I en värld som ständigt är online och där vi måste ange flera känsliga uppgif.webpter dagligen är vi inte mottagliga för att falla i händerna på angripare och som bevis på detta kunde vi nyligen verifiera hur ransomware använde sin Wannacry samtidigt som företag och användare krypterar sin information och kräver en betalning i utbyte, med ett minimivärde på 30 USD för att få lösenordet för återställning av information, vilket inte alltid är 100% tillförlitligt.
Den grundläggande punkten med ransomware -attacken består i att kryptera alla filer på datorn för att senare kräva pengarna inom en begärd tid, annars elimineras ett visst antal filer och värdet som ska betalas ökar:
Av denna anledning kommer Solvetic idag att i detalj analysera de bästa programmen för att dekryptera de drabbade filerna och återställa det största antalet filer, för att få deras integritet och tillgänglighet.
Innan vi använder dessa verktyg måste vi ta hänsyn till följande:
- Varje typ av kryptering har en annan typ av kryptering, så vi måste identifiera typen av attack för att använda lämpligt verktyg.
- Användningen av varje verktyg har en annan nivå av instruktioner för vilka vi måste analysera utvecklarens webbplats i detalj.
RakhniDecryptor
Utvecklad av ett av de bästa säkerhetsföretagen som Kaspersky Lab, har denna applikation utvecklats för att dekryptera några av de starkaste typerna av ransomware -attacker.
Några av de typer av skadlig programvara som RakhniDecryptor attackerar är:
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.Bitman version 3 och 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
Kom ihåg att när ransomware attackerar och infekterar en fil, redigerar den dess tillägg genom att lägga till en extra rad enligt följande:
Innan: file.docx / after: file.docx.locked Före 1.docx / efter 1.dochb15Var och en av de tidigare nämnda skadliga programmen har en serie tilläggsbilagor som den berörda filen är krypterad med. Dessa är dessa tillägg som det är viktigt att veta för att få en mer detaljerad kunskap om dem:
Trojan-Ransom.Win32.RakhniDen har följande tillägg:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.MorDen har följande tillägg:
._krypta
Trojan-Ransom.Win32.AutoitDen har följande tillägg:
<…
Trojan-Ransom.MSIL.LortokInkluderar följande tillägg:
- …
- …
Trojan-Ransom.AndroidOS.PletorDen har följande tillägg:
…
Trojan-Ransom.Win32.Agent.iihDen har följande tillägg:
.+
Trojan-Ransom.Win32.CryFileDen har följande tillägg:
…
Trojan-Ransom.Win32.DemocryDen har följande tillägg:
- .+
- .+
Trojan-Ransom.Win32.Bitman version 3Den har följande tillägg:
- .
- .
- .
- .
Trojan-Ransom.Win32.Bitman version 4Den har följande tillägg:
. (namn och tillägg påverkas inte)
Trojan-Ransom.Win32.LibraDen har följande tillägg:
- .
- .
- .
Trojan-Ransom.MSIL.LobzikDen har följande tillägg:
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.MircopDen har följande tillägg:
…
Trojan-Ransom.Win32.CrusisDen har följande tillägg:
- .ID. @… Xtbl
- .ID. @… CrySiS
- .id -. @… xtbl
- .id -. @… plånbok
- .id -. @… dhrama
- .id -. @… lök
- . @… Plånbok
- . @… Dhrama
- . @… Lök
Trojan-Ransom.Win32. NemchigDen har följande tillägg:
…
Trojan-Ransom.Win32.LamerDen har följande tillägg:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.CryptokluchenDen har följande tillägg:
- …
- …
- …
Trojan-Ransom.Win32.RotorDen har följande tillägg:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.ChimeraDen har följande tillägg:
- …
- …
Trojan-Ransom.Win32.AecHu
Den har följande tillägg:
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.JaffDen har följande tillägg:
- .
- .
- .
Vi kan se att det finns ganska många tillägg och det är idealiskt att ha dem närvarande för att i detalj identifiera vilken typ av fil som påverkas.
Denna applikation kan laddas ner på följande länk:
När vi har laddat ner extraherar vi innehållet och kör filen på den infekterade datorn och följande fönster visas:
Vi kan klicka på raden Ändra parametrar för att definiera i vilken typ av enheter analysen ska köras, till exempel USB -enheter, hårddiskar eller nätverksenheter. Där klickar vi på Start scan för att starta analysen och respektive dekryptering av de berörda filerna.
