✅ Nejlepší nástroje k dešifrování ransomwaru

Obsah

Ve světě, který je neustále online a ve kterém musíme denně zadávat více citlivých informací, nejsme náchylní k tomu, abychom se dostali do rukou útočníků, a jako důkaz toho jsme nedávno mohli ověřit, jak ransomware využíval svůj Wannacry útok, kterým zaútočil.Současně na společnosti a uživatele, kteří šifrují své informace a požadují výměnou platbu, přičemž minimální hodnota je 30 USD, za získání hesla pro obnovení informací, které není vždy 100% spolehlivé.

Základní bod útoku ransomwaru spočívá v šifrování všech souborů v počítači, aby bylo možné později požadovat peníze v požadovaném čase, jinak bude určitý počet souborů odstraněn a hodnota, kterou je třeba zaplatit, se zvýší:

Z tohoto důvodu dnes společnost Solvetic podrobně analyzuje nejlepší aplikace k dešifrování zasažených souborů a obnovení největšího počtu souborů, přičemž získá jejich integritu a dostupnost.

Před použitím těchto nástrojů musíme vzít v úvahu následující:

Každý typ šifrování má jiný typ šifrování, proto musíme identifikovat typ útoku, abychom mohli použít příslušný nástroj.

Použití každého nástroje má jinou úroveň pokynů, pro které musíme podrobně analyzovat webové stránky vývojáře.

RakhniDecryptor

Tato aplikace byla vyvinuta jednou z nejlepších bezpečnostních společností, jako je Kaspersky Lab, a byla vyvinuta za účelem dešifrování některých nejsilnějších typů ransomwarových útoků.

Některé z typů malwaru, na který RakhniDecryptor útočí, jsou:

Trojan-Ransom.Win32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Ransom.Win32.Autoit
Trojan-Ransom.Win32.Aura
Trojan-Ransom.AndroidOS.Pletor
Trojan-Ransom.Win32.Rotor
Trojan-Ransom.Win32.Lamer
Trojan-Ransom.Win32.Cryptokluchen
Trojan-Ransom.Win32.Democry
Trojan-Ransom.Win32.Bitman verze 3 a 4
Trojan-Ransom.Win32.Libra
Trojan-Ransom.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojan-Ransom.Win32.Chimera
Trojan-Ransom.Win32.CryFile
Trojan-Ransom.Win32.Nemchig
Trojan-Ransom.Win32.Mircop
Trojan-Ransom.Win32.Mor
Trojan-Ransom.Win32.Crusis
Trojan-Ransom.Win32.AecHu
Trojan-Ransom.Win32.Jaff

Pamatujte, že když ransomware napadne a nakazí soubor, upraví jeho rozšíření přidáním dalšího řádku následujícím způsobem:

 Před: file.docx / after: file.docx.locked Before 1.docx / after 1.dochb15

Každý z výše uvedených malwarů má řadu příloh rozšíření, pomocí kterých je příslušný soubor šifrován. Jedná se o tato rozšíření, která je důležité znát, abyste o nich měli podrobnější znalosti:

Trojan-Ransom.Win32.RakhniMá následující rozšíření:

Trojan-Ransom.Win32.MorMá následující rozšíření:
._krypta

Trojan-Ransom.Win32.AutoitMá následující rozšíření:
<…

Trojan-Ransom.MSIL.LortokObsahuje následující rozšíření:

Trojan-Ransom.AndroidOS.PletorMá následující rozšíření:
…

Trojan-Ransom.Win32.Agent.iihMá následující rozšíření:
.+

Trojan-Ransom.Win32.CryFileMá následující rozšíření:
…

Trojan-Ransom.Win32.DemocryMá následující rozšíření:

Trojan-Ransom.Win32.Bitman verze 3Má následující rozšíření:

Trojan-Ransom.Win32.Bitman verze 4Má následující rozšíření:
. (název a přípona nejsou ovlivněny)

Trojan-Ransom.Win32.LibraMá následující rozšíření:

Trojan-Ransom.MSIL.LobzikMá následující rozšíření:

Trojan-Ransom.Win32.MircopMá následující rozšíření:
…

Trojan-Ransom.Win32.CrusisMá následující rozšíření:

.ID. @… Xtbl
.ID. @… CrySiS
.id -. @… xtbl
.id -. @… peněženka
.id -. @… dhrama
.id -. @… cibule
. @… Peněženka
. @… Dhrama
. @… Cibule

Trojan-Ransom.Win32. NemchigMá následující rozšíření:
…

Trojan-Ransom.Win32.LamerMá následující rozšíření:

Trojan-Ransom.Win32.CryptokluchenMá následující rozšíření:

Trojan-Ransom.Win32.RotorMá následující rozšíření:

