✅ Najbolji alati za dešifriranje Ransomware -a

Sadržaj

U svijetu koji je stalno na mreži i u koji svakodnevno moramo unositi više osjetljivih podataka, nismo podložni padanju u ruke napadača, a kao dokaz tome nedavno smo mogli provjeriti kako je ransomware koristio Wannacry Istovremeno tvrtkama i korisnicima šifriraju njihove podatke i zahtijevaju plaćanje u zamjenu, minimalna vrijednost je 30 USD, za dobivanje lozinke za oporavak podataka, koja nije uvijek 100% pouzdana.

Temeljna točka napada na ransomware sastoji se u šifriranju svih datoteka na računalu kako bi se kasnije zahtijevao novac u traženom roku ili će na drugi način određeni broj datoteka biti eliminiran, a vrijednost za plaćanje će se povećati:

Iz tog će razloga danas Solvetic detaljno analizirati najbolje aplikacije za dešifriranje zahvaćenih datoteka i oporavak najvećeg broja datoteka, dobivajući njihov integritet i dostupnost.

Prije uporabe ovih alata moramo uzeti u obzir sljedeće:

Svaka vrsta šifriranja ima različitu vrstu šifriranja, pa moramo identificirati vrstu napada kako bismo koristili odgovarajući alat.

Korištenje svakog alata ima različitu razinu uputa za koje moramo detaljno analizirati web mjesto razvojnog programera.

RakhniDecryptor

Razvijena od strane jedne od najboljih zaštitarskih tvrtki, poput Kaspersky Laba, ova je aplikacija razvijena kako bi dešifrirala neke od najjačih vrsta napada ransomwarea.

Neke od vrsta zlonamjernog softvera koje napada RakhniDecryptor su:

Trojanski-otkup.Pobjeda32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Otkup.Pobjeda32.Autoit
Trojanski-otkup.Pobjeda32.Aura
Trojan-Ransom.AndroidOS.Pletor
Trojan-Ransom.Win32.Rotor
Trojan- Otkupnina.Pobjeda32.Lamer
Trojan-Ransom.Pobjeda32.Cryptokluchen
Trojanski-otkupnina.Pobjeda32.Demokrija
Trojan-Ransom.Win32.Bitman verzija 3 i 4
Trojanac-otkupnina.Pobjeda32.Vaga
Trojan-Otkup.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojanski-otkup.Pobjeda32.Chimera
Trojan-Ransom.Win32.CryFile
Trojan-Otkup.Pobjeda32.Nemchig
Trojanski-otkup.Win32.Mircop
Trojan-Otkup.Pobjeda32.Mor
Trojanski-otkup.Pobjeda32.Kruz
Trojan-Ransom.Win32.AecHu
Trojanski-otkup.Win32.Jaff

Upamtite da kada ransomware napadne i inficira datoteku, on uređuje njezino proširenje dodavanjem dodatnog retka na sljedeći način:

 Prije: file.docx / after: file.docx.locked Prije 1.docx / nakon 1.dochb15

Svaki od gore spomenutih zlonamjernih programa ima niz dodataka s proširenjima s kojima se šifrira zahvaćena datoteka, to su ova proširenja koja je važno znati kako biste o njima imali detaljnije znanje:

Trojanski-otkup.Pobjeda32.RakhniIma sljedeća proširenja:

Trojan-Otkup.Pobjeda32.MorIma sljedeće proširenje:
._kripta

Trojan-Otkup.Pobjeda32.AutoitIma sljedeće proširenje:
<…

Trojan-Ransom.MSIL.LortokUključuje sljedeća proširenja:

Trojan-Ransom.AndroidOS.PletorIma sljedeće proširenje:
…

Trojan-Ransom.Win32.Agent.iihIma sljedeće proširenje:
.+

Trojan-Ransom.Win32.CryFileIma sljedeće proširenje:
…

Trojanski-otkupnina.Pobjeda32.DemokrijaIma sljedeća proširenja:

