Најбољи алати за дешифровање Рансомваре -а

Преглед садржаја

У свету који је стално на мрежи и у који свакодневно морамо уносити више осетљивих података, нисмо подложни падању у руке нападача, а као доказ за то недавно смо успели да проверимо како је рансомваре користио Ваннацри Истовремено компанијама и корисницима који шифрују њихове податке и захтевају плаћање у замену, минимална вредност је 30 УСД, за добијање лозинке за опоравак података, која није увек 100% поуздана.

Основна тачка напада рансомваре -а састоји се у шифровању свих датотека на рачунару како би се касније захтевао новац у захтеваном року или ће у супротном одређени број датотека бити елиминисан, а вредност коју треба платити ће се повећати:

Из тог разлога, данас ће Солветиц детаљно анализирати најбоље апликације за дешифровање захваћених датотека и опоравак највећег броја датотека, добивајући њихов интегритет и доступност.

Пре употребе ових алата морамо узети у обзир следеће:

  • Свака врста шифровања има другачији тип шифровања, па морамо да идентификујемо врсту напада да бисмо користили одговарајући алат.
  • Употреба сваког алата има различит ниво упутстава за које морамо детаљно анализирати веб локацију програмера.

РакхниДецриптор

Развијена од стране једне од најбољих безбедносних компанија, попут Касперски Лаб -а, ова апликација је развијена да би дешифровала неке од најјачих врста напада рансомваре -а.

Неке од врста злонамерног софтвера које напада РакхниДецриптор су:

  • Тројан-Рансом.Вин32.Ракхни
  • Тројан-Рансом.Вин32.Агент.иих
  • Тројан-Рансом.Вин32.Аутоит
  • Тројан-Рансом.Вин32.Аура
  • Тројан-Рансом.АндроидОС.Плетор
  • Тројан-Рансом.Вин32.Ротор
  • Тројан-Рансом.Вин32.Ламер
  • Тројан-Рансом.Вин32.Цриптоклуцхен
  • Тројан-Рансом.Вин32.Демоцри
  • Тројан-Рансом.Вин32.Битман верзија 3 и 4
  • Тројан-Рансом.Вин32.Либра
  • Тројан-Рансом.МСИЛ.Лобзик
  • Тројан-Рансом.МСИЛ.Лорток
  • Тројан-Рансом.Вин32.Цхимера
  • Тројан-Рансом.Вин32.ЦриФиле
  • Тројан-Рансом.Вин32.Немцхиг
  • Тројан-Рансом.Вин32.Мирцоп
  • Тројан-Рансом.Вин32.Мор
  • Тројан-Рансом.Вин32.Црусис
  • Тројан-Рансом.Вин32.АецХу
  • Тројан-Рансом.Вин32.Јафф

Запамтите да када рансомваре нападне и инфицира датотеку, он уређује њено проширење додавањем додатне линије на следећи начин:

 Пре: филе.доцк / афтер: филе.доцк.лоцкед Пре 1.доцк / после 1.доцхб15
Сваки од горе наведених злонамерних програма има низ додатака са екстензијама помоћу којих се датотека шифрира, то су ове екстензије које је важно знати како бисте о њима имали детаљније знање:

Тројан-Рансом.Вин32.РакхниИма следеће екстензије:

Тројан-Рансом.Вин32.МорИма следеће проширење:
._црипт

Тројан-Рансом.Вин32.АутоитИма следеће проширење:
<…

Тројан-Рансом.МСИЛ.ЛортокУкључује следеће додатке:

Тројан-Рансом.АндроидОС.ПлеторИма следеће проширење:

Тројан-Рансом.Вин32.Агент.иихИма следеће проширење:
.+

Тројан-Рансом.Вин32.ЦриФилеИма следеће проширење:

Тројан-Рансом.Вин32.ДемоцриИма следеће екстензије:

  • .+
  • .+

Тројан-Рансом.Вин32.Битман верзија 3Има следеће екстензије:

  • .
  • .
  • .
  • .

Тројан-Рансом.Вин32.Битман верзија 4Има следеће проширење:
. (име и проширење нису погођени)

Тројан-Рансом.Вин32.ЛибраИма следеће екстензије:

  • .
  • .
  • .

