Najlepsze narzędzia do odszyfrowywania Ransomware

Spisie treści

W świecie, który jest stale online i w którym codziennie musimy wprowadzać wiele poufnych informacji, nie jesteśmy podatni na wpadnięcie w ręce atakujących, a na dowód tego niedawno byliśmy w stanie zweryfikować, w jaki sposób oprogramowanie ransomware wykorzystało jego Wannacry atak, którym zaatakował, jednocześnie dla firm i użytkowników szyfrujących swoje informacje i żądających w zamian zapłaty o minimalnej wartości 30 USD za uzyskanie hasła odzyskiwania informacji, które nie zawsze jest w 100% wiarygodne.

Podstawowym punktem ataku ransomware jest zaszyfrowanie wszystkich plików na komputerze, aby później zażądać pieniędzy w żądanym czasie, w przeciwnym razie pewna liczba plików zostanie wyeliminowana, a wartość do zapłaty wzrośnie:

Z tego powodu Solvetic dzisiaj szczegółowo przeanalizuje najlepsze aplikacje do odszyfrowania zagrożonych plików i odzyskania największej liczby plików, uzyskując ich integralność i dostępność.

Przed użyciem tych narzędzi musimy wziąć pod uwagę następujące kwestie:

  • Każdy rodzaj szyfrowania ma inny rodzaj szyfrowania, dlatego musimy zidentyfikować rodzaj ataku, aby użyć odpowiedniego narzędzia.
  • Korzystanie z każdego narzędzia ma inny poziom instrukcji, dla których musimy szczegółowo przeanalizować witrynę dewelopera.

RakhniDeszyfrator

Opracowana przez jedną z najlepszych firm zajmujących się bezpieczeństwem, taką jak Kaspersky Lab, aplikacja ta została opracowana w celu odszyfrowania niektórych z najsilniejszych rodzajów ataków ransomware.

Niektóre typy złośliwego oprogramowania atakowane przez RakhniDecryptor to:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman w wersji 3 i 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Pamiętaj, że gdy ransomware atakuje i infekuje plik, edytuje jego rozszerzenie, dodając dodatkową linię w następujący sposób:

 Przed: plik.docx / po: plik.docx.locked Przed 1.docx / po 1.dochb15
Każde z wyżej wymienionych złośliwych programów ma serię załączników rozszerzeń, za pomocą których zaszyfrowany jest plik, którego dotyczy problem. Są to rozszerzenia, które należy znać, aby uzyskać bardziej szczegółową wiedzę na ich temat:

Trojan-Ransom.Win32.RakhniPosiada następujące rozszerzenia:

Trojan-Ransom.Win32.MorPosiada następujące rozszerzenie:
._krypta

Trojan-Ransom.Win32.AutoitPosiada następujące rozszerzenie:
<…

Trojan-Ransom.MSIL.LortokZawiera następujące rozszerzenia:

Trojan-Ransom.AndroidOS.PletorPosiada następujące rozszerzenie:

Trojan-Ransom.Win32.Agent.iihPosiada następujące rozszerzenie:
.+

Trojan-Ransom.Win32.CryFilePosiada następujące rozszerzenie:

Trojan-Ransom.Win32.DemocryPosiada następujące rozszerzenia:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman wersja 3Posiada następujące rozszerzenia:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman wersja 4Posiada następujące rozszerzenie:
. (nazwa i rozszerzenie nie ulegają zmianie)

Trojan-Ransom.Win32.LibraPosiada następujące rozszerzenia:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikPosiada następujące rozszerzenia:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopPosiada następujące rozszerzenie:

Trojan-Ransom.Win32.CrusisPosiada następujące rozszerzenie:

  • .ID. @… Xtbl
  • .ID. @… CrySiS
  • .id -. @… xtbl
  • .id -. @… portfel
  • .id -. @… dhrama
  • .id -. @… cebula
  • . @… Portfel
  • @… Dhrama
  • . @… Cebula

Trojan-Ransom.Win32. NemchiguPosiada następujące rozszerzenie:

Trojan-Ransom.Win32.LamerPosiada następujące rozszerzenia:

Trojan-Ransom.Win32.CryptokluchenPosiada następujące rozszerzenia:

Trojan-Ransom.Win32.RotorPosiada następujące rozszerzenia:

Trojan-Ransom.Win32.ChimeraPosiada następujące rozszerzenia:

Trojan-Ransom.Win32.AecHu
Posiada następujące rozszerzenia:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffPosiada następujące rozszerzenia:

  • .
  • .
  • .

Widzimy, że istnieje wiele rozszerzeń i najlepiej jest je mieć, aby szczegółowo zidentyfikować typ pliku, którego dotyczy problem.
Tę aplikację można pobrać pod następującym linkiem:

Po pobraniu wyodrębniamy zawartość i uruchamiamy plik na zainfekowanym komputerze, po czym zostanie wyświetlone następujące okno:

Możemy kliknąć linię Zmień parametry, aby określić, w jakich jednostkach ma być wykonywana analiza, np. dyski USB, dyski twarde czy dyski sieciowe. Tam klikniemy Rozpocznij skanowanie, aby rozpocząć analizę i odpowiednie odszyfrowanie plików, których dotyczy problem.

Notatka:Jeśli plik jest dotknięty rozszerzeniem _crypt, proces może potrwać do 100 dni, dlatego zaleca się cierpliwość.

Deszyfrator Rannoh

Jest to kolejna opcja oferowana przez firmę Kaspersky Lab, która koncentruje się na odszyfrowywaniu plików zaatakowanych przy użyciu szkodliwego oprogramowania Trojan-Ransom.Win32. Dodatkowo może wykrywać złośliwe oprogramowanie, takie jak Fury, Cryakl, AutoIt, Polyglot aka Marsjoke i Crybola.

Aby zidentyfikować rozszerzenia, których dotyczy to oprogramowanie ransomware, musimy pamiętać o następujących kwestiach:

Trojan-Ransom.Win32.RannohRozszerzenia dodawane przez to złośliwe oprogramowanie to:
.

Trojan-Ransom.Win32.CryaklWraz z tą infekcją będziemy mieli następujące rozszerzenie:
. {CRYPTENDBLACKDC} (Ten tag zostanie dodany na końcu pliku)

Trojan-Ransom.Win32.AutoItAtak ten atakuje serwery pocztowe i ma następującą składnię:
@_.

Trojan-Ransom.Win32.CryptXXXPo zainfekowaniu tym ransomware będziemy mieli dowolne z następujących rozszerzeń:

  • .krypta
  • .krypz
  • .kryp1

To narzędzie można pobrać pod następującym linkiem:

Podczas wyodrębniania pliku wykonywalnego wystarczy uruchomić plik i kliknąć przycisk Rozpocznij skanowanie, aby rozpocząć proces analizy i odszyfrowywania plików, których dotyczy problem.

WanaKiwi

To proste, ale przydatne narzędzie oparte jest na wanadecrypt, które pozwala nam wykonywać następujące zadania:

  • Odszyfruj zainfekowane pliki
  • Pobierz klucz prywatny użytkownika, aby później zapisać go jako 00000000.dky.
To narzędzie wykorzystuje metodę ekstrakcji liczb pierwszych, która zapewnia możliwość pobrania liczb pierwszych, które nie zostały oczyszczone podczas procesu CryptReleaseContext(). Wykonanie tego narzędzia opiera się na wierszu poleceń, a jego składnia będzie następująca:
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
W tej składni identyfikator PID jest opcjonalny, ponieważ Wanakiwi będzie szukać identyfikatorów PID w dowolnym z następujących procesów:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi można pobrać pod następującym linkiem:

Wanakiwi jest kompatybilne tylko z następującymi systemami operacyjnymi, Windows XP, Windows Vista, Windows 7, Windows Server 2003 i 2008. Należy pamiętać, że Wanakiwi opiera swój proces na skanowaniu przestrzeni, które zostały wygenerowane przez te klucze. W przypadku ponownego uruchomienia komputera po infekcji lub wyeliminowania procesu, najprawdopodobniej Wanakiwi nie będzie w stanie poprawnie wykonać swojego zadania.

Emsisoft

Firma Emsisoft opracowała różne typy dekrypterów do ataków złośliwego oprogramowania, takie jak:

  • Zły blok
  • Apokalipsa
  • Xorist
  • ApocalypseVM
  • Wytłoczony
  • Fabianomware
  • Filadelfia
  • Al-Namrood
  • FenixLocker
  • Globus (wersja 1, 2 i 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Amnezja (wersja 1 i 2)
Każde z tych narzędzi można pobrać pod następującym linkiem:

Niektóre z rozszerzeń, które znajdziemy z:

Amnezja:Jest to jeden z najczęstszych ataków, jest napisany w Delphi i szyfruje pliki przy użyciu AES-256 i dodaje rozszerzenie *.amnesia na końcu zainfekowanego pliku. Amnesia dodaje infekcję do rejestru Windows, aby była uruchamiana przy każdym logowaniu.

 HKEY_CURRENT_USER \ OPROGRAMOWANIE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

płacz128:Cey128 opiera swój atak na połączeniach RDP i szyfruje pliki przy użyciu niestandardowych wersji AES i RSA.
Zainfekowane pliki będą miały następujące rozszerzenia:

  • .fgb45ft3pqamyji7.cebula.to._
  • .id__gebdp3k7bolalnd4.cebula._
  • .id__2irbar3mjvbap6gt.cebula.to._
  • .id -_ [qg6m5wo7h3id55ym.cebula.to] .63vc4

Płacz9:Cry9 to zaawansowana wersja ransomware CryptON, która przeprowadza ataki przez połączenia RDP przy użyciu algorytmów szyfrowania AES, RSA i SHA-512.
Pliki zainfekowane Cry9 będą miały następujące rozszerzenia:

Szkoda:To ransomware zostało napisane w Delphi przy użyciu algorytmów SHA-1 i Blowfish, szyfrując pierwsze i ostatnie 8 KB zaatakowanego pliku.

Pliki z tym rozszerzeniem mają rozszerzenie .damage.

CryptON
Jest to kolejne oprogramowanie ransomware, które przeprowadza swoje ataki przez RDP przy użyciu algorytmów RSA, AES-256 i SHA-256. Pliki dotknięte tym ransomware będą miały następujące rozszerzenia:

  • .id-_zablokowany
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

W poniższym linku możemy zobaczyć szczegółowe informacje na temat różnych rozszerzeń innych typów oprogramowania ransomware, które atakuje Emsisoft:

Narzędzie do odszyfrowywania Avast

Innym liderem w rozwoju oprogramowania zabezpieczającego jest Avast, który oprócz narzędzi antywirusowych oferuje nam wiele narzędzi do odszyfrowywania plików w naszym systemie, które zostały zaatakowane przez różne rodzaje oprogramowania ransomware.

Dzięki Avast Decryptor Tool możemy radzić sobie z różnymi rodzajami oprogramowania ransomware, takimi jak:

  • Bart: Dodaj rozszerzenie .bart.zip do zainfekowanych plików
  • AES_NI: Dodaj rozszerzenia .aes_ni, .aes256 i .aes_ni_0day do zainfekowanych plików przy użyciu 256-bitowego szyfrowania AES.
  • Alcatraz. Dodaj rozszerzenie Alcatraz przy użyciu 256-bitowego szyfrowania AES-256.
  • Apokalipsa: Dodaj rozszerzenia .encrypted, .FuckYourData, .locked, .Encryptedfile lub .SecureCrypted do zainfekowanych plików.
  • Crypt888: Dodaj rozszerzenie blokady. Na początku zainfekowanego pliku
  • CryptopMix_: Dodaj rozszerzenia .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd do plików przy użyciu 256-bitowego szyfrowania AES
  • EncriptTile: Dodaj słowo encriptTile gdzieś w pliku.
  • BadBlock: to ransomware nie dodaje rozszerzeń, ale wyświetla komunikat o nazwie Help Decrypt.html.
  • FindZip: Dodaj rozszerzenie .crypt do plików, których dotyczy problem, zwłaszcza w środowiskach macOS.
  • Jigsaw: To oprogramowanie ransomware dodaje dowolne z następujących rozszerzeń do zaatakowanych plików .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org lub .gefickt.
  • Legion: Dodaj rozszerzenia ._23-06-2016-20-27-23_ $f_tactics @ aol.com $ .legion lub $ Centurion_legion @ aol.com $ .cbf do zainfekowanych plików.
  • XData: Dodaj rozszerzenie ~ Xdata ~ do zaszyfrowanych plików.

Aby pobrać niektóre narzędzia dla każdego z tych typów oprogramowania ransomware, możemy odwiedzić następujący link:

Notatka:Znajdziemy tam kilka innych dodatkowych typów ataków.

Narzędzia do odszyfrowywania oprogramowania AVG Ransomware

Nie jest tajemnicą dla nikogo, że inną z wiodących firm zajmujących się bezpieczeństwem jest AVG, która pozwala nam pobrać za darmo wiele narzędzi, które zostały opracowane specjalnie do następujących rodzajów ataków:

Rodzaje ataków

  • Apocalypse: Ten atak dodaje rozszerzenia .encrypted, .FuckYourData, .locked, .Encryptedfile lub .SecureCrypted do zaatakowanych plików.
  • Badblock: Dodaj wiadomość Help Decrypt.html do zainfekowanego komputera.
  • Bart: ten atak dodaje rozszerzenie .bart.zip do zainfekowanych plików.
  • Crypt888: Dodaj rozszerzenie Lock na początku zainfekowanych plików.
  • SZFLocker: To oprogramowanie ransomware dodaje do plików rozszerzenie .szf
  • TeslaCrypt: Ten typ ataku nie szyfruje plików, ale wyświetla następujący komunikat po zaszyfrowaniu plików.

Niektóre z tych narzędzi można pobrać pod poniższym linkiem.

NoMoreRansom

Ta aplikacja została zaprojektowana wspólnie przez firmy takie jak Intel, Kaspersky i Europool i koncentruje się na opracowywaniu i tworzeniu narzędzi, które są ukierunkowane na ataki ransomware, takie jak:

Rodzaje ataków

  • Rakhni: To narzędzie odszyfrowuje pliki dotknięte przez Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) w wersji 3 i 4 .
  • Mole: szyfruje pliki z rozszerzeniem mol
  • Płacz128
  • BTC
  • Płacz9
  • Szkoda
  • Alcatraz
  • Bart wśród wielu innych.

W poniższym linku możemy pobrać każde z tych narzędzi i szczegółowo poznać ich wpływ na pliki:

Wiele z tych aplikacji jest, jak już wspomnieliśmy, opracowywanych we współpracy z innymi firmami.

W ten sposób mamy wiele opcji przeciwdziałania atakom ransomware i udostępnianie naszych plików.

wave wave wave wave wave