Trojan-Ransom.Win32.Bitman verzija 3Ima sljedeća proširenja:

Trojan-Ransom.Win32.Bitman verzija 4Ima sljedeće proširenje:
. (naziv i proširenje nisu pogođeni)

Trojanac-otkupnina.Pobjeda32.VagaIma sljedeća proširenja:

Trojan-Otkup.MSIL.LobzikIma sljedeća proširenja:

Trojanski-otkup.Win32.MircopIma sljedeće proširenje:
…

Trojanski-otkup.Pobjeda32.KruzIma sljedeće proširenje:

.ID. @… Xtbl
.ID. @… CrySiS
.id -. @… xtbl
.id -. @… novčanik
.id -. @… dhrama
.id -. @… luk
. @… Novčanik
. @… Dhrama
. @… Luk

Trojan-otkupnina.Pobjeda32. NemchigIma sljedeće proširenje:
…

Trojan- Otkupnina.Pobjeda32.LamerIma sljedeća proširenja:

Trojan-Ransom.Pobjeda32.CryptokluchenIma sljedeća proširenja:

Trojan-Ransom.Win32.RotorIma sljedeća proširenja:

Trojanski-otkup.Pobjeda32.ChimeraIma sljedeća proširenja:

Trojan-Ransom.Win32.AecHu
Ima sljedeća proširenja:

Trojanski-otkup.Win32.JaffIma sljedeća proširenja:

Možemo vidjeti da postoji dosta proširenja i idealno je da budu prisutni kako bi se detaljno identificirala vrsta datoteke na koju se to odnosi.
Ova se aplikacija može preuzeti na sljedećoj poveznici:

Nakon preuzimanja izdvajamo sadržaj i izvršavamo datoteku na zaraženom računalu i prikazat će se sljedeći prozor:

Možemo kliknuti na liniju Promijeni parametre kako bismo definirali u kojoj vrsti jedinica će se izvršiti analiza, poput USB pogona, tvrdih diskova ili mrežnih pogona. Tamo ćemo kliknuti na Pokreni skeniranje kako bismo započeli analizu i odgovarajuće dešifriranje zahvaćenih datoteka.

Bilješka:Ako na datoteku utječe proširenje _crypt, postupak može potrajati i do 100 dana, pa se preporučuje strpljenje.

Rannoh dekriptor

Ovo je još jedna od mogućnosti koje nudi Kaspersky Lab i koja je usmjerena na dešifriranje datoteka koje su napadnute zlonamjernim softverom Trojan-Ransom.Win32. Dodatni mogu otkriti zlonamjerni softver poput Fury, Cryakl, AutoIt, Polyglot aka Marsjoke i Crybola.

Da bismo identificirali proširenja na koja utječe ovaj ransomware, moramo imati na umu sljedeće:

Trojanski-otkupnina.Pobjeda32.RannohProširenja koja ovaj zlonamjerni softver dodaje su:
.

Trojanski-otkup.Win32.CryaklS ovom infekcijom imat ćemo sljedeće proširenje:
. {CRYPTENDBLACKDC} (Ova će se oznaka dodati na kraj datoteke)

Trojan-Ransom.Win32.AutoItOvaj napad utječe na poslužitelje pošte i ima sljedeću sintaksu:
@_.

Trojanski otkup.Win32.CryptXXXKad smo zaraženi ovim ransomware -om, imat ćemo bilo koje od sljedećih proširenja:

.kripta
.crypz
.cryp1

Ovaj alat možete preuzeti na sljedećoj poveznici:

Prilikom izdvajanja izvršne datoteke samo pokrenite datoteku i kliknite gumb Pokreni skeniranje za početak procesa analize i dešifriranja zahvaćenih datoteka.

