Pasaulē, kas pastāvīgi atrodas tiešsaistē un kurā mums ikdienā jāievada vairākas sensitīvas informācijas, mēs neesam pakļauti uzbrucēju rokās, un kā pierādījumu tam nesen mēs varējām pārbaudīt, kā izpirkuma programmatūra izmantoja savu Wannacry Vienlaikus uzņēmumiem un lietotājiem, kuri šifrē savu informāciju un pieprasa samaksu apmaiņā pret minimālo vērtību USD 30, lai iegūtu informācijas atkopšanas paroli, kas ne vienmēr ir 100% uzticama.
Izpirkšanas programmatūras uzbrukuma būtiskākais punkts ir visu datora failu šifrēšana, lai vēlāk pieprasītajā laikā pieprasītu naudu, pretējā gadījumā noteikts skaits failu tiks dzēsti un maksājamā vērtība palielināsies:
Šī iemesla dēļ šodien Solvetic detalizēti analizēs labākās lietojumprogrammas, lai atšifrētu ietekmētos failus un atgūtu lielāko failu skaitu, iegūstot to integritāti un pieejamību.
Pirms šo rīku izmantošanas mums jāņem vērā:
- Katram šifrēšanas veidam ir atšķirīgs šifrēšanas veids, tāpēc mums ir jānosaka uzbrukuma veids, lai izmantotu atbilstošo rīku.
- Katra rīka izmantošanai ir atšķirīgs instrukciju līmenis, par kuru mums ir detalizēti jāanalizē izstrādātāja vietne.
RakhniDecryptor
Šo lietojumprogrammu ir izstrādājis viens no labākajiem drošības uzņēmumiem, piemēram, Kaspersky Lab, un tā ir izstrādāta, lai atšifrētu dažus no spēcīgākajiem izpirkuma programmatūras uzbrukumu veidiem.
Daži no RakhniDecryptor uzbrukumiem ir ļaunprātīgas programmatūras veidi:
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojas-izpirkuma maksa. Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- 32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.Bitman 3. un 4. versija
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
Atcerieties, ka, izpirkuma programmatūrai uzbrūkot un inficējot failu, tas rediģē tā paplašinājumu, pievienojot papildu rindu šādi:
Pirms: file.docx / after: file.docx.locked Pirms 1.docx / pēc 1.dochb15Katrai no iepriekš minētajām ļaunprātīgajām programmatūrām ir virkne paplašinājumu pielikumu, ar kuriem tiek šifrēts ietekmētais fails. Šie ir šie paplašinājumi, kas ir svarīgi zināt, lai iegūtu sīkāku informāciju par tiem:
Trojan-Ransom.Win32.RakhniTam ir šādi paplašinājumi:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.MorTam ir šāds paplašinājums:
._crypt
Trojan-Ransom.Win32.AutoitTam ir šāds paplašinājums:
<…
Trojan-Ransom.MSIL.LortokIetver šādus paplašinājumus:
- …
- …
Trojan-Ransom.AndroidOS.PletorTam ir šāds paplašinājums:
…
Trojan-Ransom.Win32.Agent.iihTam ir šāds paplašinājums:
.+
Trojan-Ransom.Win32.CryFileTam ir šāds paplašinājums:
…
Trojan-Ransom.Win32.DemocryTam ir šādi paplašinājumi:
- .+
- .+
Trojan-Ransom.Win32.Bitman 3. versijaTam ir šādi paplašinājumi:
- .
- .
- .
- .
Trojan-Ransom.Win32.Bitman versija 4Tam ir šāds paplašinājums:
. (vārds un paplašinājums netiek ietekmēti)
Trojan-Ransom.Win32.LibraTam ir šādi paplašinājumi:
- .
- .
- .