Тројан-Рансом.МСИЛ.ЛобзикИма следеће екстензије:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Тројан-Рансом.Вин32.МирцопИма следеће проширење:

Тројан-Рансом.Вин32.ЦрусисИма следеће проширење:

  • .ИД. @… Кстбл
  • .ИД. @… ЦриСиС
  • .ид -. @… ктбл
  • .ид -. @… новчаник
  • .ид -. @… дхрама
  • .ид -. @… лук
  • . @… Новчаник
  • . @… Дхрама
  • . @… Лук

Тројан-Рансом.Вин32. НемцхигИма следеће проширење:

Тројан-Рансом.Вин32.ЛамерИма следеће екстензије:

Тројан-Рансом.Вин32.ЦриптоклуцхенИма следеће екстензије:

Тројан-Рансом.Вин32.РоторИма следеће екстензије:

Тројан-Рансом.Вин32.ЦхимераИма следеће екстензије:

Тројан-Рансом.Вин32.АецХу
Има следеће екстензије:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Тројан-Рансом.Вин32.ЈаффИма следеће екстензије:

  • .
  • .
  • .

Видимо да постоји доста проширења и идеално је да буду присутни како би се детаљно идентификовала врста датотеке на коју се то односи.
Ова апликација се може преузети на следећем линку:

Након преузимања, издвајамо садржај и извршавамо датотеку на зараженом рачунару и приказаће се следећи прозор:

Можемо да кликнемо на линију Промени параметре да бисмо дефинисали у којој врсти јединица ће се извршити анализа, попут УСБ уређаја, чврстих дискова или мрежних дискова. Тамо ћемо кликнути на Покрени скенирање како бисмо започели анализу и одговарајуће дешифрирање захваћених датотека.

Белешка:Ако на датотеку утиче проширење _црипт, процес може потрајати до 100 дана, па се препоручује стрпљење.

Раннох Децриптор

Ово је још једна од опција коју нуди Касперски Лаб и која је фокусирана на дешифровање датотека које су нападнуте злонамерним софтвером Тројан-Рансом.Вин32. Додатни могу открити злонамерни софтвер попут Фури, Цриакл, АутоИт, Полиглот ака Марсјоке и Црибола.

Да бисмо идентификовали проширења на која утиче овај рансомваре, морамо имати на уму следеће:

Тројан-Рансом.Вин32.РаннохПроширења која овај злонамерни софтвер додаје су:
.

Тројан-Рансом.Вин32.ЦриаклСа овом инфекцијом имаћемо следеће проширење:
. {ЦРИПТЕНДБЛАЦКДЦ} (Ова ознака ће бити додата на крај датотеке)

Тројан-Рансом.Вин32.АутоИтОвај напад утиче на сервере поште и има следећу синтаксу:
@_.

Тројан-Рансом.Вин32.ЦриптКСКСКСКада смо заражени овим рансомваре -ом, имаћемо било које од следећих проширења:

  • .црипт
  • .црипз
  • .црип1

Овај алат можете преузети са следеће везе:

Приликом издвајања извршне датотеке само покрените датотеку и кликните на дугме Покрени скенирање да бисте започели процес анализе и дешифровања захваћених датотека.

ВанаКиви

Овај једноставан, али користан алат заснован је на ванадецрипт -у који нам омогућава да извршимо следеће задатке:

  • Дешифрујте заражене датотеке
  • Преузмите приватни кључ корисника да бисте га касније ускладиштили као 00000000.дки.
Овај алат користи метод екстракције Примес који пружа могућност преузимања простих бројева који нису очишћени током процеса ЦриптРелеасеЦонтект (). Извођење овог алата заснива се на командној линији и његова синтакса ће бити следећа:
 ванакиви.еке [/пид:ПИД|/Процесс:програма.еке]
У овој синтакси ПИД је опционалан јер ће Ванакиви тражити ПИД -ове у било ком од следећих процеса:
  • Внри.еке
  • Вцри.еке
  • Дата_1.еке
  • Ед01ебфбц9еб5ббеа545аф4д01бф5ф1071661840480439ц6е5бабе8е080е41аа.еке
  • Тасксцхе.еке

Ванакиви се може преузети на следећој вези:

Ванакиви је компатибилан само са следећим оперативним системима, Виндовс КСП, Виндовс Виста, Виндовс 7, Виндовс Сервер 2003 и 2008. Нешто важно треба имати на уму да Ванакиви свој процес заснива на скенирању простора које су генерисали ови кључеви У случају да поновног покретања рачунара након инфекције или уклањања процеса, највероватније је да Ванакиви неће моћи правилно да изврши свој задатак.

