В мире, который постоянно находится в сети и в котором мы должны ежедневно вводить множество деликатной информации, мы не подвержены попаданию в руки злоумышленников, и в качестве доказательства этого мы недавно могли проверить, как Ransomware использовал свою атаку Wannacry, с помощью которой я атакую таким образом, Одновременно компаниям и пользователям, которые шифруют свою информацию и требуют возврата платежа, минимальное значение составляет 30 долларов США, для получения пароля для поиска информации, который не всегда надежен на 100%.
Фундаментальный смысл атаки вымогателей заключается в шифровании всех файлов компьютера, чтобы впоследствии потребовать деньги в запрошенное время, иначе будет удалено определенное количество файлов и увеличится стоимость, которую нужно заплатить:
По этой причине Solvetic детально проанализирует лучшие приложения для расшифровки затронутых файлов и восстановления наибольшего количества файлов, получая их целостность и доступность.
Перед использованием этих инструментов мы должны принять во внимание следующее:
- Каждый тип шифрования имеет свой тип шифрования, поэтому мы должны определить тип атаки, чтобы использовать соответствующий инструмент.
- Использование каждого инструмента имеет различный уровень инструкций, поэтому мы должны детально проанализировать веб-сайт разработчика.
RakhniDecryptor
Это приложение, разработанное одной из лучших компаний в области безопасности, таким как «Лаборатория Касперского», было разработано для того, чтобы расшифровать некоторые из наиболее сильных типов атак вымогателей.
Вот некоторые из типов вредоносных программ, которые атакует RakhniDecryptor:
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.Bitman версии 3 и 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
Помните, что когда вымогатель атакует и заражает файл, отредактируйте его расширение, добавив дополнительную строку следующим образом:
До: файл doc.docx / после: файл doc.docx заблокирован До 1.docx / после 1.dochb15Каждое из упомянутых выше вредоносных программ имеет серию вложений расширений, с помощью которых зашифрованный файл шифруется, вот эти расширения, которые важно знать, чтобы иметь более подробные сведения о них:
Trojan-Ransom.Win32.Rakhni
Имеет следующие расширения:
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
Trojan-Ransom.Win32.Mor
Имеет следующее расширение:
._crypt
Trojan-Ransom.Win32.Autoit
Имеет следующее расширение:
<..
Trojan-Ransom.MSIL.Lortok
Включает в себя следующие расширения:
- ..
- ..
Trojan-Ransom.AndroidOS.Pletor
Имеет следующее расширение:
..
Trojan-Ransom.Win32.Agent.iih
Имеет следующее расширение:
. +
Trojan-Ransom.Win32.CryFile
Имеет следующее расширение:
..
Trojan-Ransom.Win32.Democry
Имеет следующие расширения:
- . +
- . +
Trojan-Ransom.Win32.Bitman версия 3
Имеет следующие расширения:
- ,
- ,
- ,
- ,
Trojan-Ransom.Win32.Bitman версия 4
Имеет следующее расширение:
, (имя и расширение не затрагиваются)
Trojan-Ransom.Win32.Libra
Имеет следующие расширения:
- ,
- ,
- ,
Trojan-Ransom.MSIL.Lobzik
Имеет следующие расширения:
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
Trojan-Ransom.Win32.Mircop
Имеет следующее расширение:
..
Trojan-Ransom.Win32.Crusis
Имеет следующее расширение:
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
- [электронная почта защищена]
Trojan-Ransom.Win32. Nemchig
Имеет следующее расширение:
..
Trojan-Ransom.Win32.Lamer
Имеет следующие расширения:
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
Trojan-Ransom.Win32.Cryptokluchen
Имеет следующие расширения:
- ..
- ..
- ..
Trojan-Ransom.Win32.Rotor
Имеет следующие расширения:
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
- ..
Trojan-Ransom.Win32.Chimera
Имеет следующие расширения:
- ..
- ..
Trojan-Ransom.Win32.AecHu
Имеет следующие расширения:
- ,
- ,
- ,
- ,
- ,
- ,
- ,
- ,
Trojan-Ransom.Win32.Jaff
Имеет следующие расширения:
- ,
- ,
- ,
Мы можем видеть, что существует довольно много расширений, и лучше всего помнить о них, чтобы детально определить тип затрагиваемого файла.
Это приложение можно скачать по следующей ссылке:
RakhniDecryptor
После загрузки мы извлекаем содержимое и запускаем файл на зараженном компьютере, после чего появится следующее окно:
Мы можем щелкнуть строку «Изменить параметры», чтобы определить, в каких типах устройств будет выполняться анализ, например, USB-накопители, жесткие диски или сетевые накопители. Там мы нажмем Начать проверку, чтобы начать анализ и соответствующую расшифровку поврежденных файлов.
Примечание:
Если на какой-либо файл распространяется расширение _crypt, этот процесс может занять до 100 дней, поэтому рекомендуется набраться терпения.
Rannoh Decryptor
Это еще одна из опций, предлагаемых «Лабораторией Касперского», которая занимается расшифровкой файлов, которые были атакованы вредоносным ПО Trojan-Ransom.Win32. Дополнительный может обнаружить вредоносные программы, такие как Fury, Cryakl, AutoIt, Polyglot aka Marsjoke и Crybola.
Чтобы определить расширения, затронутые этим вымогателем, мы должны помнить следующее:
Trojan-Ransom.Win32.Rannoh
Расширения, которые добавляет эта вредоносная программа:
,
Trojan-Ransom.Win32.Cryakl
С этой инфекцией у нас будет следующее расширение:
, {CRYPTENDBLACKDC} (этот тег будет добавлен в конец файла)
Trojan-Ransom.Win32.AutoIt
Эта атака затрагивает почтовые серверы и имеет следующий синтаксис:
@_.
Trojan-Ransom.Win32.CryptXXX
При заражении этим вымогателем у нас будет одно из следующих расширений:
- .crypt
- .crypz
- .cryp1
Этот инструмент можно скачать по следующей ссылке:
Rannoh Decryptor
При извлечении исполняемого файла просто запустите файл и нажмите кнопку «Начать проверку», чтобы начать процесс анализа и расшифровки уязвимых файлов.
WanaKiwi
Этот простой, но полезный инструмент основан на wanadecrypt, который позволяет нам выполнять следующие задачи:
- Расшифровать зараженные файлы
- Восстановите закрытый ключ пользователя и затем сохраните его как 00000000.dky.
wanakiwi.exe [/pid:PID|/Proceso:programa.exe]
В этом синтаксисе PID является необязательным, поскольку Wanakiwi будет искать PID в любом из следующих процессов:
- Wnry.exe
- Wcry.exe
- Data_1.exe
- Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- Tasksche.exe
Wanakiwi можно скачать по следующей ссылке:
Wanakiwi
Wanakiwi совместим только со следующими операционными системами: Windows XP, Windows Vista, Windows 7, Windows Server 2003 и 2008. Важно помнить, что Wanakiwi основывает свой процесс на сканировании пространств, созданных этими ключами. В случае перезапуска оборудования после заражения или максимально возможного устранения процесса, Wanakiwi не может правильно выполнить свою задачу.
Emsisoft
Emsisoft разработал различные типы расшифровщиков для атак вредоносных программ, таких как:
- BadBlock
- apocalyse
- Xorist
- ApocalypseVM
- Я stampado
- Fabiansomware
- Филадельфия
- Al-Namrood
- FenixLocker
- Глобус (версия 1, 2 и 3)
- OzozaLocker
- GlobeImposter
- NMoreira
- CryptON Cry128
- Амнезия (версия 1 и 2)
Emsisoft
Некоторые из расширений, которые мы найдем с:
амнезия:
Это одна из самых распространенных атак, она написана на Delphi и шифрует файлы с использованием AES-256, и это добавляет расширение * .amnesia к концу зараженного файла. Amnesia добавляет инфекцию в реестр Windows, чтобы она выполнялась при каждом входе в систему.
HKEY_CURRENT_USER \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Cry128:
Cey128 основывает свою атаку на RDP-соединениях и шифрует файлы с использованием пользовательских версий AES и RSA.
Зараженные файлы будут иметь следующие расширения:
- .fgb45ft3pqamyji7.onion.to._
- .id__gebdp3k7bolalnd4.onion._
- .id__2irbar3mjvbap6gt.onion.to._
- .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4
Cry9:
Cry9 является усовершенствованной версией вымогателя CryptON и выполняет атаки через RDP-соединения с использованием алгоритмов шифрования AES, RSA и SHA-512.
Файлы, зараженные Cry9, будут иметь следующие расширения:
- .-juccy [a] protonmail.ch.
- .id-
- .id -_ [ [электронная почта защищена] ] .xj5v2
- .id-_r9oj
- .id-_x3m
- .id -_ [ [электронная почта защищена] ] _ [ [электронная почта защищена] ] .x3m
- .-sofia_lobster [a] protonmail.ch
- ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6
повреждения:
Этот вымогатель написан на Delphi с использованием алгоритмов SHA-1 и Blowfish, зашифровывая первые и последние 8 Кб уязвимого файла.
Файлы с этим расширением имеют расширение .damage.
криптон
Это еще один вымогатель, который осуществляет свои атаки через RDP с использованием алгоритмов RSA, AES-256 и SHA-256. Файлы, затронутые указанным вымогателем, будут иметь следующие расширения:
- .id-_locked
- .id-_locked_by_krec
- .id-_locked_by_perfect
- .id-_x3m
- .id-_r9oj
- [электронная почта защищена]
- [электронная почта защищена] _
- [электронная почта защищена]
- [электронная почта защищена] _
- [электронная почта защищена] _
По следующей ссылке мы можем увидеть подробную информацию о различных расширениях других типов вымогателей, на которые Emsisoft атакует:
Emsisoft
Avast Decryptor Tool
Другим лидером в разработке программного обеспечения для безопасности является Avast, который, помимо антивирусных инструментов, предлагает нам несколько инструментов для расшифровки файлов в нашей системе, которые пострадали от различных типов вымогателей.
Благодаря Avast Decryptor Tool мы можем работать с различными типами вымогателей, такими как:
- Bart: добавьте расширение .bart.zip к зараженным файлам.
- AES_NI: Добавьте расширения .aes_ni, .aes256 и .aes_ni_0day к зараженным файлам с использованием 256-битного шифрования AES.
- Алькатрас. Добавьте расширение Alcatraz, используя 256-битное шифрование AES-256.
- Апокалипсис. Добавьте в зараженные файлы расширения .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted.
- Crypt888: добавьте расширение Lock. В начале зараженного файла
- CryptopMix_: Добавить расширения .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd к файлам с использованием 256-битного шифрования AES
- EncriptTile: добавьте слово encripTile где-нибудь в файле.
- BadBlock: этот вымогатель не добавляет расширения, но отображает сообщение под названием Help Decrypt.html.
- FindZip: добавьте расширение .crypt в затронутые файлы, особенно в среде MacOS.
- Jigsaw: этот вымогатель добавляет некоторые из следующих расширений в затронутые файлы .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, [электронная почта защищена] или .gefickt.
- Легион: добавьте к зараженным файлам расширения $ .legion или [защищен электронной почтой] $ .cbf.
- XData: добавьте расширение. ~ Xdata ~ к зашифрованным файлам.
Чтобы загрузить любой из инструментов для каждого из этих типов вымогателей, мы можем посетить следующую ссылку:
Инструмент расшифровки Avast
Примечание:
Там мы найдем несколько других видов дополнительной атаки.
Инструменты расшифровки AVG Ransomware
Ни для кого не секрет, что еще одной из ведущих компаний в области безопасности является AVG, которая позволяет нам бесплатно скачивать несколько инструментов, специально разработанных для следующих типов атак:
Типы атак
- Апокалипсис: эта атака добавляет к уязвимым файлам расширения .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted.
- Badblock: добавьте сообщение Help Decrypt.html на зараженный компьютер.
- Барт: Эта атака добавляет расширение .bart.zip в зараженные файлы.
- Crypt888: добавить расширение Lock в начало зараженных файлов.
- Легион: эта атака добавляет в конце затронутых файлов расширения [электронная почта защищена] $ .legion или [электронная почта защищена] $ .cbf
- SZFLocker: этот вымогатель добавляет расширение .szf в файлы
- TeslaCrypt: этот тип атаки не шифрует файлы, но отображает следующее сообщение после шифрования файлов.
Некоторые из этих инструментов можно скачать по следующей ссылке.
Инструменты расшифровки AVG Ransomware
NoMoreRansom
Это приложение было совместно разработано такими компаниями, как Intel, Kaspersky и Europool, и фокусируется на разработке и создании инструментов, предназначенных для атак вымогателей, таких как:
Типы атак
- Rakhni: этот инструмент расшифровывает файлы, на которые влияют Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lick, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версии 3 и 4,
- Крот: Шифрование файлов с расширением крота
- Cry128
- BTC
- Cry9
- повреждение
- Алькатрас
- Барт среди многих других.
По следующей ссылке мы можем скачать каждый из этих инструментов и подробно узнать, как они влияют на файлы:
NoMoreRanso
Как мы уже упоминали, многие из этих приложений разрабатываются совместно с другими компаниями.
Таким образом, у нас есть несколько вариантов противодействия атакам вымогателей и доступность наших файлов.
СТАТЬИ