Trojan-Ransom.Win32.ChimeraMá následující rozšíření:

Trojan-Ransom.Win32.AecHu
Má následující rozšíření:

Trojan-Ransom.Win32.JaffMá následující rozšíření:

Vidíme, že existuje poměrně málo rozšíření, a je ideální mít je k dispozici, aby bylo možné podrobně identifikovat typ ovlivněného souboru.
Tuto aplikaci lze stáhnout na následujícím odkazu:

Po stažení extrahujeme obsah a spustíme soubor na infikovaném počítači a zobrazí se následující okno:

Můžeme kliknout na řádek Změnit parametry a definovat, ve kterém typu jednotek se má analýza provádět, jako jsou USB disky, pevné disky nebo síťové disky. Tam klikneme na Spustit skenování, abychom zahájili analýzu a příslušné dešifrování příslušných souborů.

Poznámka:Pokud je soubor ovlivněn příponou _crypt, proces může trvat až 100 dní, proto doporučujeme mít trpělivost.

Rannoh Decryptor

Toto je další z možností nabízených společností Kaspersky Lab, která se zaměřuje na dešifrování souborů napadených malwarem Trojan-Ransom.Win32. Další mohou detekovat malware jako Fury, Cryakl, AutoIt, Polyglot aka Marsjoke a Crybola.

Abychom identifikovali rozšíření ovlivněná tímto ransomwarem, musíme mít na paměti následující:

Trojan-Ransom.Win32.RannohRozšíření, která tento malware přidává, jsou:
.

Trojan-Ransom.Win32.CryaklS touto infekcí budeme mít následující rozšíření:
. {CRYPTENDBLACKDC} (Tato značka bude přidána na konec souboru)

Trojan-Ransom.Win32.AutoItTento útok ovlivňuje poštovní servery a má následující syntaxi:
@_.

Trojan-Ransom.Win32.CryptXXXKdyž budeme infikováni tímto ransomwarem, budeme mít některá z následujících rozšíření:

.krypta
.crypz
.cryp1

Tento nástroj lze stáhnout na následujícím odkazu:

Při extrahování spustitelného souboru stačí spustit soubor a kliknutím na tlačítko Spustit skenování zahájíte proces analýzy a dešifrování příslušných souborů.

WanaKiwi

Tento jednoduchý, ale užitečný nástroj je založen na wanadecrypt, který nám umožňuje provádět následující úkoly:

Dešifrujte infikované soubory

Načtěte soukromý klíč uživatele a později jej uložte jako 00000000.dky.

Tento nástroj používá metodu extrakce Primes, která poskytuje příležitost získat prvočísla, která nebyla během procesu CryptReleaseContext () vyčištěna. Provedení tohoto nástroje je založeno na příkazovém řádku a jeho syntaxe bude následující:

 wanakiwi.exe [/pid:PID|/Process:programa.exe]

V této syntaxi je PID volitelné, protože Wanakiwi bude hledat PID v kterémkoli z následujících procesů:

Wnry.exe
Wcry.exe
Data_1.exe
Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Tasksche.exe

Wanakiwi si můžete stáhnout na následujícím odkazu:

Wanakiwi je kompatibilní pouze s následujícími operačními systémy Windows XP, Windows Vista, Windows 7, Windows Server 2003 a 2008. Důležité je mít na paměti, že Wanakiwi zakládá svůj proces na skenování mezer, které byly generovány těmito klíči. restartování počítače po infekci nebo odstranění procesu, je velmi pravděpodobné, že Wanakiwi nebude moci správně plnit svůj úkol.

Emsisoft

Společnost Emsisoft vyvinula různé typy dešifrátorů pro útoky malwaru, jako například:

Badblock
Apokalyse
Xorist
ApokalypsaVM
Vyraženo
Fabiansomware
Philadelphie
Al-Namrood
FenixLocker
Globe (verze 1, 2 a 3)
OzozaLocker
GlobeImposter
NMoreira
CryptON Cry128
Amnesia (verze 1 a 2)

Každý z těchto nástrojů lze stáhnout na následujícím odkazu:

Některá rozšíření, která najdeme s:

Amnézie:Je to jeden z nejběžnějších útoků, je napsán v Delphi a šifruje soubory pomocí AES-256 a přidává příponu * .amnesia na konec infikovaného souboru. Amnesia přidá infekci do registru Windows, aby mohla být provedena při každém přihlášení.