WanaKiwi

Ovaj jednostavan, ali koristan alat temelji se na wanadecrypt -u koji nam omogućuje izvršavanje sljedećih zadataka:

Dešifrirajte zaražene datoteke

Dohvatite korisnikov privatni ključ da biste ga kasnije pohranili kao 00000000.dky.

Ovaj alat koristi metodu ekstrakcije Primesa koja pruža mogućnost dohvaćanja prostih brojeva koji nisu očišćeni tijekom procesa CryptReleaseContext (). Izvođenje ovog alata temelji se na naredbenom retku, a njegova sintaksa bit će sljedeća:

 wanakiwi.exe [/pid:PID|/Process:programa.exe]

U ovoj je sintaksi PID neobavezan jer će Wanakiwi tražiti PID -ove u bilo kojem od sljedećih procesa:

Wnry.exe
Wcry.exe
Data_1.exe
Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Tasksche.exe

Wanakiwi se može preuzeti na sljedećoj poveznici:

Wanakiwi je kompatibilan samo sa sljedećim operativnim sustavima, Windows XP, Windows Vista, Windows 7, Windows Server 2003 i 2008. Nešto važno treba imati na umu da Wanakiwi svoj proces temelji na skeniranju prostora koje su generirali ti ključevi U slučaju da ponovnog pokretanja računala nakon infekcije ili uklanjanja procesa, najvjerojatnije Wanakiwi neće moći pravilno izvršiti svoj zadatak.

Emsisoft

Emsisoft je razvio različite vrste dekriptora za napade zlonamjernog softvera, kao što su:

Badblock
Apokalizija
Xorist
ApokalipsaVM
Ovjeren žigom
Fabiansomware
Philadelphia
Al-Namrood
FenixLocker
Globe (verzija 1, 2 i 3)
OzozaLocker
GlobeImposter
NMoreira
CryptON Cry128
Amnezija (verzija 1 i 2)

Svaki od ovih alata možete preuzeti na sljedećoj poveznici:

Neka od proširenja koja ćemo pronaći s:

Amnezija:To je jedan od najčešćih napada, napisan je u Delphiju i šifrira datoteke pomoću AES-256 i dodaje ekstenziju * .amnesia na kraj zaražene datoteke. Amnesia dodaje infekciju u Windows registar kako bi se izvršila pri svakoj prijavi.

 HKEY_CURRENT_USER \ SOFTVER \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 temelji svoj napad na RDP vezama i šifrira datoteke pomoću prilagođenih verzija AES -a i RSA -e.
Zaražene datoteke imat će sljedeća proširenja:

.fgb45ft3pqamyji7.onion.to._
.id__gebdp3k7bolalnd4.onion._
.id__2irbar3mjvbap6gt.onion.to._
.id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 je napredna verzija CrynsON ransomwarea i izvodi napade putem RDP veza koristeći AES, RSA i SHA-512 algoritme za šifriranje.
Datoteke zaražene Cry9 imat će sljedeća proširenja:

.-juccy [a] protonmail.ch.
.iskaznica-
.id -_ [[email protected]] .xj5v2
.id-_r9oj
.id-_x3m
.id -_ [[email protected]] _ [[email protected]] .x3m
. -sofia_lobster [to] protonmail.ch
._ [wqfhdgpdelcgww4g.onion.to] .r2vy6

Šteta:Ovaj ransomware napisan je u Delphiju koristeći SHA-1 i Blowfish algoritme, šifrirajući prvih i posljednjih 8 Kb zahvaćene datoteke.

Datoteke s ovim proširenjem imaju nastavak .damage.

