Лучшие инструменты для расшифровки вымогателей

В мире, который постоянно находится в сети и в котором мы должны ежедневно вводить множество деликатной информации, мы не подвержены попаданию в руки злоумышленников, и в качестве доказательства этого мы недавно могли проверить, как Ransomware использовал свою атаку Wannacry, с помощью которой я атакую ​​таким образом, Одновременно компаниям и пользователям, которые шифруют свою информацию и требуют возврата платежа, минимальное значение составляет 30 долларов США, для получения пароля для поиска информации, который не всегда надежен на 100%.

Фундаментальный смысл атаки вымогателей заключается в шифровании всех файлов компьютера, чтобы впоследствии потребовать деньги в запрошенное время, иначе будет удалено определенное количество файлов и увеличится стоимость, которую нужно заплатить:

По этой причине Solvetic детально проанализирует лучшие приложения для расшифровки затронутых файлов и восстановления наибольшего количества файлов, получая их целостность и доступность.

Перед использованием этих инструментов мы должны принять во внимание следующее:

• Каждый тип шифрования имеет свой тип шифрования, поэтому мы должны определить тип атаки, чтобы использовать соответствующий инструмент.

• Использование каждого инструмента имеет различный уровень инструкций, поэтому мы должны детально проанализировать веб-сайт разработчика.

RakhniDecryptor

Это приложение, разработанное одной из лучших компаний в области безопасности, таким как «Лаборатория Касперского», было разработано для того, чтобы расшифровать некоторые из наиболее сильных типов атак вымогателей.

Вот некоторые из типов вредоносных программ, которые атакует RakhniDecryptor:

• Trojan-Ransom.Win32.Rakhni
• Trojan-Ransom.Win32.Agent.iih
• Trojan-Ransom.Win32.Autoit
• Trojan-Ransom.Win32.Aura
• Trojan-Ransom.AndroidOS.Pletor
• Trojan-Ransom.Win32.Rotor
• Trojan-Ransom.Win32.Lamer
• Trojan-Ransom.Win32.Cryptokluchen
• Trojan-Ransom.Win32.Democry
• Trojan-Ransom.Win32.Bitman версии 3 и 4
• Trojan-Ransom.Win32.Libra
• Trojan-Ransom.MSIL.Lobzik
• Trojan-Ransom.MSIL.Lortok
• Trojan-Ransom.Win32.Chimera
• Trojan-Ransom.Win32.CryFile
• Trojan-Ransom.Win32.Nemchig
• Trojan-Ransom.Win32.Mircop
• Trojan-Ransom.Win32.Mor
• Trojan-Ransom.Win32.Crusis
• Trojan-Ransom.Win32.AecHu
• Trojan-Ransom.Win32.Jaff

Помните, что когда вымогатель атакует и заражает файл, отредактируйте его расширение, добавив дополнительную строку следующим образом:

 До: файл doc.docx / после: файл doc.docx заблокирован До 1.docx / после 1.dochb15 

Каждое из упомянутых выше вредоносных программ имеет серию вложений расширений, с помощью которых зашифрованный файл шифруется, вот эти расширения, которые важно знать, чтобы иметь более подробные сведения о них:

Trojan-Ransom.Win32.Rakhni

Имеет следующие расширения:

• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..

Trojan-Ransom.Win32.Mor

Имеет следующее расширение:
._crypt

Trojan-Ransom.Win32.Autoit

Имеет следующее расширение:
<..

Trojan-Ransom.MSIL.Lortok

Включает в себя следующие расширения:

• ..
• ..

Trojan-Ransom.AndroidOS.Pletor

Имеет следующее расширение:
..

Trojan-Ransom.Win32.Agent.iih

Имеет следующее расширение:
. +

Trojan-Ransom.Win32.CryFile

Имеет следующее расширение:
..

Trojan-Ransom.Win32.Democry

Имеет следующие расширения:

• . +
• . +

Trojan-Ransom.Win32.Bitman версия 3

Имеет следующие расширения:

• ,
• ,
• ,
• ,

Trojan-Ransom.Win32.Bitman версия 4

Имеет следующее расширение:
, (имя и расширение не затрагиваются)

Trojan-Ransom.Win32.Libra

Имеет следующие расширения:

• ,
• ,
• ,

Trojan-Ransom.MSIL.Lobzik

Имеет следующие расширения:

• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,

Trojan-Ransom.Win32.Mircop

Имеет следующее расширение:
..

Trojan-Ransom.Win32.Crusis

Имеет следующее расширение:

• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]
• [электронная почта защищена]

Trojan-Ransom.Win32. Nemchig

Имеет следующее расширение:
..

Trojan-Ransom.Win32.Lamer

Имеет следующие расширения:

• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..

Trojan-Ransom.Win32.Cryptokluchen

Имеет следующие расширения:

• ..
• ..
• ..

Trojan-Ransom.Win32.Rotor

Имеет следующие расширения:

• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..
• ..

Trojan-Ransom.Win32.Chimera

Имеет следующие расширения:

• ..
• ..