Notera:Om en fil påverkas av tillägget _crypt kan processen ta upp till 100 dagar, så det rekommenderas att ha tålamod.
Rannoh Decryptor
Detta är ett annat av alternativen som erbjuds av Kaspersky Lab som är inriktat på att dekryptera filer som har attackerats med Trojan-Ransom.Win32-skadlig programvara. Ytterligare kan upptäcka skadlig kod som Fury, Cryakl, AutoIt, Polyglot aka Marsjoke och Crybola.
För att identifiera de tillägg som påverkas av denna ransomware måste vi tänka på följande:
Trojan-Ransom.Win32.RannohDe tillägg som denna skadliga program lägger till är:
.
Trojan-Ransom.Win32.CryaklMed denna infektion kommer vi att ha följande tillägg:
. {CRYPTENDBLACKDC} (Denna tagg läggs till i slutet av filen)
Trojan-Ransom.Win32.AutoItDenna attack påverkar postservrar och har följande syntax:
@_.
Trojan-Ransom.Win32.CryptXXXNär vi är infekterade med denna ransomware kommer vi att ha något av följande tillägg:
- .krypta
- .crypz
- .cryp1
Detta verktyg kan laddas ner på följande länk:
När du extraherar den körbara filen är det bara att köra filen och klicka på knappen Starta skanning för att starta analysen och dekrypteringen av de berörda filerna.
WanaKiwi
Detta enkla men användbara verktyg är baserat på wanadecrypt som gör att vi kan utföra följande uppgif.webpter:
- Dekryptera infekterade filer
- Hämta användarens privata nyckel för att senare lagra den som 00000000.dky.
wanakiwi.exe [/pid:PID|/Process:programa.exe]I denna syntax är PID valfritt eftersom Wanakiwi kommer att leta efter PID: erna i någon av följande processer:
- Wnry.exe
- Wcry.exe
- Data_1.exe
- Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- Tasksche.exe
Wanakiwi kan laddas ner på följande länk:
Wanakiwi är endast kompatibelt med följande operativsystem, Windows XP, Windows Vista, Windows 7, Windows Server 2003 och 2008. Något viktigt att tänka på är att Wanakiwi bygger sin process på att skanna de utrymmen som har genererats av dessa nycklar Om av att ha startat om datorn efter en infektion eller att ha eliminerat en process, är det troligt att Wanakiwi inte kommer att kunna utföra sin uppgif.webpt korrekt.
Emsisoft
Emsisoft har utvecklat olika typer av dekrypterare för malware -attacker såsom:
- Badblock
- Apokalys
- Xorist
- ApocalypseVM
- Stämplat
- Fabiansomware
- Philadelphia
- Al-Namrood
- FenixLocker
- Globe (version 1, 2 och 3)
- OzozaLocker
- GlobeImposter
- NMoreira
- CryptON Cry128
- Amnesi (version 1 och 2)
Några av de tillägg som vi hittar med:
Amnesi:Det är en av de vanligaste attackerna, den är skriven i Delphi och krypterar filerna med AES-256 och den lägger till * .amnesia-tillägget i slutet av den infekterade filen. Amnesia lägger till infektionen i Windows -registret för att den ska kunna köras vid varje inloggning.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Cry128:Cey128 baserar sin attack på RDP -anslutningar och krypterar filer med anpassade versioner av AES och RSA.
De infekterade filerna kommer att ha följande tillägg:
- .fgb45ft3pqamyji7.onion.to._
- .id__gebdp3k7bolalnd4.onion._
- .id__2irbar3mjvbap6gt.onion.to._
- .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4
Cry9:Cry9 är den avancerade versionen av CryptON-ransomware och utför attacker via RDP-anslutningar med AES-, RSA- och SHA-512-krypteringsalgoritmer.
Filer som är infekterade med Cry9 kommer att ha följande tillägg:
- .-juccy [a] protonmail.ch.
- .id-
- .id -_ [[email protected]] .xj5v2
- .id-_r9oj
- .id-_x3m
- .id -_ [[email protected]] _ [[email protected]] .x3m
- .-sofia_lobster [till] protonmail.ch
- ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6
Skada:Denna ransomware är skriven i Delphi med hjälp av algoritmerna SHA-1 och Blowfish, som krypterar den första och sista 8 Kb av den drabbade filen.