CryptON
To je još jedan od ransomwarea koji svoje napade izvodi putem RDP-a koristeći RSA, AES-256 i SHA-256 algoritme. Datoteke zahvaćene ovim ransomwareom imat će sljedeća proširenja:

.id-_zaključano
.id-_locked_by_krec
.id-_blocked_by_perfect
.id-_x3m
.id-_r9oj
.id-_garryweber @ protonmail.ch
.id-_steaveiwalker @ india.com_
.id-_julia.crown @ india.com
.id-_tom.cruz @ india.com_
.id-_CarlosBoltehero @ india.com_

Na sljedećoj poveznici možemo vidjeti detaljne informacije o različitim proširenjima drugih vrsta ransomwarea koje Emsisoft napada:

Avast alat za dešifriranje

Još jedan od lidera u razvoju sigurnosnog softvera je Avast koji nam osim antivirusnih alata nudi i više alata za dešifriranje datoteka na našem sustavu na koje je utjecalo više vrsta ransomwarea.

Zahvaljujući Avast Decryptor Tool -u možemo se nositi s različitim vrstama ransomwarea, poput:

Bart: Dodajte proširenje .bart.zip zaraženim datotekama

AES_NI: Dodajte proširenja .aes_ni, .aes256 i .aes_ni_0day zaraženim datotekama pomoću 256-bitnog šifriranja AES.

Alcatraz. Dodajte proširenje Alcatraz pomoću AES-256 256-bitnog šifriranja.

Apokalipsa: Dodajte proširenja .enfrirano, .FuckYourData, .locked, .Encryptedfile ili .SecureCrypted u zaražene datoteke.

Crypt888: Dodajte proširenje Lock. Na početku zaražene datoteke

CryptopMix_: Dodajte proširenja .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd u datoteke pomoću 256-bitnog šifriranja AES

EncriptTile: Dodajte riječ encripTile negdje u datoteci.

BadBlock: ovaj ransomware ne dodaje proširenja, već prikazuje poruku pod nazivom Help Decrypt.html.

FindZip: Dodajte proširenje .crypt zahvaćenim datotekama, posebno u macOS okruženjima.

Jigsaw: Ovaj ransomware dodaje bilo koje od sljedećih proširenja u zahvaćene datoteke .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org ili .gefickt.

Legion: Dodajte proširenja ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion ili. $ Centurion_legion @ aol.com $ .cbf u zaražene datoteke.

XData: Dodajte ekstenziju. ~ Xdata ~ šifriranim datotekama.

Da biste preuzeli neke od alata za svaku od ovih vrsta ransomwarea, posjetimo sljedeću vezu:

Bilješka:Tamo ćemo pronaći neke druge dodatne vrste napada.

AVG Ransomware alati za dešifriranje

Nikome nije tajna da je još jedna od vodećih sigurnosnih tvrtki AVG, što nam omogućuje besplatno preuzimanje više alata koji su razvijeni posebno za sljedeće vrste napada:

Vrste napada

Apokalipsa: Ovaj napad dodaje proširenja .enfrirano, .FuckYourData, .locked, .Encryptedfile ili .SecureCrypted u zahvaćene datoteke.

Badblock: Dodajte poruku Help Decrypt.html na zaraženo računalo.

Bart: Ovaj napad zaraženim datotekama dodaje proširenje .bart.zip.

Crypt888: Dodajte proširenje Lock na početak zaraženih datoteka.

Legion: Ovaj napad dodaje na kraj zahvaćenih datoteka proširenja ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion ili. $ Centurion_legion @ aol.com $ .cbf

SZFLocker: Ovaj ransomware dodaje datotekama proširenje .szf

TeslaCrypt: Ova vrsta napada ne šifrira datoteke, ali prikazuje sljedeću poruku nakon što su datoteke šifrirane.

Neki od ovih alata mogu se preuzeti na sljedećoj poveznici.

NoMoreRansom

Ovu su aplikaciju zajednički osmislile tvrtke kao što su Intel, Kaspersky i Europool te se usredotočuje na razvoj i stvaranje alata koji su usmjereni na napade ransomwarea, poput:

Vrste napada

Rakhni: Ovaj alat dešifrira datoteke na koje utječu Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) verzija 3 i 4 .