření:
…
Trojan-Ransom.Win32.DemocryMá následující rozšíření:
- .+
- .+
Trojan-Ransom.Win32.Bitman verze 3Má následující rozšíření:
- .
- .
- .
- .
Trojan-Ransom.Win32.Bitman verze 4Má následující rozšíření:
. (název a přípona nejsou ovlivněny)
Trojan-Ransom.Win32.LibraMá následující rozšíření:
- .
- .
- .
Trojan-Ransom.MSIL.LobzikMá následující rozšíření:
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.MircopMá následující rozšíření:
…
Trojan-Ransom.Win32.CrusisMá následující rozšíření:
- .ID. @… Xtbl
- .ID. @… CrySiS
- .id -. @… xtbl
- .id -. @… peněženka
- .id -. @… dhrama
- .id -. @… cibule
- . @… Peněženka
- . @… Dhrama
- . @… Cibule
Trojan-Ransom.Win32. NemchigMá následující rozšíření:
…
Trojan-Ransom.Win32.LamerMá následující rozšíření:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.CryptokluchenMá následující rozšíření:
- …
- …
- …
Trojan-Ransom.Win32.RotorMá následující rozšíření:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.ChimeraMá následující rozšíření:
- …
- …
Trojan-Ransom.Win32.AecHu
Má následující rozšíření:
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.JaffMá následující rozšíření:
- .
- .
- .
Vidíme, že existuje poměrně málo rozšíření, a je ideální mít je k dispozici, aby bylo možné podrobně identifikovat typ ovlivněného souboru.
Tuto aplikaci lze stáhnout na následujícím odkazu:
Po stažení extrahujeme obsah a spustíme soubor na infikovaném počítači a zobrazí se následující okno:
Můžeme kliknout na řádek Změnit parametry a definovat, ve kterém typu jednotek se má analýza provádět, jako jsou USB disky, pevné disky nebo síťové disky. Tam klikneme na Spustit skenování, abychom zahájili analýzu a příslušné dešifrování příslušných souborů.
Poznámka:Pokud je soubor ovlivněn příponou _crypt, proces může trvat až 100 dní, proto doporučujeme mít trpělivost.
Rannoh Decryptor
Toto je další z možností nabízených společností Kaspersky Lab, která se zaměřuje na dešifrování souborů napadených malwarem Trojan-Ransom.Win32. Další mohou detekovat malware jako Fury, Cryakl, AutoIt, Polyglot aka Marsjoke a Crybola.
Abychom identifikovali rozšíření ovlivněná tímto ransomwarem, musíme mít na paměti následující:
Trojan-Ransom.Win32.RannohRozšíření, která tento malware přidává, jsou:
.
Trojan-Ransom.Win32.CryaklS touto infekcí budeme mít následující rozšíření:
. {CRYPTENDBLACKDC} (Tato značka bude přidána na konec souboru)
Trojan-Ransom.Win32.AutoItTento útok ovlivňuje poštovní servery a má následující syntaxi:
@_.
Trojan-Ransom.Win32.CryptXXXKdyž budeme infikováni tímto ransomwarem, budeme mít některá z následujících rozšíření:
- .krypta
- .crypz
- .cryp1
Tento nástroj lze stáhnout na následujícím odkazu:
Při extrahování spustitelného souboru stačí spustit soubor a kliknutím na tlačítko Spustit skenování zahájíte proces analýzy a dešifrování příslušných souborů.
WanaKiwi
Tento jednoduchý, ale užitečný nástroj je založen na wanadecrypt, který nám umožňuje provádět následující úkoly:
- Dešifrujte infikované soubory
- Načtěte soukromý klíč uživatele a později jej uložte jako 00000000.dky.
wanakiwi.exe [/pid:PID|/Process:programa.exe]V této syntaxi je PID volitelné, protože Wanakiwi bude hledat PID v kterémkoli z následujících procesů:
- Wnry.exe
- Wcry.exe
- Data_1.exe
- Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- Tasksche.exe
Wanakiwi si můžete stáhnout na následujícím odkazu:
Wanakiwi je kompatibilní pouze s následujícími operačními systémy Windows XP, Windows Vista, Windows 7, Windows Server 2003 a 2008. Důležité je mít na paměti, že Wanakiwi zakládá svůj proces na skenování mezer, které byly generovány těmito klíči. restartování počítače po infekci nebo odstranění procesu, je velmi pravděpodobné, že Wanakiwi nebude moci správně plnit svůj úkol.
Emsisoft
Společnost Emsisoft vyvinula různé typy dešifrátorů pro útoky malwaru, jako například:
- Badblock
- Apokalyse
- Xorist
- ApokalypsaVM
- Vyraženo
- Fabiansomware
- Philadelphie
- Al-Namrood
- FenixLocker
- Globe (verze 1, 2 a 3)
- OzozaLocker
- GlobeImposter
- NMoreira
- CryptON Cry128
- Amnesia (verze 1 a 2)
Některá rozšíření, která najdeme s:
Amnézie:Je to jeden z nejběžnějších útoků, je napsán v Delphi a šifruje soubory pomocí AES-256 a přidává příponu * .amnesia na konec infikovaného souboru. Amnesia přidá infekci do registru Windows, aby mohla být provedena při každém přihlášení.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Cry128:Cey128 staví svůj útok na připojení RDP a šifruje soubory pomocí vlastních verzí AES a RSA.