Емсисофт

Емсисофт је развио различите врсте декриптора за нападе злонамерног софтвера, као што су:

  • Бадблоцк
  • Апокализија
  • Ксорист
  • АпоцалипсеВМ
  • Печатирано
  • Фабиансомваре
  • Пхиладелпхиа
  • Ал-Намроод
  • ФеникЛоцкер
  • Глобе (верзија 1, 2 и 3)
  • ОзозаЛоцкер
  • ГлобеИмпостер
  • НМореира
  • ЦриптОН Цри128
  • Амнезија (верзија 1 и 2)
Сваки од ових алата може се преузети на следећој вези:

Нека од проширења која ћемо пронаћи са:

Амнезија:То је један од најчешћих напада, написан је у Делпхију и шифрира датотеке помоћу АЕС-256 и додаје екстензију * .амнесиа на крај заражене датотеке. Амнесиа додаје инфекцију у Виндовс регистар како би се извршила при сваком пријављивању.

 ХКЕИ_ЦУРРЕНТ_УСЕР \ СОФТВЕР \ Мицрософт \ Виндовс \ ЦуррентВерсион \ РунОнце

Цри128:Цеи128 заснива свој напад на РДП везама и шифрује датотеке користећи прилагођене верзије АЕС -а и РСА -е.
Заражене датотеке ће имати следеће наставке:

  • .фгб45фт3пкамији7.онион.то._
  • .ид__гебдп3к7болалнд4.онион._
  • .ид__2ирбар3мјвбап6гт.онион.то._
  • .ид -_ [кг6м5во7х3ид55им.онион.то] .63вц4

Цри9:Цри9 је напредна верзија ЦриптОН рансомваре-а и изводи нападе путем РДП веза користећи АЕС, РСА и СХА-512 алгоритме за шифровање.
Датотеке заражене Цри9 имаће следеће екстензије:

  • .-јуцци [а] протонмаил.цх.
  • .ид-
  • .ид -_ [немесис_децриптор@аол.цом] .кј5в2
  • .ид-_р9ој
  • .ид-_к3м
  • .ид -_ [к3м-про@протонмаил.цом] _ [к3м@уса.цом] .к3м
  • .-софиа_лобстер [то] протонмаил.цх
  • ._ [вкфхдгпделцгвв4г.онион.то] .р2ви6

Штета:Овај рансомваре је написан у Делпхи-у користећи СХА-1 и Бловфисх алгоритме, шифрирајући првих и посљедњих 8 Кб захваћене датотеке.

Датотеке са овим наставком имају наставак .дамаге.

ЦриптОН
То је још један од рансомвареа који своје нападе изводи путем РДП-а користећи РСА, АЕС-256 и СХА-256 алгоритме. Датотеке на које утиче овај рансомваре ће имати следеће екстензије:

  • .ид-_лоцкед
  • .ид-_лоцкед_би_крец
  • .ид-_лоцкед_би_перфецт
  • .ид-_к3м
  • .ид-_р9ој
  • .ид-_гарривебер @ протонмаил.цх
  • .ид-_стеавеивалкер @ индиа.цом_
  • .ид-_јулиа.цровн @ индиа.цом
  • .ид-_том.цруз @ индиа.цом_
  • .ид-_ЦарлосБолтехеро @ индиа.цом_

На следећој вези можемо видети детаљне информације о различитим проширењима других врста рансомваре -а које Емсисофт напада:

Аваст алатка за дешифровање

Још један од лидера у развоју сигурносног софтвера је Аваст који нам осим антивирусних алата нуди и више алата за дешифровање датотека на нашем систему на које је утицало више врста рансомвера.

