✅ Die besten Tools zum Entschlüsseln von Ransomware

Inhaltsverzeichnis

In einer Welt, die ständig online ist und in der wir täglich mehrere sensible Informationen eingeben müssen, sind wir nicht anfällig dafür, in die Hände von Angreifern zu geraten. Als Beweis dafür konnten wir kürzlich überprüfen, wie Ransomware ihren Wannacry verwendet hat gleichzeitig mit der Verschlüsselung ihrer Informationen durch Unternehmen und Benutzer und die Forderung einer Zahlung im Gegenzug von mindestens 30 USD, um das Passwort zur Wiederherstellung der Informationen zu erhalten, das nicht immer zu 100 % zuverlässig ist.

Der grundlegende Punkt des Ransomware-Angriffs besteht darin, alle Dateien auf dem Computer zu verschlüsseln, um das Geld später in einer gewünschten Zeit abzufordern oder sonst wird eine bestimmte Anzahl von Dateien entfernt und der zu zahlende Wert erhöht:

Aus diesem Grund analysiert Solvetic heute im Detail die besten Anwendungen, um die betroffenen Dateien zu entschlüsseln und die größte Anzahl von Dateien wiederherzustellen, um deren Integrität und Verfügbarkeit zu erhalten.

Vor der Verwendung dieser Tools müssen wir Folgendes berücksichtigen:

Jeder Verschlüsselungstyp hat einen anderen Verschlüsselungstyp, daher müssen wir die Art des Angriffs identifizieren, um das entsprechende Tool zu verwenden.

Die Verwendung jedes Tools hat eine andere Ebene von Anweisungen, für die wir die Website des Entwicklers im Detail analysieren müssen.

RakhniDecryptor

Diese Anwendung wurde von einem der besten Sicherheitsunternehmen wie Kaspersky Lab entwickelt und wurde entwickelt, um einige der stärksten Arten von Ransomware-Angriffen zu entschlüsseln.

Einige der Arten von Malware, die RakhniDecryptor angreift, sind:

Trojan-Ransom.Win32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Ransom.Win32.Autoit
Trojan-Ransom.Win32.Aura
Trojan-Ransom.AndroidOS.Pletor
Trojan-Ransom.Win32.Rotor
Trojan-Ransom.Win32.Lamer
Trojan-Ransom.Win32.Cryptokluchen
Trojan-Ransom.Win32.Democry
Trojan-Ransom.Win32.Bitman Version 3 und 4
Trojan-Ransom.Win32.Libra
Trojan-Ransom.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojan-Ransom.Win32.Chimera
Trojan-Ransom.Win32.CryFile
Trojan-Ransom.Win32.Nemchig
Trojan-Ransom.Win32.Mircop
Trojan-Ransom.Win32.Mor
Trojan-Ransom.Win32.Crusis
Trojan-Ransom.Win32.AecHu
Trojan-Ransom.Win32.Jaff

Denken Sie daran, dass Ransomware, wenn sie eine Datei angreift und infiziert, ihre Erweiterung bearbeitet, indem sie eine zusätzliche Zeile wie folgt hinzufügt:

 Vorher: Datei.docx / Nachher: Datei.docx.locked Vorher 1.docx / Nachher 1.dochb15

Jede der oben genannten Malware hat eine Reihe von Erweiterungs-Anhängen, mit denen die betroffene Datei verschlüsselt wird. Dies sind diese Erweiterungen, die es wichtig ist, sie zu kennen, um sie genauer zu kennen:

Trojan-Ransom.Win32.RakhniEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.MorEs hat folgende Erweiterung:
._Krypta

Trojan-Ransom.Win32.AutoitEs hat folgende Erweiterung:
<…

Trojan-Ransom.MSIL.LortokEnthält die folgenden Erweiterungen:

Trojan-Ransom.AndroidOS.PletorEs hat folgende Erweiterung:
…

Trojan-Ransom.Win32.Agent.iihEs hat folgende Erweiterung:
.+

Trojan-Ransom.Win32.CryFileEs hat folgende Erweiterung:
…

Trojan-Ransom.Win32.DemocryEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.Bitman Version 3Es hat folgende Erweiterungen:

Trojan-Ransom.Win32.Bitman Version 4Es hat folgende Erweiterung:
. (der Name und die Erweiterung sind nicht betroffen)

Trojan-Ransom.Win32.LibraEs hat folgende Erweiterungen:

Trojan-Ransom.MSIL.LobzikEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.MircopEs hat folgende Erweiterung:
…

Trojan-Ransom.Win32.CrusisEs hat folgende Erweiterung:

.ID @… Xtbl
.ID @… CrySiS
.id -. @… xtbl
.id -. @… Geldbörse
.id -. @… dhrama
.id -. @… Zwiebel
. @… Brieftasche
. @… Dhrama
. @… Zwiebel

Trojan-Ransom.Win32. NemchigEs hat folgende Erweiterung:
…

Trojan-Ransom.Win32.LamerEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.CryptokluchenEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.RotorEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.ChimeraEs hat folgende Erweiterungen:

Trojan-Ransom.Win32.AecHu
Es hat folgende Erweiterungen:

Trojan-Ransom.Win32.JaffEs hat folgende Erweiterungen:

Wir sehen, dass es einige Erweiterungen gibt, und es ist ideal, sie vorhanden zu haben, um den betroffenen Dateityp im Detail zu identifizieren.
Diese Anwendung kann unter folgendem Link heruntergeladen werden:

Nach dem Download extrahieren wir den Inhalt und führen die Datei auf dem infizierten Computer aus und das folgende Fenster wird angezeigt:

Über die Zeile Parameter ändern legen wir fest, in welchen Einheiten die Analyse durchgeführt werden soll, wie zB USB-Laufwerke, Festplatten oder Netzlaufwerke. Dort klicken wir auf Scan starten, um die Analyse und entsprechende Entschlüsselung der betroffenen Dateien zu starten.

Notiz:Wenn eine Datei mit der Erweiterung _crypt betroffen ist, kann der Vorgang bis zu 100 Tage dauern, daher wird empfohlen, Geduld zu haben.

Rannoh-Entschlüsseler

Dies ist eine weitere Option von Kaspersky Lab, die sich auf die Entschlüsselung von Dateien konzentriert, die mit der Malware Trojan-Ransom.Win32 angegriffen wurden. Zusätzlich kann Malware wie Fury, Cryakl, AutoIt, Polyglot aka Marsjoke und Crybola erkannt werden.

Um die von dieser Ransomware betroffenen Erweiterungen zu identifizieren, müssen wir Folgendes beachten:

Trojan-Ransom.Win32.RannohDie Erweiterungen, die diese Malware hinzufügt, sind:
.

Trojan-Ransom.Win32.CryaklBei dieser Infektion haben wir folgende Erweiterung:
. {CRYPTENDBLACKDC} (Dieses Tag wird am Ende der Datei hinzugefügt)

Trojan-Ransom.Win32.AutoItDieser Angriff betrifft Mailserver und hat die folgende Syntax:
@_.

Trojan-Ransom.Win32.CryptXXXWenn wir mit dieser Ransomware infiziert sind, haben wir eine der folgenden Erweiterungen:

.Krypta
.crypz
.cryp1

Dieses Tool kann unter folgendem Link heruntergeladen werden:

Führen Sie beim Extrahieren der ausführbaren Datei einfach die Datei aus und klicken Sie auf die Schaltfläche Scan starten, um den Prozess der Analyse und Entschlüsselung der betroffenen Dateien zu starten.

WanaKiwi

Dieses einfache, aber nützliche Tool basiert auf wanadecrypt, mit dem wir folgende Aufgaben ausführen können:

Infizierte Dateien entschlüsseln

Rufen Sie den privaten Schlüssel des Benutzers ab, um ihn später als 00000000.dky zu speichern.

Dieses Tool verwendet die Extraktionsmethode Primes, die die Möglichkeit bietet, die Primzahlen abzurufen, die während des CryptReleaseContext ()-Prozesses nicht bereinigt wurden. Die Ausführung dieses Tools basiert auf der Befehlszeile und seine Syntax lautet wie folgt:

 wanakiwi.exe [/pid:PID|/Prozess:programa.exe]

In dieser Syntax ist die PID optional, da Wanakiwi in jedem der folgenden Prozesse nach den PIDs sucht:

Wnry.exe
Wcry.exe
Daten_1.exe
Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Tasksche.exe

Wanakiwi kann unter folgendem Link heruntergeladen werden:

Wanakiwi ist nur mit den folgenden Betriebssystemen kompatibel, Windows XP, Windows Vista, Windows 7, Windows Server 2003 und 2008. Beachten Sie, dass Wanakiwi seinen Prozess auf dem Scannen der von diesen Schlüsseln erzeugten Leerzeichen basiert Wenn Sie den Computer nach einer Infektion neu gestartet oder einen Prozess beseitigt haben, ist es wahrscheinlich, dass Wanakiwi seine Aufgabe nicht ordnungsgemäß ausführen kann.

Emsisoft

Emsisoft hat verschiedene Arten von Entschlüsselern für Malware-Angriffe entwickelt, wie zum Beispiel:

Badblock
Apokalypse
Xorist
ApokalypseVM
Gestempelt
Fabiansomware
Philadelphia
Al-Namrood
FenixLocker
Globus (Version 1, 2 und 3)
OzozaSchließfach
GlobeImposter
NMoreira
CryptON Cry128
Amnesie (Version 1 und 2)

Jedes dieser Tools kann unter folgendem Link heruntergeladen werden:

Einige der Erweiterungen, die wir mit finden werden:

Amnesie:Es ist einer der häufigsten Angriffe, es ist in Delphi geschrieben und verschlüsselt die Dateien mit AES-256 und fügt die Erweiterung *.amnesia am Ende der infizierten Datei hinzu. Amnesia fügt die Infektion der Windows-Registrierung hinzu, damit sie bei jeder Anmeldung ausgeführt wird.

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Schrei128:Cey128 basiert seinen Angriff auf RDP-Verbindungen und verschlüsselt Dateien mit benutzerdefinierten Versionen von AES und RSA.
Die infizierten Dateien haben die folgenden Erweiterungen:

.fgb45ft3pqamyji7.onion.to._
.id__gebdp3k7bolalnd4.onion._
.id__2irbar3mjvbap6gt.zwiebel.to._
.id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Schrei9:Cry9 ist die erweiterte Version der CryptON-Ransomware und führt Angriffe über RDP-Verbindungen mit AES-, RSA- und SHA-512-Verschlüsselungsalgorithmen aus.
Mit Cry9 infizierte Dateien haben die folgenden Erweiterungen:

.-juccy [a] protonmail.ch.
.Ich würde-
.id -_ [[email protected]] .xj5v2
.id-_r9oj
.id-_x3m
.id -_ [[email protected]] _ [[email protected]] .x3m
.-sofia_lobster [an] protonmail.ch
._ [wqfhdgpdelcgww4g.onion.to] .r2vy6

Beschädigung:Diese Ransomware wurde in Delphi mit den Algorithmen SHA-1 und Blowfish geschrieben und verschlüsselt die ersten und letzten 8 KB der betroffenen Datei.

Dateien mit dieser Erweiterung haben die Erweiterung .damage.

CryptoON
Es ist eine weitere Ransomware, die ihre Angriffe über RDP mit den Algorithmen RSA, AES-256 und SHA-256 ausführt. Die von dieser Ransomware betroffenen Dateien haben die folgenden Erweiterungen:

.id-_locked
.id-_locked_by_krec
.id-_locked_by_perfect
.id-_x3m
.id-_r9oj
.id-_garryweber @ protonmail.ch
.id-_steaveiwalker @ india.com_
.id-_julia.crown @ india.com
.id-_tom.cruz @ india.com_
.id-_CarlosBoltehero @ india.com_

Unter folgendem Link sehen wir detaillierte Informationen zu den verschiedenen Erweiterungen der anderen Arten von Ransomware, die Emsisoft angreift:

Avast Decryptor-Tool

Ein weiterer Marktführer in der Entwicklung von Sicherheitssoftware ist Avast, das uns neben Antiviren-Tools mehrere Tools zum Entschlüsseln von Dateien auf unserem System bietet, die von verschiedenen Arten von Ransomware betroffen sind.