Filer med detta tillägg har tillägget .damage.
CryptON
Det är en annan av ransomware som utför sina attacker genom RDP med RSA, AES-256 och SHA-256 algoritmer. Filerna som påverkas av denna ransomware kommer att ha följande tillägg:
- .id-_låst
- .id-_locked_by_krec
- .id-_locked_by_perfect
- .id-_x3m
- .id-_r9oj
- .id-_garryweber @ protonmail.ch
- .id-_steaveiwalker @ india.com_
- .id-_julia.crown @ india.com
- .id-_tom.cruz @ india.com_
- .id-_CarlosBoltehero @ india.com_
I följande länk kan vi se detaljerad information om de olika tilläggen för de andra typerna av ransomware som Emsisoft attackerar:
Avast Decryptor Tool
En annan av ledarna inom utvecklingen av säkerhetsprogramvara är Avast som, förutom antivirusverktyg, erbjuder oss flera verktyg för att dekryptera filer på vårt system som har påverkats av flera typer av ransomware.
Tack vare Avast Decryptor Tool kan vi hantera olika typer av ransomware som:
- Bart: Lägg till tillägget .bart.zip till infekterade filer
- AES_NI: Lägg till tilläggen .aes_ni, .aes256 och .aes_ni_0day till infekterade filer med AES 256-bitars kryptering.
- Alcatraz. Lägg till Alcatraz-tillägget med AES-256 256-bitars kryptering.
- Apocalypse: Lägg till tilläggen .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted till infekterade filer.
- Crypt888: Lägg till tillägget Lock. I början av den infekterade filen
- CryptopMix_: Lägg till tilläggen .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd till filer med AES 256-bitars kryptering
- EncriptTile: Lägg till ordet encripTile någonstans i filen.
- BadBlock: denna ransomware lägger inte till tillägg men visar ett meddelande som heter Help Decrypt.html.
- FindZip: Lägg till .crypt -tillägget till de drabbade filerna, särskilt i macOS -miljöer.
- Jigsaw: Denna ransomware lägger till något av följande tillägg till de drabbade filerna .kkk, .btc, .gws, .J, .crypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .crypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org, eller .gefickt.
- Legion: Lägg till tilläggen ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion eller. $ Centurion_legion @ aol.com $ .cbf till infekterade filer.
- XData: Lägg till tillägget. ~ Xdata ~ till krypterade filer.
För att ladda ner några av verktygen för var och en av dessa typer av ransomware kan vi besöka följande länk:
Notera:Där kommer vi att hitta några andra ytterligare attacktyper.
AVG Ransomware -dekrypteringsverktyg
Det är ingen hemlighet för någon att ett annat av de ledande säkerhetsföretagen är AVG, vilket gör att vi kan ladda ner gratis flera verktyg som har utvecklats speciellt för följande typer av attacker:
Typer av attacker
- Apocalypse: Denna attack lägger till tilläggen .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted till de berörda filerna.
- Badblock: Lägg till Help Decrypt.html -meddelandet till den infekterade datorn.
- Bart: Denna attack lägger till tillägget .bart.zip till de infekterade filerna.
- Crypt888: Lägg till tillägget Lock till början av de infekterade filerna.
- Legion: Denna attack lägger till tillägget av de berörda filerna tilläggen ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion eller. $ Centurion_legion @ aol.com $ .cbf
- SZFLocker: Denna ransomware lägger till .szf -tillägg till filer
- TeslaCrypt: Denna typ av attack krypterar inte filerna utan visar följande meddelande när filerna är krypterade.
Några av dessa verktyg kan laddas ner på följande länk.
NoMoreRansom
Denna applikation har designats gemensamt av företag som Intel, Kaspersky och Europool och fokuserar på att utveckla och skapa verktyg som är inriktade på ransomware -attacker som:
Typer av attacker
- Rakhni: Detta verktyg dekrypterar filer som påverkas av Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) version 3 och 4 .
- Mullvad: Krypterar filer med mullvadstillägget
- Cry128
- BTC
- Cry9
- Skada
- Alcatraz
- Bart bland många andra.
I följande länk kan vi ladda ner alla dessa verktyg och i detalj veta hur de påverkar filerna:
Många av dessa applikationer är, som vi har nämnt, utvecklade i samarbete med andra företag.
På detta sätt har vi flera alternativ för att motverka ransomware -attacker och ha våra filer tillgängliga.