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 staví svůj útok na připojení RDP a šifruje soubory pomocí vlastních verzí AES a RSA.
Infikované soubory budou mít následující přípony:

.fgb45ft3pqamyji7.onion.to._
.id__gebdp3k7bolalnd4.onion._
.id__2irbar3mjvbap6gt.onion.to._
.id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 je pokročilá verze ransomwaru CryptON a provádí útoky prostřednictvím připojení RDP pomocí šifrovacích algoritmů AES, RSA a SHA-512.
Soubory infikované Cry9 budou mít následující přípony:

.-juccy [a] protonmail.ch.
.id-
.id -_ [[email protected]] .xj5v2
.id-_r9oj
.id-_x3m
.id -_ [[email protected]] _ [[email protected]] .x3m
.-sofia_lobster [na] protonmail.ch
._ [wqfhdgpdelcgww4g.onion.to] .r2vy6

Poškození:Tento ransomware je napsán v Delphi pomocí algoritmů SHA-1 a Blowfish a šifruje prvních a posledních 8 kB dotčeného souboru.

Soubory s touto příponou mají příponu .damage.

CryptON
Je to další z ransomwaru, který provádí své útoky prostřednictvím RDP pomocí algoritmů RSA, AES-256 a SHA-256. Soubory ovlivněné tímto ransomwarem budou mít následující přípony:

.id-_zablokováno
.id-_locked_by_krec
.id-_locked_by_perfect
.id-_x3m
.id-_r9oj
.id-_garryweber @ protonmail.ch
.id-_steaveiwalker @ india.com_
.id-_julia.crown @ india.com
.id-_tom.cruz @ india.com_
.id-_CarlosBoltehero @ india.com_

V následujícím odkazu můžeme vidět podrobné informace o různých rozšířeních jiných typů ransomwaru, na které Emsisoft útočí:

Nástroj Avast Decryptor

Dalším z lídrů ve vývoji bezpečnostního softwaru je Avast, který nám kromě antivirových nástrojů nabízí více nástrojů k dešifrování souborů v našem systému, které byly ovlivněny několika typy ransomwaru.

Díky Avast Decryptor Tool se můžeme vypořádat s různými typy ransomwaru, jako jsou:

Bart: Přidejte k infikovaným souborům příponu .bart.zip

AES_NI: Přidejte rozšíření .aes_ni, .aes256 a .aes_ni_0day do infikovaných souborů pomocí 256bitového šifrování AES.

Alcatraz. Přidejte rozšíření Alcatraz pomocí 256bitového šifrování AES-256.

Apokalypsa: Přidejte k infikovaným souborům přípony. Zašifrované,.

Crypt888: Přidejte rozšíření Lock. Na začátku infikovaného souboru

CryptopMix_: Přidejte rozšíření .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd k souborům pomocí 256bitového šifrování AES

EncriptTile: Přidejte slovo encripTile někam do souboru.

BadBlock: tento ransomware nepřidává rozšíření, ale zobrazuje zprávu s názvem Help Decrypt.html.

FindZip: Přidejte příponu .crypt k ovlivněným souborům, zejména v prostředích macOS.

Jigsaw: Tento ransomware přidává do postižených souborů .kkk, .btc, .gws, .J, .ccrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, libovolné z následujících přípon. .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org nebo .gefickt.

Legie: Přidejte do infikovaných souborů rozšíření ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion nebo. $ Centurion_legion @ aol.com $ .cbf.

XData: Přidejte příponu. ~ Xdata ~ k šifrovaným souborům.

Chcete -li stáhnout některé z nástrojů pro každý z těchto typů ransomwaru, můžete navštívit následující odkaz:

Poznámka:Najdeme zde další typy útoků.

Nástroje pro dešifrování AVG Ransomware

Pro nikoho není žádným tajemstvím, že další z předních bezpečnostních společností je AVG, což nám umožňuje zdarma stahovat více nástrojů, které byly vyvinuty speciálně pro následující typy útoků:

Druhy útoků

Apocalypse: Tento útok přidá k ovlivněným souborům rozšíření .encrypted, .FuckYourData, .locked, .Encryptedfile nebo .SecureCrypted.

Badblock: Přidejte do infikovaného počítače zprávu Help Decrypt.html.

Bart: Tento útok přidá k infikovaným souborům příponu .bart.zip.

Crypt888: Přidejte rozšíření Lock na začátek infikovaných souborů.

Legie: Tento útok přidává na konec příslušných souborů rozšíření ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion nebo. $ Centurion_legion @ aol.com $ .cbf

SZFLocker: Tento ransomware přidává do souborů příponu .szf

TeslaCrypt: Tento typ útoku nešifruje soubory, ale po zašifrování souborů zobrazí následující zprávu.

Některé z těchto nástrojů lze stáhnout na následujícím odkazu.

NoMoreVýkupné

Tuto aplikaci společně navrhly společnosti jako Intel, Kaspersky a Europool a zaměřuje se na vývoj a vytváření nástrojů zaměřených na útoky ransomwaru, jako jsou:

Druhy útoků

Rakhni: Tento nástroj dešifruje soubory ovlivněné Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) verze 3 a 4 .