Dank Avast Decryptor Tool können wir mit verschiedenen Arten von Ransomware umgehen, wie zum Beispiel:

Bart: Fügen Sie infizierten Dateien die Erweiterung .bart.zip hinzu

AES_NI: Fügen Sie infizierten Dateien mit AES 256-Bit-Verschlüsselung die Erweiterungen .aes_ni, .aes256 und .aes_ni_0day hinzu.

Alcatraz. Fügen Sie die Alcatraz-Erweiterung mit AES-256-256-Bit-Verschlüsselung hinzu.

Apokalypse: Fügen Sie infizierten Dateien die Erweiterungen .encrypted, .FuckYourData, .locked, .Encryptedfile oder .SecureCrypted hinzu.

Crypt888: Fügen Sie die Lock-Erweiterung hinzu. Am Anfang der infizierten Datei

CryptopMix_: Fügen Sie Dateien mit AES 256-Bit-Verschlüsselung die Erweiterungen .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd hinzu

EncriptTile: Fügen Sie das Wort encripTile irgendwo in die Datei ein.

BadBlock: Diese Ransomware fügt keine Erweiterungen hinzu, sondern zeigt eine Meldung namens Help Decrypt.html an.

FindZip: Fügen Sie den betroffenen Dateien die Erweiterung .crypt hinzu, insbesondere in macOS-Umgebungen.

Jigsaw: Diese Ransomware fügt den betroffenen Dateien eine der folgenden Erweiterungen hinzu .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org oder .gefickt.

Legion: Fügen Sie infizierten Dateien die Erweiterungen ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion bzw. $ Centurion_legion @ aol.com $ .cbf hinzu.

XData: Fügen Sie die Erweiterung ~ Xdata ~ zu verschlüsselten Dateien hinzu.

Um einige der Tools für jede dieser Arten von Ransomware herunterzuladen, können wir den folgenden Link besuchen:

Notiz:Dort finden wir einige weitere zusätzliche Angriffsarten.

AVG Ransomware-Entschlüsselungstools

Es ist kein Geheimnis, dass AVG ein weiteres führendes Sicherheitsunternehmen ist, das es uns ermöglicht, mehrere Tools kostenlos herunterzuladen, die speziell für die folgenden Arten von Angriffen entwickelt wurden:

Arten von Angriffen

Apokalypse: Dieser Angriff fügt den betroffenen Dateien die Erweiterungen .encrypted, .FuckYourData, .locked, .Encryptedfile oder .SecureCrypted hinzu.

Badblock: Fügen Sie dem infizierten Computer die Nachricht Help Decrypt.html hinzu.

Bart: Dieser Angriff fügt den infizierten Dateien die Erweiterung .bart.zip hinzu.

Crypt888: Fügen Sie die Lock-Erweiterung am Anfang der infizierten Dateien hinzu.

Legion: Dieser Angriff fügt am Ende der betroffenen Dateien die Erweiterungen ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion bzw. $ Centurion_legion @ aol.com $ .cbf . hinzu

SZFLocker: Diese Ransomware fügt Dateien die Erweiterung .szf hinzu

TeslaCrypt: Bei dieser Art von Angriff werden die Dateien nicht verschlüsselt, sondern die folgende Meldung angezeigt, sobald die Dateien verschlüsselt sind.

Einige dieser Tools können unter dem folgenden Link heruntergeladen werden.

NoMoreRansom

Diese Anwendung wurde gemeinsam von Unternehmen wie Intel, Kaspersky und Europool entwickelt und konzentriert sich auf die Entwicklung und Erstellung von Tools, die sich auf Ransomware-Angriffe konzentrieren, wie zum Beispiel:

Arten von Angriffen

Rakhni: Dieses Tool entschlüsselt Dateien, die von Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) Version 3 und 4 betroffen sind .