Trojan-Ransom.MSIL.LobzikTam ir šādi paplašinājumi:
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.MircopTam ir šāds paplašinājums:
…
Trojan-Ransom.Win32.CrusisTam ir šāds paplašinājums:
- .ID. @… Xtbl
- .ID. @… CrySiS
- .id -. @… xtbl
- .id -. @… maku
- .id -. @… dhrama
- .id -. @… sīpols
- .…… Maks
- @… Dhrama
- . @… Sīpols
Trojan-Ransom.Win32. NemčigsTam ir šāds paplašinājums:
…
32.LamerTam ir šādi paplašinājumi:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.CryptokluchenTam ir šādi paplašinājumi:
- …
- …
- …
Trojan-Ransom.Win32.RotorTam ir šādi paplašinājumi:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.ChimeraTam ir šādi paplašinājumi:
- …
- …
Trojan-Ransom.Win32.AecHu
Tam ir šādi paplašinājumi:
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.JaffTam ir šādi paplašinājumi:
- .
- .
- .
Mēs redzam, ka ir diezgan daudz paplašinājumu, un ir ideāli, ja tie ir klāt, lai detalizēti identificētu ietekmētā faila veidu.
Šo lietojumprogrammu var lejupielādēt, izmantojot šo saiti:
Pēc lejupielādes mēs iegūstam saturu un izpildām failu inficētajā datorā, un tiks parādīts šāds logs:
Mēs varam noklikšķināt uz rindas Mainīt parametrus, lai noteiktu, kāda veida vienībās jāveic analīze, piemēram, USB diskdziņi, cietie diski vai tīkla diskdziņi. Tur mēs noklikšķināsim uz Sākt skenēšanu, lai sāktu ietekmēto failu analīzi un attiecīgo atšifrēšanu.
Piezīme:Ja fails tiek ietekmēts ar paplašinājumu _crypt, process var ilgt līdz 100 dienām, tāpēc ieteicams būt pacietīgam.
Rannoh atšifrētājs
Šī ir vēl viena no Kaspersky Lab piedāvātajām iespējām, kas vērsta uz to failu atšifrēšanu, kuriem ir uzbrukts ļaunprātīga programmatūra Trojan-Ransom.Win32. Papildu var atklāt ļaunprātīgu programmatūru, piemēram, Fury, Cryakl, AutoIt, Polyglot aka Marsjoke un Crybola.
Lai identificētu paplašinājumus, kurus skārusi šī izpirkuma programmatūra, mums jāpatur prātā:
Trojan-Ransom.Win32.RannohŠīs ļaunprātīgās programmatūras pievienotie paplašinājumi ir:
.
Trojan-Ransom.Win32.CryaklAr šo infekciju mums būs šāds paplašinājums:
. {CRYPTENDBLACKDC} (šis tags tiks pievienots faila beigās)
Trojan-Ransom.Win32.AutoItŠis uzbrukums ietekmē pasta serverus, un tam ir šāda sintakse:
@_.
Trojan-Ransom.Win32.CryptXXXKad būsim inficēti ar šo izpirkuma programmatūru, mums būs kāds no šiem paplašinājumiem:
- .šifrēt
- .crypz
- .cryp1
Šo rīku var lejupielādēt, izmantojot šo saiti:
Izvelkot izpildāmo failu, vienkārši palaidiet failu un noklikšķiniet uz pogas Sākt skenēšanu, lai sāktu skarto failu analīzes un atšifrēšanas procesu.
WanaKiwi
Šī vienkāršā, bet noderīgā rīka pamatā ir wanadecrypt, kas ļauj mums veikt šādus uzdevumus:
- Atšifrēt inficētos failus
- Izgūstiet lietotāja privāto atslēgu, lai vēlāk to saglabātu kā 00000000.dky.
wanakiwi.exe [/pid:PID|/Process:programa.exe]Šajā sintaksē PID nav obligāts, jo Wanakiwi meklēs PID jebkurā no šiem procesiem:
- Wnry.exe
- Wcry.exe
- Data_1.exe
- Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- Tasksche.exe
Wanakiwi var lejupielādēt, izmantojot šo saiti:
Wanakiwi ir saderīgs tikai ar šādām operētājsistēmām: Windows XP, Windows Vista, Windows 7, Windows Server 2003 un 2008. Kaut kas svarīgs, kas jāpatur prātā, ir tas, ka Wanakiwi savu procesu pamato ar šo taustiņu radīto vietu skenēšanu. pēc datora restartēšanas pēc infekcijas vai procesa likvidēšanas, visticamāk, ka Wanakiwi nespēs pareizi veikt savu uzdevumu.
Emsisoft
Emsisoft ir izstrādājis dažāda veida atšifrētājus ļaunprātīgas programmatūras uzbrukumiem, piemēram:
- Badblock
- Apokalīze
- Xorist
- ApokalipseVM
- Apzīmogots
- Fabiansomware
- Filadelfija
- Al-Namrood
- FenixLocker
- Globuss (1., 2. un 3. versija)
- OzozaLocker
- GlobeImposter
- NMoreira
- CryptON Cry128
- Amnēzija (1. un 2. versija)
Daži paplašinājumi, kurus mēs atradīsim, izmantojot:
Amnēzija:Tas ir viens no visbiežāk sastopamajiem uzbrukumiem, tas ir rakstīts Delfos un šifrē failus, izmantojot AES-256, un inficētā faila beigās pievieno paplašinājumu * .amnesia. Amnēzija pievieno infekciju Windows reģistram, lai tā tiktu izpildīta katrā pieteikšanās reizē.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Cry128:Cey128 savu uzbrukumu pamato ar LAP savienojumiem un šifrē failus, izmantojot pielāgotas AES un RSA versijas.
Inficētajiem failiem būs šādi paplašinājumi:
- .fgb45ft3pqamyji7.onion.to._
- .id__gebdp3k7bolalnd4.onion._
- .id__2irbar3mjvbap6gt.onion.to._
- .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4
Cry9:Cry9 ir CryptON ransomware uzlabotā versija un veic uzbrukumus, izmantojot LAP savienojumus, izmantojot AES, RSA un SHA-512 šifrēšanas algoritmus.
Failiem, kas inficēti ar Cry9, būs šādi paplašinājumi:
- .-juccy [a] protonmail.ch.
- . id-
- .id -_ [[email protected]] .xj5v2
- .id-_r9oj
- .id-_x3m
- .id -_ [[email protected]] _ [[email protected]] .x3m
- .-sofia_lobster [uz] protonmail.ch
- ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6
Bojājumi:Šī izpirkuma programmatūra ir rakstīta Delphi, izmantojot SHA-1 un Blowfish algoritmus, šifrējot skartā faila pirmo un pēdējo 8 KB.
Failiem ar šo paplašinājumu ir paplašinājums .damage.
CryptON
Tā ir vēl viena izpirkuma programmatūra, kas savus uzbrukumus veic, izmantojot LAP, izmantojot RSA, AES-256 un SHA-256 algoritmus. Failiem, kurus ietekmē šī izpirkuma programmatūra, būs šādi paplašinājumi:
- .id-_slēgts
- .id-_locked_by_krec
- .id-_locked_by_perfect
- .id-_x3m
- .id-_r9oj
- .id-_garryweber @ protonmail.ch
- .id-_steaveiwalker @ india.com_
- .id-_julia.crown @ india.com
- .id-_tom.cruz @ india.com_
- .id-_CarlosBoltehero @ india.com_
Šajā saitē mēs varam redzēt detalizētu informāciju par dažādu veidu izpirkuma programmatūras paplašinājumiem, kuriem uzbrūk Emsisoft:
Avast atšifrēšanas rīks
Vēl viens no drošības programmatūras izstrādes līderiem ir Avast, kas papildus antivīrusu rīkiem piedāvā mums vairākus rīkus, lai atšifrētu mūsu sistēmā esošos failus, kurus ir skārusi vairāku veidu izpirkuma programmatūra.
Pateicoties Avast Decryptor Tool, mēs varam tikt galā ar dažāda veida izpirkuma programmatūru, piemēram:
- Barts: pievienojiet .bart.zip paplašinājumu inficētajiem failiem
- AES_NI: pievienojiet paplašinājumus .aes_ni, .aes256 un .aes_ni_0day inficētajiem failiem, izmantojot AES 256 bitu šifrēšanu.