Trojan-Ransom.Win32.AecHu
Имеет следующие расширения:

• ,
• ,
• ,
• ,
• ,
• ,
• ,
• ,

Trojan-Ransom.Win32.Jaff

Имеет следующие расширения:

• ,
• ,
• ,

Мы можем видеть, что существует довольно много расширений, и лучше всего помнить о них, чтобы детально определить тип затрагиваемого файла.
Это приложение можно скачать по следующей ссылке:

RakhniDecryptor

После загрузки мы извлекаем содержимое и запускаем файл на зараженном компьютере, после чего появится следующее окно:

Мы можем щелкнуть строку «Изменить параметры», чтобы определить, в каких типах устройств будет выполняться анализ, например, USB-накопители, жесткие диски или сетевые накопители. Там мы нажмем Начать проверку, чтобы начать анализ и соответствующую расшифровку поврежденных файлов.

Примечание:

Если на какой-либо файл распространяется расширение _crypt, этот процесс может занять до 100 дней, поэтому рекомендуется набраться терпения.

Rannoh Decryptor

Это еще одна из опций, предлагаемых «Лабораторией Касперского», которая занимается расшифровкой файлов, которые были атакованы вредоносным ПО Trojan-Ransom.Win32. Дополнительный может обнаружить вредоносные программы, такие как Fury, Cryakl, AutoIt, Polyglot aka Marsjoke и Crybola.

Чтобы определить расширения, затронутые этим вымогателем, мы должны помнить следующее:

Trojan-Ransom.Win32.Rannoh

Расширения, которые добавляет эта вредоносная программа:
,

Trojan-Ransom.Win32.Cryakl

С этой инфекцией у нас будет следующее расширение:
, {CRYPTENDBLACKDC} (этот тег будет добавлен в конец файла)

Trojan-Ransom.Win32.AutoIt

Эта атака затрагивает почтовые серверы и имеет следующий синтаксис:
@_.

Trojan-Ransom.Win32.CryptXXX

При заражении этим вымогателем у нас будет одно из следующих расширений:

• .crypt
• .crypz
• .cryp1

Этот инструмент можно скачать по следующей ссылке:

Rannoh Decryptor

При извлечении исполняемого файла просто запустите файл и нажмите кнопку «Начать проверку», чтобы начать процесс анализа и расшифровки уязвимых файлов.

WanaKiwi

Этот простой, но полезный инструмент основан на wanadecrypt, который позволяет нам выполнять следующие задачи:

• Расшифровать зараженные файлы

• Восстановите закрытый ключ пользователя и затем сохраните его как 00000000.dky.

Этот инструмент использует метод извлечения простых чисел, который дает возможность восстановить простые числа, которые не были очищены во время процесса CryptReleaseContext (). Выполнение этого инструмента основано на командной строке, и его синтаксис будет следующим:

 wanakiwi.exe [/pid:PID|/Proceso:programa.exe] 

В этом синтаксисе PID является необязательным, поскольку Wanakiwi будет искать PID в любом из следующих процессов:

• Wnry.exe
• Wcry.exe
• Data_1.exe
• Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
• Tasksche.exe

Wanakiwi можно скачать по следующей ссылке:

Wanakiwi

Wanakiwi совместим только со следующими операционными системами: Windows XP, Windows Vista, Windows 7, Windows Server 2003 и 2008. Важно помнить, что Wanakiwi основывает свой процесс на сканировании пространств, созданных этими ключами. В случае перезапуска оборудования после заражения или максимально возможного устранения процесса, Wanakiwi не может правильно выполнить свою задачу.

Emsisoft

Emsisoft разработал различные типы расшифровщиков для атак вредоносных программ, таких как:

• BadBlock
• apocalyse
• Xorist
• ApocalypseVM
• Я stampado
• Fabiansomware
• Филадельфия
• Al-Namrood
• FenixLocker
• Глобус (версия 1, 2 и 3)
• OzozaLocker
• GlobeImposter
• NMoreira
• CryptON Cry128
• Амнезия (версия 1 и 2)

Каждый из этих инструментов можно скачать по следующей ссылке:

Emsisoft

Некоторые из расширений, которые мы найдем с:

амнезия:

Это одна из самых распространенных атак, она написана на Delphi и шифрует файлы с использованием AES-256, и это добавляет расширение * .amnesia к концу зараженного файла. Amnesia добавляет инфекцию в реестр Windows, чтобы она выполнялась при каждом входе в систему.