Infikované soubory budou mít následující přípony:
- .fgb45ft3pqamyji7.onion.to._
- .id__gebdp3k7bolalnd4.onion._
- .id__2irbar3mjvbap6gt.onion.to._
- .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4
Cry9:Cry9 je pokročilá verze ransomwaru CryptON a provádí útoky prostřednictvím připojení RDP pomocí šifrovacích algoritmů AES, RSA a SHA-512.
Soubory infikované Cry9 budou mít následující přípony:
- .-juccy [a] protonmail.ch.
- .id-
- .id -_ [[email protected]] .xj5v2
- .id-_r9oj
- .id-_x3m
- .id -_ [[email protected]] _ [[email protected]] .x3m
- .-sofia_lobster [na] protonmail.ch
- ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6
Poškození:Tento ransomware je napsán v Delphi pomocí algoritmů SHA-1 a Blowfish a šifruje prvních a posledních 8 kB dotčeného souboru.
Soubory s touto příponou mají příponu .damage.
CryptON
Je to další z ransomwaru, který provádí své útoky prostřednictvím RDP pomocí algoritmů RSA, AES-256 a SHA-256. Soubory ovlivněné tímto ransomwarem budou mít následující přípony:
- .id-_zablokováno
- .id-_locked_by_krec
- .id-_locked_by_perfect
- .id-_x3m
- .id-_r9oj
- .id-_garryweber @ protonmail.ch
- .id-_steaveiwalker @ india.com_
- .id-_julia.crown @ india.com
- .id-_tom.cruz @ india.com_
- .id-_CarlosBoltehero @ india.com_
V následujícím odkazu můžeme vidět podrobné informace o různých rozšířeních jiných typů ransomwaru, na které Emsisoft útočí:
Nástroj Avast Decryptor
Dalším z lídrů ve vývoji bezpečnostního softwaru je Avast, který nám kromě antivirových nástrojů nabízí více nástrojů k dešifrování souborů v našem systému, které byly ovlivněny několika typy ransomwaru.
Díky Avast Decryptor Tool se můžeme vypořádat s různými typy ransomwaru, jako jsou:
- Bart: Přidejte k infikovaným souborům příponu .bart.zip
- AES_NI: Přidejte rozšíření .aes_ni, .aes256 a .aes_ni_0day do infikovaných souborů pomocí 256bitového šifrování AES.
- Alcatraz. Přidejte rozšíření Alcatraz pomocí 256bitového šifrování AES-256.
- Apokalypsa: Přidejte k infikovaným souborům přípony. Zašifrované,.
- Crypt888: Přidejte rozšíření Lock. Na začátku infikovaného souboru
- CryptopMix_: Přidejte rozšíření .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd k souborům pomocí 256bitového šifrování AES
- EncriptTile: Přidejte slovo encripTile někam do souboru.
- BadBlock: tento ransomware nepřidává rozšíření, ale zobrazuje zprávu s názvem Help Decrypt.html.
- FindZip: Přidejte příponu .crypt k ovlivněným souborům, zejména v prostředích macOS.
- Jigsaw: Tento ransomware přidává do postižených souborů .kkk, .btc, .gws, .J, .ccrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, libovolné z následujících přípon. .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org nebo .gefickt.
- Legie: Přidejte do infikovaných souborů rozšíření ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion nebo. $ Centurion_legion @ aol.com $ .cbf.
- XData: Přidejte příponu. ~ Xdata ~ k šifrovaným souborům.
Chcete -li stáhnout některé z nástrojů pro každý z těchto typů ransomwaru, můžete navštívit následující odkaz:
Poznámka:Najdeme zde další typy útoků.
Nástroje pro dešifrování AVG Ransomware
Pro nikoho není žádným tajemstvím, že další z předních bezpečnostních společností je AVG, což nám umožňuje zdarma stahovat více nástrojů, které byly vyvinuty speciálně pro následující typy útoků:
Druhy útoků
- Apocalypse: Tento útok přidá k ovlivněným souborům rozšíření .encrypted, .FuckYourData, .locked, .Encryptedfile nebo .SecureCrypted.
- Badblock: Přidejte do infikovaného počítače zprávu Help Decrypt.html.
- Bart: Tento útok přidá k infikovaným souborům příponu .bart.zip.
- Crypt888: Přidejte rozšíření Lock na začátek infikovaných souborů.
- Legie: Tento útok přidává na konec příslušných souborů rozšíření ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion nebo. $ Centurion_legion @ aol.com $ .cbf
- SZFLocker: Tento ransomware přidává do souborů příponu .szf
- TeslaCrypt: Tento typ útoku nešifruje soubory, ale po zašifrování souborů zobrazí následující zprávu.
Některé z těchto nástrojů lze stáhnout na následujícím odkazu.
NoMoreVýkupné
Tuto aplikaci společně navrhly společnosti jako Intel, Kaspersky a Europool a zaměřuje se na vývoj a vytváření nástrojů zaměřených na útoky ransomwaru, jako jsou:
Druhy útoků
- Rakhni: Tento nástroj dešifruje soubory ovlivněné Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) verze 3 a 4 .
- Mole: Šifruje soubory s příponou mol
- Cry128
- BTC
- Cry9
- Poškození
- Alcatraz
- Bart mezi mnoha dalšími.
V následujícím odkazu si můžeme stáhnout každý z těchto nástrojů a podrobně vědět, jak ovlivňují soubory:
Mnoho z těchto aplikací je, jak jsme zmínili, vyvinuto ve spolupráci s jinými společnostmi.
Tímto způsobem máme několik možností, jak zabránit útokům ransomwaru, a mít k dispozici naše soubory.