Bedste værktøjer til at dekryptere Ransomware

Bedste værktøjer til at dekryptere Ransomware
Indholdsfortegnelse

I en verden, der konstant er online, og hvor vi dagligt skal indtaste flere følsomme oplysninger, er vi ikke modtagelige for at falde i hænderne på angribere, og som bevis på dette kunne vi for nylig verificere, hvordan ransomware brugte sin Wannacry angreb, som den angreb med. Samtidig med, at virksomheder og brugere krypterer deres oplysninger og kræver en betaling i bytte, med en minimumsværdi på USD 30, for at få adgangskoden til informationsgendannelse, som ikke altid er 100% pålidelig.

Det grundlæggende punkt i ransomware -angrebet består i at kryptere alle filerne på computeren for senere at kræve pengene på en anmodet tid, ellers elimineres et bestemt antal filer, og værdien, der skal betales, stiger:

Af denne grund vil Solvetic i dag analysere detaljeret de bedste applikationer til at dekryptere de berørte filer og gendanne det største antal filer og opnå deres integritet og tilgængelighed.

Inden vi bruger disse værktøjer, skal vi tage følgende i betragtning:

  • Hver type kryptering har en anden type kryptering, så vi skal identificere angrebstypen for at bruge det relevante værktøj.
  • Brugen af ​​hvert værktøj har et andet niveau af instruktioner, som vi skal analysere udviklerens websted i detaljer.

RakhniDecryptor

Denne applikation er udviklet af et af de bedste sikkerhedsselskaber som Kaspersky Lab og er udviklet for at dekryptere nogle af de stærkeste typer ransomware -angreb.

Nogle af de typer malware, som RakhniDecryptor angriber, er:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman version 3 og 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Husk, at når ransomware angriber og inficerer en fil, redigerer den dens udvidelse ved at tilføje en ekstra linje som følger: 

 Før: file.docx / after: file.docx.locked Før 1.docx / efter 1.dochb15
Hver af de førnævnte malware har en række udvidelsesvedhæftninger, som den berørte fil er krypteret med. Disse er disse udvidelser, som det er vigtigt at kende for at have et mere detaljeret kendskab til dem:

Trojan-Ransom.Win32.RakhniDet har følgende udvidelser:

Trojan-Ransom.Win32.MorDet har følgende udvidelse:
._crypt

Trojan-Ransom.Win32.AutoitDet har følgende udvidelse:
<…

Trojan-Ransom.MSIL.LortokInkluderer følgende udvidelser:

Trojan-Ransom.AndroidOS.PletorDet har følgende udvidelse:

Trojan-Ransom.Win32.Agent.iihDet har følgende udvidelse:
.+

Trojan-Ransom.Win32.CryFileDet har følgende udvidelse:

Trojan-Ransom.Win32.DemocryDet har følgende udvidelser:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman version 3Det har følgende udvidelser:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman version 4Det har følgende udvidelse:
. (navn og udvidelse påvirkes ikke)

Trojan-Ransom.Win32.LibraDet har følgende udvidelser:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikDet har følgende udvidelser:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopDet har følgende udvidelse:

Trojan-Ransom.Win32.CrusisDet har følgende udvidelse:

  • .ID. @… Xtbl
  • .ID. @… CrySiS
  • .id -. @… xtbl
  • .id -. @… tegnebog
  • .id -. @… dhrama
  • .id -. @… løg
  • . @… Pung
  • . @… Dhrama
  • . @… Løg

Trojan-Ransom.Win32. NemchigDet har følgende udvidelse:

Trojan-Ransom.Win32.LamerDet har følgende udvidelser:

Trojan-Ransom.Win32.CryptokluchenDet har følgende udvidelser:

Trojan-Ransom.Win32.RotorDet har følgende udvidelser:

Trojan-Ransom.Win32.ChimeraDet har følgende udvidelser:

Trojan-Ransom.Win32.AecHu
Det har følgende udvidelser:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffDet har følgende udvidelser:

  • .
  • .
  • .

Vi kan se, at der er en del udvidelser, og det er ideelt at have dem til stede for detaljeret at identificere den berørte filtype.
Denne applikation kan downloades på følgende link:

Når den er downloadet, udtrækker vi indholdet og kører filen på den inficerede computer, og følgende vindue vises:

Vi kan klikke på linjen Skift parametre for at definere i hvilken type enheder analysen skal udføres, f.eks. USB -drev, harddiske eller netværksdrev. Der klikker vi på Start scanning for at starte analysen og den respektive dekryptering af de berørte filer.

