Dans un monde constamment en ligne et dans lequel nous devons saisir quotidiennement de multiples informations sensibles, nous ne sommes pas susceptibles de tomber entre les mains d'attaquants et pour preuve, nous avons récemment pu vérifier comment le ransomware a utilisé son Wannacry attaque avec laquelle il a attaqué. Simultanément aux entreprises et aux utilisateurs cryptant leurs informations et exigeant un paiement en échange, la valeur minimale étant de 30 USD, pour obtenir le mot de passe de récupération des informations, qui n'est pas toujours fiable à 100%.
Le point fondamental de l'attaque par ransomware consiste à crypter tous les fichiers sur l'ordinateur pour réclamer plus tard l'argent dans un délai demandé ou sinon un certain nombre de fichiers seront éliminés et la valeur à payer augmentera :
Pour cette raison, Solvetic analysera aujourd'hui en détail les meilleures applications pour décrypter les fichiers concernés et récupérer le plus grand nombre de fichiers, en obtenant leur intégrité et leur disponibilité.
Avant d'utiliser ces outils, nous devons prendre en compte les éléments suivants :
- Chaque type de cryptage a un type de cryptage différent, nous devons donc identifier le type d'attaque pour utiliser l'outil approprié.
- L'utilisation de chaque outil a un niveau d'instructions différent pour lequel nous devons analyser en détail le site Web du développeur.
RakhniDécrypteur
Développée par l'une des meilleures sociétés de sécurité telles que Kaspersky Lab, cette application a été développée afin de décrypter certains des types d'attaques de ransomware les plus puissants.
Certains des types de logiciels malveillants attaqués par RakhniDecryptor sont :
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.Bitman versions 3 et 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
N'oubliez pas que lorsqu'un ransomware attaque et infecte un fichier, il modifie son extension en ajoutant une ligne supplémentaire comme suit :
Avant : file.docx / après : file.docx.locked Avant 1.docx / après 1.dochb15Chacun des logiciels malveillants susmentionnés possède une série de pièces jointes d'extension avec lesquelles le fichier affecté est crypté, ce sont ces extensions qu'il est important de connaître afin d'en avoir une connaissance plus détaillée :
Trojan-Ransom.Win32.RakhniIl a les extensions suivantes :
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.MorIl a l'extension suivante :
._crypte
Trojan-Ransom.Win32.AutoitIl a l'extension suivante :
<…
Trojan-Ransom.MSIL.LortokComprend les extensions suivantes :
- …
- …
Trojan-Ransom.AndroidOS.PletorIl a l'extension suivante :
…
Trojan-Ransom.Win32.Agent.iihIl a l'extension suivante :
.+
Trojan-Ransom.Win32.CryFileIl a l'extension suivante :
…
Trojan-Ransom.Win32.DemocryIl a les extensions suivantes :
- .+
- .+
Trojan-Ransom.Win32.Bitman version 3Il a les extensions suivantes :
- .
- .
- .
- .
Trojan-Ransom.Win32.Bitman version 4Il a l'extension suivante :
. (le nom et l'extension ne sont pas affectés)
Trojan-Ransom.Win32.LibraIl a les extensions suivantes :
- .
- .
- .
Trojan-Ransom.MSIL.LobzikIl a les extensions suivantes :
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.MircopIl a l'extension suivante :
…
Trojan-Ransom.Win32.CrusisIl a l'extension suivante :
- .ID @… Xtbl
- .ID @… CrySiS
- .id -. @… xtbl
- .id -. @… portefeuille
- .id -. @… dhrama
- .id -. @… oignon
- . @… Portefeuille
- . @… Drama
- . @… Oignon
Trojan-Ransom.Win32. NemtchigIl a l'extension suivante :
…
Trojan-Ransom.Win32.LamerIl a les extensions suivantes :
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.CryptokluchenIl a les extensions suivantes :
- …
- …
- …
Trojan-Ransom.Win32.RotorIl a les extensions suivantes :
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.ChimeraIl a les extensions suivantes :
- …
- …
Trojan-Ransom.Win32.AecHu
Il a les extensions suivantes :
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.JaffIl a les extensions suivantes :
- .
- .
- .
On voit qu'il existe pas mal d'extensions et il est idéal de les avoir présentes pour identifier en détail le type de fichier concerné.
Cette application est téléchargeable sur le lien suivant :
Une fois téléchargé, nous extrayons le contenu et exécutons le fichier sur l'ordinateur infecté et la fenêtre suivante s'affichera :
Nous pouvons cliquer sur la ligne Modifier les paramètres pour définir dans quel type d'unités l'analyse doit être exécutée, comme les clés USB, les disques durs ou les lecteurs réseau. Là, nous cliquerons sur Démarrer l'analyse afin de lancer l'analyse et le décryptage respectif des fichiers concernés.
Noter:Si un fichier est affecté par l'extension _crypt, le processus peut prendre jusqu'à 100 jours, il est donc recommandé de faire preuve de patience.
Décrypteur Rannoh
C'est une autre des options offertes par Kaspersky Lab qui se concentre sur le décryptage des fichiers qui ont été attaqués par le malware Trojan-Ransom.Win32. Supplémentaire peut détecter les logiciels malveillants comme Fury, Cryakl, AutoIt, Polyglot aka Marsjoke et Crybola.
Pour identifier les extensions affectées par ces ransomwares, nous devons garder à l'esprit ce qui suit :
Trojan-Ransom.Win32.RannohLes extensions ajoutées par ce malware sont :
.
Trojan-Ransom.Win32.CryaklAvec cette infection, nous aurons l'extension suivante :
. {CRYPTENDBLACKDC} (Cette balise sera ajoutée à la fin du fichier)
Trojan-Ransom.Win32.AutoItCette attaque affecte les serveurs de messagerie et a la syntaxe suivante :
@_.
Trojan-Ransom.Win32.CryptXXXLorsqu'ils sont infectés par ce ransomware, nous aurons l'une des extensions suivantes :
- .crypte
- .crypz
- .cryp1
Cet outil est téléchargeable sur le lien suivant :
Lors de l'extraction du fichier exécutable, exécutez simplement le fichier et cliquez sur le bouton Démarrer l'analyse pour lancer le processus d'analyse et de décryptage des fichiers concernés.
WanaKiwi
Cet outil simple mais utile est basé sur wanadecrypt qui nous permet d'effectuer les tâches suivantes :
- Décrypter les fichiers infectés
- Récupérez la clé privée de l'utilisateur pour la stocker ultérieurement sous le nom 00000000.dky.
wanakiwi.exe [/pid:PID|/Process:programa.exe]Dans cette syntaxe, le PID est facultatif puisque Wanakiwi recherchera les PID dans l'un des processus suivants :
- Wnry.exe
- Wcry.exe
- Data_1.exe
- Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- Tasksche.exe
Wanakiwi est téléchargeable sur le lien suivant :
Wanakiwi n'est compatible qu'avec les systèmes d'exploitation suivants, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et 2008. Il est important de garder à l'esprit que Wanakiwi base son processus sur l'analyse des espaces générés par ces clés. d'avoir redémarré l'ordinateur après une infection ou d'avoir éliminé un processus, il est fort probable que Wanakiwi ne puisse pas effectuer correctement sa tâche.
Emsisoft
Emsisoft a développé différents types de décrypteurs pour les attaques de malwares tels que :
- Badblock
- Apocalyse
- Xoriste
- ApocalypseVM
- Timbré
- Fabiansomware
- crême Philadelphia
- Al-Namrood
- FenixLocker
- Globe (version 1, 2 et 3)
- OzozaLocker
- GlobeImposteur
- NMoreira
- CryptON Cry128
- Amnésie (version 1 et 2)
Certaines des extensions que nous trouverons avec :
Amnésie:C'est l'une des attaques les plus courantes, elle est écrite en Delphi et crypte les fichiers en utilisant AES-256 et elle ajoute l'extension * .amnesia à la fin du fichier infecté. Amnesia ajoute l'infection au registre Windows afin qu'elle soit exécutée à chaque connexion.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Cry128 :Cey128 base son attaque sur les connexions RDP et crypte les fichiers à l'aide de versions personnalisées d'AES et de RSA.
Les fichiers infectés auront les extensions suivantes :
- .fgb45ft3pqamyji7.onion.to._
- .id__gebdp3k7bolalnd4.onion._
- .id__2irbar3mjvbap6gt.onion.to._
- .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4
Cri9 :Cry9 est la version avancée du ransomware CryptON et effectue des attaques via des connexions RDP à l'aide des algorithmes de cryptage AES, RSA et SHA-512.
Les fichiers infectés par Cry9 auront les extensions suivantes :
- .-juccy [a] protonmail.ch.
- .identifiant-
- .id -_ [[email protected]] .xj5v2
- .id-_r9oj
- .id-_x3m
- .id -_ [[email protected]] _ [[email protected]] .x3m
- .-sofia_homard [à] protonmail.ch
- ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6
Endommager:Ce ransomware est écrit en Delphi à l'aide des algorithmes SHA-1 et Blowfish, cryptant les premiers et derniers 8 Ko du fichier concerné.
Les fichiers avec cette extension ont l'extension .damage.
CryptON
C'est un autre ransomware qui effectue ses attaques via RDP en utilisant les algorithmes RSA, AES-256 et SHA-256. Les fichiers affectés par ce ransomware auront les extensions suivantes :
- .id-_locked
- .id-_locked_by_krec
- .id-_locked_by_perfect
- .id-_x3m
- .id-_r9oj
- .id-_garryweber @ protonmail.ch
- .id-_steaveiwalker @ india.com_
- .id-_julia.crown @ india.com
- .id-_tom.cruz @ india.com_
- .id-_CarlosBoltehero @ india.com_
Dans le lien suivant, nous pouvons voir des informations détaillées sur les différentes extensions des autres types de ransomwares attaqués par Emsisoft :
Outil de décryptage Avast
Un autre des leaders dans le développement de logiciels de sécurité est Avast qui, en plus des outils antivirus, nous offre plusieurs outils pour décrypter les fichiers sur notre système qui ont été affectés par plusieurs types de ransomware.
Grâce à Avast Decryptor Tool, nous pouvons traiter différents types de ransomwares tels que :
- Bart : ajoutez l'extension .bart.zip aux fichiers infectés
- AES_NI : ajoutez les extensions .aes_ni, .aes256 et .aes_ni_0day aux fichiers infectés à l'aide du cryptage AES 256 bits.
- Alcatraz. Ajoutez l'extension Alcatraz à l'aide du cryptage AES-256 256 bits.
- Apocalypse : ajoutez les extensions .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted aux fichiers infectés.
- Crypt888 : ajoutez l'extension de verrouillage. Au début du fichier infecté
- CryptopMix_ : ajoutez les extensions .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd aux fichiers utilisant le cryptage AES 256 bits
- EncripTile : ajoutez le mot encripTile quelque part dans le fichier.
- BadBlock : ce ransomware n'ajoute pas d'extensions mais affiche un message appelé Help Decrypt.html.
- FindZip : ajoutez l'extension .crypt aux fichiers concernés, en particulier dans les environnements macOS.
- Jigsaw : ce ransomware ajoute l'une des extensions suivantes aux fichiers concernés .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org ou .gefickt.
- Legion : Ajoutez les extensions ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion ou . $ Centurion_legion @ aol.com $ .cbf aux fichiers infectés.
- XData : ajoutez l'extension ~ Xdata ~ aux fichiers cryptés.
Pour télécharger certains des outils pour chacun de ces types de ransomware, nous pouvons visiter le lien suivant :
Noter:Nous y trouverons d'autres types d'attaques supplémentaires.
Outils de décryptage AVG Ransomware
Ce n'est un secret pour personne qu'une autre des principales sociétés de sécurité est AVG, qui nous permet de télécharger gratuitement plusieurs outils qui ont été développés spécialement pour les types d'attaques suivants :
Types d'attaques
- Apocalypse : cette attaque ajoute les extensions .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted aux fichiers concernés.
- Badblock : ajoutez le message Help Decrypt.html à l'ordinateur infecté.
- Bart : Cette attaque ajoute l'extension .bart.zip aux fichiers infectés.
- Crypt888 : ajoutez l'extension Lock au début des fichiers infectés.
- Legion : Cette attaque ajoute à la fin des fichiers concernés les extensions ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion ou . $ Centurion_legion @ aol.com $ .cbf
- SZFLocker : ce ransomware ajoute l'extension .szf aux fichiers
- TeslaCrypt : Ce type d'attaque ne chiffre pas les fichiers mais affiche le message suivant une fois les fichiers chiffrés.
Certains de ces outils peuvent être téléchargés sur le lien suivant.
NonPlusRançon
Cette application a été conçue conjointement par des sociétés telles qu'Intel, Kaspersky et Europool et se concentre sur le développement et la création d'outils axés sur les attaques de ransomware telles que :
Types d'attaques
- Rakhni : Cet outil décrypte les fichiers affectés par Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) version 3 et 4 .
- Mole : chiffre les fichiers avec l'extension taupe
- Cry128
- BTC
- Pleurer9
- Endommager
- Alcatraz
- Bart parmi tant d'autres.
Dans le lien suivant, nous pouvons télécharger chacun de ces outils et savoir en détail comment ils affectent les fichiers :
Comme nous l'avons mentionné, bon nombre de ces applications sont développées en collaboration avec d'autres entreprises.
De cette façon, nous avons plusieurs options pour contrer les attaques de ransomware et rendre nos fichiers disponibles.