- Alkatraza. Pievienojiet Alcatraz paplašinājumu, izmantojot AES-256 256 bitu šifrēšanu.
- Apokalipse: pievienojiet paplašinājumus .encrypted, .FuckYourData, .locked, .Encryptedfile vai .SecureCrypted inficētiem failiem.
- Crypt888: pievienojiet paplašinājumu Lock. Inficētā faila sākumā
- CryptopMix_: pievienojiet paplašinājumus .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd failiem, izmantojot AES 256 bitu šifrēšanu
- EncriptTile: pievienojiet vārdu encripTile kaut kur failā.
- BadBlock: šī izpirkuma programmatūra nepievieno paplašinājumus, bet parāda ziņojumu ar nosaukumu Help Decrypt.html.
- FindZip: pievienojiet paplašinājumu .crypt ietekmētajiem failiem, īpaši MacOS vidēs.
- Finierzāģis: šī izpirkuma programmatūra ietekmētajiem failiem pievieno jebkuru no šiem paplašinājumiem .kkk, .btc, .gws, .J,. Šifrēts, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .šifrēts, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dīleris @ followint.org vai .gefickt.
- Leģions: pievienojiet paplašinājumus ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion vai. $ Centurion_legion @ aol.com $ .cbf inficētajiem failiem.
- XData: pievienojiet paplašinājumu. ~ Xdata ~ šifrētiem failiem.
Lai lejupielādētu dažus rīkus katram šāda veida izpirkuma programmatūras veidam, mēs varam apmeklēt šo saiti:
Piezīme:Tur mēs atradīsim dažus citus papildu uzbrukumu veidus.
AVG Ransomware atšifrēšanas rīki
Nevienam nav noslēpums, ka vēl viens no vadošajiem drošības uzņēmumiem ir AVG, kas ļauj mums bez maksas lejupielādēt vairākus rīkus, kas īpaši izstrādāti šāda veida uzbrukumiem:
Uzbrukumu veidi
- Apokalipse: šis uzbrukums ietekmētajiem failiem pievieno paplašinājumus .encrypted, .FuckYourData, .locked, .Encryptedfile vai .SecureCrypted.
- Badblock: inficētajam datoram pievienojiet ziņojumu Help Decrypt.html.
- Bārts: Šis uzbrukums inficētajiem failiem pievieno paplašinājumu .bart.zip.
- Crypt888: pievienojiet bloķēšanas paplašinājumu inficēto failu sākumam.
- Leģions: šis uzbrukums ietekmēto failu beigās pievieno paplašinājumus ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion vai. $ Centurion_legion @ aol.com $ .cbf
- SZFLocker: šī izpirkuma programmatūra failiem pievieno .szf paplašinājumu
- TeslaCrypt: Šāda veida uzbrukums nešifrē failus, bet pēc failu šifrēšanas tiek parādīts šāds ziņojums.
Dažus no šiem rīkiem var lejupielādēt, izmantojot šo saiti.
NoMoreRansom
Šo lietojumprogrammu ir kopīgi izstrādājuši tādi uzņēmumi kā Intel, Kaspersky un Europool, un tā koncentrējas uz tādu rīku izstrādi un izveidi, kas vērsti uz izpirkuma programmatūras uzbrukumiem, piemēram:
Uzbrukumu veidi
- Rakhni: Šis rīks atšifrē failus, kurus ietekmē Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) 3. un 4. versija .
- Mols: šifrē failus ar molu paplašinājumu
- 128
- BTC
- Raudāt9
- Bojājumi
- Alkatraza
- Bārts starp daudziem citiem.
Šajā saitē mēs varam lejupielādēt katru no šiem rīkiem un detalizēti uzzināt, kā tie ietekmē failus:
Daudzi no šiem lietojumiem, kā jau minējām, ir izstrādāti kopā ar citiem uzņēmumiem.
Tādā veidā mums ir vairākas iespējas, lai novērstu ransomware uzbrukumus un būtu pieejami mūsu faili.