Захваљујући Аваст Децриптор Тоол -у можемо се носити са различитим врстама рансомваре -а, као што су:

  • Барт: Додајте екстензију .барт.зип зараженим датотекама
  • АЕС_НИ: Додајте екстензије .аес_ни, .аес256 и .аес_ни_0даи зараженим датотекама помоћу 256-битног шифрирања АЕС.
  • Алцатраз. Додајте проширење Алцатраз користећи АЕС-256 256-битну енкрипцију.
  • Апокалипса: Додајте проширења .енцриптед, .ФуцкИоурДата, .лоцкед, .Енцриптедфиле или .СецуреЦриптед у заражене датотеке.
  • Црипт888: Додајте проширење Лоцк. На почетку заражене датотеке
  • ЦриптопМик_: Додајте проширења .ЦРИПТОСХИЕЛД, .рдмк, .лесли, .сцл, .цоде, .рмд у датотеке помоћу АЕС 256-битног шифровања
  • ЕнцриптТиле: Додајте реч енцрипТиле негде у датотеци.
  • БадБлоцк: овај рансомваре не додаје проширења, већ приказује поруку под називом Хелп Децрипт.хтмл.
  • ФиндЗип: Додајте проширење .црипт у захваћене датотеке, посебно у мацОС окружењима.
  • Слагалица: Овај рансомваре софтвер додаје било које од следећих проширења у погођене датотеке .ккк, .бтц, .гвс, .Ј, .енцриптед, .порно, .паирансом, .порнорансом, .епиц, .киз, .версиегелт, .енцриптед, .паиб, .паис, .паимс, .паимдс, .паимтс, .паимст, .паирмс, .паирмтс, .паимртс, .паибтцс, .фун, .хусх, .ук-деалер @ фолловинт.орг, или .гефицкт.
  • Легион: Додајте проширења ._23-06-2016-20-27-23_ $ ф_тацтицс @ аол.цом $ .легион или. $ Центурион_легион @ аол.цом $ .цбф у заражене датотеке.
  • КСДата: Додајте екстензију. ~ Ксдата ~ шифрованим датотекама.

Да бисте преузели неке од алата за сваку од ових врста рансомвареа, посетимо следећу везу:

Белешка:Тамо ћемо пронаћи неке друге додатне врсте напада.

АВГ Рансомваре Алати за дешифровање

Никоме није тајна да је још једна од водећих безбедносних компанија АВГ, што нам омогућава да бесплатно преузимамо више алата који су развијени посебно за следеће врсте напада:

Врсте напада

  • Апокалипса: Овај напад додаје датотеке са проширењима .енцриптед, .ФуцкИоурДата, .лоцкед, .Енцриптедфиле или .СецуреЦриптед.
  • Бадблоцк: Додајте поруку Хелп Децрипт.хтмл на заражени рачунар.
  • Барт: Овај напад додаје екстензију .барт.зип зараженим датотекама.
  • Црипт888: Додајте проширење Лоцк на почетак заражених датотека.
  • Легион: Овај напад додаје на крај захваћених датотека проширења ._23-06-2016-20-27-23_ $ ф_тацтицс @ аол.цом $ .легион или. $ Центурион_легион @ аол.цом $ .цбф
  • СЗФЛоцкер: Овај рансомваре додаје екстензију .сзф у датотеке
  • ТеслаЦрипт: Ова врста напада не шифрира датотеке, али приказује следећу поруку након што су датотеке шифроване.

Неки од ових алата могу се преузети на следећој вези.

НоМореРансом

Ову апликацију су заједнички осмислиле компаније као што су Интел, Касперски и Еуропоол и фокусира се на развој и креирање алата који су фокусирани на нападе рансомваре -а, као што су:

Врсте напада

  • Ракхни: Овај алат дешифрује датотеке на које утичу Јафф, КСДата, АЕС_НИ, Дхарма, Црисис, Цхимера, Ракхни, Агент.иих, Аура, Аутоит, Плетор, Ротор, Ламер, Лорток, Цриптоклуцхен, Демоцри, Битман (ТеслаЦрипт) верзије 3 и 4 .
  • Кртица: Шифрује датотеке са екстензијом кртица
  • Цри128
  • БТЦ
  • Цри9
  • Оштећење
  • Алцатраз
  • Барт између многих других.

На следећој вези можемо преузети сваки од ових алата и детаљно знати како они утичу на датотеке:

Многе од ових апликација су, као што смо поменули, развијене заједно са другим компанијама.

На овај начин имамо више опција за сузбијање напада рансомваре -а и имамо доступне датотеке.

wave wave wave wave wave