Bemærk:Hvis en fil påvirkes af _crypt -udvidelsen, kan processen tage op til 100 dage, så det anbefales at have tålmodighed.

Rannoh Decryptor

Dette er en anden af ​​de muligheder, der tilbydes af Kaspersky Lab, som er fokuseret på dekryptering af filer, der er blevet angrebet med Trojan-Ransom.Win32 malware. Yderligere kan opdage malware som Fury, Cryakl, AutoIt, Polyglot aka Marsjoke og Crybola.

For at identificere de udvidelser, der påvirkes af denne ransomware, skal vi huske på følgende:

Trojan-Ransom.Win32.RannohDe udvidelser, som denne malware tilføjer, er:
.

Trojan-Ransom.Win32.CryaklMed denne infektion vil vi have følgende udvidelse:
. {CRYPTENDBLACKDC} (Dette tag tilføjes til slutningen af ​​filen)

Trojan-Ransom.Win32.AutoItDette angreb påvirker mailservere og har følgende syntaks:
@_.

Trojan-Ransom.Win32.CryptXXXNår vi er inficeret med denne ransomware, har vi en af ​​følgende udvidelser:

  • .crypt
  • .crypz
  • .cryp1

Dette værktøj kan downloades på følgende link:

Når du udpakker den eksekverbare fil, skal du bare køre filen og klikke på knappen Start scanning for at starte processen med at analysere og dekryptere de berørte filer.

WanaKiwi

Dette enkle, men nyttige værktøj er baseret på wanadecrypt, som giver os mulighed for at udføre følgende opgaver:

  • Dekrypter inficerede filer
  • Hent brugerens private nøgle for senere at gemme den som 00000000.dky.
Dette værktøj anvender Primes -ekstraktionsmetoden, som giver mulighed for at hente de primtal, der ikke blev ryddet op under CryptReleaseContext () -processen. Udførelsen af ​​dette værktøj er baseret på kommandolinjen, og dens syntaks vil være som følger: 
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
I denne syntaks er PID valgfri, da Wanakiwi vil lede efter PID'erne i en af ​​følgende processer:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi kan downloades på følgende link:

Wanakiwi er kun kompatibel med følgende operativsystemer, Windows XP, Windows Vista, Windows 7, Windows Server 2003 og 2008. Noget vigtigt at huske på er, at Wanakiwi baserer sin proces på at scanne de mellemrum, der er genereret af disse nøgler I tilfælde af at have genstartet computeren efter en infektion eller have fjernet en proces, er det højst sandsynligt, at Wanakiwi ikke vil være i stand til at udføre sin opgave korrekt.

Emsisoft

Emsisoft har udviklet forskellige typer dekryptere til malware -angreb som:

  • Badblock
  • Apokalyse
  • Xorist
  • ApocalypseVM
  • Stemplet
  • Fabiansomware
  • Philadelphia
  • Al-Namrood
  • FenixLocker
  • Globe (version 1, 2 og 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Amnesi (version 1 og 2)
Hvert af disse værktøjer kan downloades på følgende link:

Nogle af de udvidelser, vi finder med:

Amnesi:Det er et af de mest almindelige angreb, det er skrevet i Delphi og krypterer filerne ved hjælp af AES-256, og det tilføjer * .amnesia-udvidelsen til slutningen af ​​den inficerede fil. Amnesia tilføjer infektionen til Windows -registreringsdatabasen, så den kan udføres ved hvert login. 

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 baserer sit angreb på RDP -forbindelser og krypterer filer ved hjælp af brugerdefinerede versioner af AES og RSA.
De inficerede filer vil have følgende udvidelser:

  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 er den avancerede version af CryptON ransomware og udfører angreb via RDP-forbindelser ved hjælp af AES-, RSA- og SHA-512-krypteringsalgoritmer.
Filer inficeret med Cry9 har følgende udvidelser:

Skade:Denne ransomware er skrevet i Delphi ved hjælp af algoritmerne SHA-1 og Blowfish, der krypterer den første og sidste 8 Kb af den berørte fil.

Filer med denne udvidelse har filtypenavnet .damage.

CryptON
Det er en anden af ​​ransomware, der udfører sine angreb gennem RDP ved hjælp af RSA, AES-256 og SHA-256 algoritmer. Filerne, der er berørt af denne ransomware, har følgende udvidelser:

  • .id-_låst
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

I det følgende link kan vi se detaljerede oplysninger om de forskellige udvidelser af de andre typer ransomware, som Emsisoft angriber:

Avast dekrypteringsværktøj

En anden af ​​lederne i udviklingen af ​​sikkerhedssoftware er Avast, der bortset fra antivirusværktøjer tilbyder os flere værktøjer til at dekryptere filer på vores system, der er blevet påvirket af flere typer ransomware.