 HKEY_CURRENT_USER \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ RunOnce 

Cry128:

Cey128 основывает свою атаку на RDP-соединениях и шифрует файлы с использованием пользовательских версий AES и RSA.
Зараженные файлы будут иметь следующие расширения:

• .fgb45ft3pqamyji7.onion.to._
• .id__gebdp3k7bolalnd4.onion._
• .id__2irbar3mjvbap6gt.onion.to._
• .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:

Cry9 является усовершенствованной версией вымогателя CryptON и выполняет атаки через RDP-соединения с использованием алгоритмов шифрования AES, RSA и SHA-512.
Файлы, зараженные Cry9, будут иметь следующие расширения:

• .-juccy [a] protonmail.ch.
• .id-
• .id -_ [ [электронная почта защищена] ] .xj5v2
• .id-_r9oj
• .id-_x3m
• .id -_ [ [электронная почта защищена] ] _ [ [электронная почта защищена] ] .x3m
• .-sofia_lobster [a] protonmail.ch
• ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6

повреждения:

Этот вымогатель написан на Delphi с использованием алгоритмов SHA-1 и Blowfish, зашифровывая первые и последние 8 Кб уязвимого файла.

Файлы с этим расширением имеют расширение .damage.

криптон
Это еще один вымогатель, который осуществляет свои атаки через RDP с использованием алгоритмов RSA, AES-256 и SHA-256. Файлы, затронутые указанным вымогателем, будут иметь следующие расширения:

• .id-_locked
• .id-_locked_by_krec
• .id-_locked_by_perfect
• .id-_x3m
• .id-_r9oj
• [электронная почта защищена]
• [электронная почта защищена] _
• [электронная почта защищена]
• [электронная почта защищена] _
• [электронная почта защищена] _

По следующей ссылке мы можем увидеть подробную информацию о различных расширениях других типов вымогателей, на которые Emsisoft атакует:

Emsisoft

Avast Decryptor Tool

Другим лидером в разработке программного обеспечения для безопасности является Avast, который, помимо антивирусных инструментов, предлагает нам несколько инструментов для расшифровки файлов в нашей системе, которые пострадали от различных типов вымогателей.

Благодаря Avast Decryptor Tool мы можем работать с различными типами вымогателей, такими как:

• Bart: добавьте расширение .bart.zip к зараженным файлам.

• AES_NI: Добавьте расширения .aes_ni, .aes256 и .aes_ni_0day к зараженным файлам с использованием 256-битного шифрования AES.

• Алькатрас. Добавьте расширение Alcatraz, используя 256-битное шифрование AES-256.

• Апокалипсис. Добавьте в зараженные файлы расширения .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted.

• Crypt888: добавьте расширение Lock. В начале зараженного файла

• CryptopMix_: Добавить расширения .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd к файлам с использованием 256-битного шифрования AES

• EncriptTile: добавьте слово encripTile где-нибудь в файле.

• BadBlock: этот вымогатель не добавляет расширения, но отображает сообщение под названием Help Decrypt.html.

• FindZip: добавьте расширение .crypt в затронутые файлы, особенно в среде MacOS.

• Jigsaw: этот вымогатель добавляет некоторые из следующих расширений в затронутые файлы .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, [электронная почта защищена] или .gefickt.

• Легион: добавьте к зараженным файлам расширения $ .legion или [защищен электронной почтой] $ .cbf.

• XData: добавьте расширение. ~ Xdata ~ к зашифрованным файлам.

Чтобы загрузить любой из инструментов для каждого из этих типов вымогателей, мы можем посетить следующую ссылку:

Инструмент расшифровки Avast

Примечание:

Там мы найдем несколько других видов дополнительной атаки.

Инструменты расшифровки AVG Ransomware

Ни для кого не секрет, что еще одной из ведущих компаний в области безопасности является AVG, которая позволяет нам бесплатно скачивать несколько инструментов, специально разработанных для следующих типов атак:

Типы атак

• Апокалипсис: эта атака добавляет к уязвимым файлам расширения .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted.

• Badblock: добавьте сообщение Help Decrypt.html на зараженный компьютер.

• Барт: Эта атака добавляет расширение .bart.zip в зараженные файлы.

• Crypt888: добавить расширение Lock в начало зараженных файлов.

• Легион: эта атака добавляет в конце затронутых файлов расширения [электронная почта защищена] $ .legion или [электронная почта защищена] $ .cbf

• SZFLocker: этот вымогатель добавляет расширение .szf в файлы

• TeslaCrypt: этот тип атаки не шифрует файлы, но отображает следующее сообщение после шифрования файлов.

Некоторые из этих инструментов можно скачать по следующей ссылке.

Инструменты расшифровки AVG Ransomware

NoMoreRansom

Это приложение было совместно разработано такими компаниями, как Intel, Kaspersky и Europool, и фокусируется на разработке и создании инструментов, предназначенных для атак вымогателей, таких как:

Типы атак

• Rakhni: этот инструмент расшифровывает файлы, на которые влияют Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lick, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версии 3 и 4,

• Крот: Шифрование файлов с расширением крота

• Cry128

• BTC

• Cry9

• повреждение

• Алькатрас

• Барт среди многих других.

По следующей ссылке мы можем скачать каждый из этих инструментов и подробно узнать, как они влияют на файлы:

NoMoreRanso
Как мы уже упоминали, многие из этих приложений разрабатываются совместно с другими компаниями.

Таким образом, у нас есть несколько вариантов противодействия атакам вымогателей и доступность наших файлов.