Takket være Avast Decryptor Tool kan vi håndtere forskellige former for ransomware som:

  • Bart: Tilføj udvidelsen .bart.zip til inficerede filer
  • AES_NI: Tilføj udvidelserne .aes_ni, .aes256 og .aes_ni_0day til inficerede filer ved hjælp af AES 256-bit kryptering.
  • Alcatraz. Tilføj Alcatraz-udvidelsen ved hjælp af AES-256 256-bit kryptering.
  • Apocalypse: Tilføj udvidelserne .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted til inficerede filer.
  • Crypt888: Tilføj låsens udvidelse. I begyndelsen af ​​den inficerede fil
  • CryptopMix_: Tilføj udvidelserne .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd til filer ved hjælp af AES 256-bit kryptering
  • EncriptTile: Tilføj ordet encripTile et sted i filen.
  • BadBlock: denne ransomware tilføjer ikke udvidelser, men viser en meddelelse kaldet Help Decrypt.html.
  • FindZip: Føj .crypt -udvidelsen til de berørte filer, især i macOS -miljøer.
  • Jigsaw: Denne ransomware tilføjer en af ​​følgende udvidelser til de berørte filer .kkk, .btc, .gws, .J, .crypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .crypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org eller .gefickt.
  • Legion: Tilføj udvidelserne ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion eller. $ Centurion_legion @ aol.com $ .cbf til inficerede filer.
  • XData: Tilføj udvidelsen. ~ Xdata ~ til krypterede filer.

For at downloade nogle af værktøjerne til hver af disse typer af ransomware kan vi besøge følgende link:

Bemærk:Der finder vi nogle andre yderligere angrebstyper.

AVG Ransomware dekrypteringsværktøjer

Det er ingen hemmelighed for nogen, at et andet af de førende sikkerhedsselskaber er AVG, som giver os mulighed for gratis at downloade flere værktøjer, der er udviklet specielt til følgende typer angreb:

Typer af angreb

  • Apocalypse: Dette angreb tilføjer udvidelserne .encrypted, .FuckYourData, .locked, .Cryptedfile eller .SecureCrypted til de berørte filer.
  • Badblock: Føj meddelelsen Help Decrypt.html til den inficerede computer.
  • Bart: Dette angreb tilføjer udvidelsen .bart.zip til de inficerede filer.
  • Crypt888: Tilføj udvidelsen Lock til begyndelsen af ​​de inficerede filer.
  • Legion: Dette angreb tilføjer til slutningen af ​​de berørte filer udvidelserne ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion eller. $ Centurion_legion @ aol.com $ .cbf
  • SZFLocker: Denne ransomware tilføjer .szf -udvidelse til filer
  • TeslaCrypt: Denne type angreb krypterer ikke filerne, men viser følgende meddelelse, når filerne er krypteret.

Nogle af disse værktøjer kan downloades på følgende link.

NoMoreRansom

Denne applikation er designet i fællesskab af virksomheder som Intel, Kaspersky og Europool og fokuserer på at udvikle og skabe værktøjer, der er fokuseret på ransomware -angreb som:

Typer af angreb

  • Rakhni: Dette værktøj dekrypterer filer, der er berørt af Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) version 3 og 4 .
  • Muldvarpe: Krypterer filer med muldvarpeudvidelsen
  • Græd128
  • BTC
  • Cry9
  • Skade
  • Alcatraz
  • Bart blandt mange andre.

I det følgende link kan vi downloade hvert af disse værktøjer og i detaljer vide, hvordan de påvirker filerne:

Mange af disse applikationer er, som vi har nævnt, udviklet i samarbejde med andre virksomheder.

På denne måde har vi flere muligheder for at modvirke ransomware -angreb og have vores filer til rådighed.

Du vil bidrage til udviklingen af ​​hjemmesiden, at dele siden med dine venner

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Sådan bruges iptables til at filtrere pakker på Linux
2
post-title
Sådan deaktiveres og fjernes Notch Pocophone F1
3
post-title
▷ Svarer til Control + Alt + Delete på Mac ✔️
4
post-title
▷ Sådan slukkes, genstartes eller tvinges genstart Samsung Galaxy S21, S21 Plus og S21 Ultra
5
post-title
Sådan gemmer du omslagsbillede fra YouTube -videoer

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -