Melhores ferramentas para descriptografar Ransomware

Melhores ferramentas para descriptografar Ransomware
Índice

Em um mundo que está constantemente online e no qual devemos inserir várias informações confidenciais diariamente, não somos suscetíveis a cair nas mãos de invasores e, como prova disso, recentemente pudemos verificar como o ransomware usou seu Wannacry ataque com o qual atacou Simultaneamente a empresas e utilizadores a encriptar as suas informações e a exigir um pagamento em troca, no valor mínimo de 30 USD, para obtenção da palavra-passe de recuperação da informação, nem sempre 100% fiável.

O ponto fundamental do ataque de ransomware consiste em criptografar todos os arquivos do computador para posteriormente exigir o dinheiro no horário solicitado ou então um determinado número de arquivos será eliminado e o valor a ser pago aumentará:

Por isso, hoje Solvetic vai analisar detalhadamente as melhores aplicações para descriptografar os arquivos afetados e recuperar o maior número de arquivos, obtendo sua integridade e disponibilidade.

Antes de usar essas ferramentas, devemos levar em consideração o seguinte:

  • Cada tipo de criptografia possui um tipo diferente de criptografia, portanto, devemos identificar o tipo de ataque para usar a ferramenta apropriada.
  • O uso de cada ferramenta possui um nível diferente de instruções para as quais devemos analisar detalhadamente o site do desenvolvedor.

RakhniDecryptor

Desenvolvido por uma das melhores empresas de segurança, como a Kaspersky Lab, este aplicativo foi desenvolvido para descriptografar alguns dos tipos mais fortes de ataques de ransomware.

Alguns dos tipos de malware que o RakhniDecryptor ataca são:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman versão 3 e 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Lembre-se de que quando o ransomware ataca e infecta um arquivo, ele edita sua extensão adicionando uma linha adicional da seguinte maneira: 

 Antes: file.docx / after: file.docx.locked Before 1.docx / after 1.dochb15
Cada um dos mencionados malware possui uma série de anexos de extensão com os quais o arquivo afetado é criptografado, são essas extensões que é importante conhecer para um conhecimento mais detalhado delas:

Trojan-Ransom.Win32.RakhniPossui as seguintes extensões:

Trojan-Ransom.Win32.MorPossui a seguinte extensão:
._cripta

Trojan-Ransom.Win32.AutoitPossui a seguinte extensão:
<…

Trojan-Ransom.MSIL.LortokInclui as seguintes extensões:

Trojan-Ransom.AndroidOS.PletorPossui a seguinte extensão:

Trojan-Ransom.Win32.Agent.iihPossui a seguinte extensão:
.+

Trojan-Ransom.Win32.CryFilePossui a seguinte extensão:

Trojan-Ransom.Win32.DemocryPossui as seguintes extensões:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman versão 3Possui as seguintes extensões:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman versão 4Possui a seguinte extensão:
. (o nome e a extensão não são afetados)

Trojan-Ransom.Win32.LibraPossui as seguintes extensões:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikPossui as seguintes extensões:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopPossui a seguinte extensão:

Trojan-Ransom.Win32.CrusisPossui a seguinte extensão:

  • .ID. @… Xtbl
  • .ID. @… CrySiS
  • .id -. @… xtbl
  • .id -. @… carteira
  • .id -. @… dhrama
  • .id -. @… cebola
  • . @… Carteira
  • . @… Dhrama
  • . @… Cebola

Trojan-Ransom.Win32. NemchigPossui a seguinte extensão:

Trojan-Ransom.Win32.LamerPossui as seguintes extensões:

Trojan-Ransom.Win32.CryptokluchenPossui as seguintes extensões:

Trojan-Ransom.Win32.RotorPossui as seguintes extensões:

Trojan-Ransom.Win32.ChimeraPossui as seguintes extensões:

Trojan-Ransom.Win32.AecHu
Possui as seguintes extensões:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffPossui as seguintes extensões:

  • .
  • .
  • .

Podemos ver que existem algumas extensões e é ideal tê-las presentes para identificar em detalhes o tipo de arquivo afetado.
Este aplicativo pode ser baixado no seguinte link:

Após o download, extraímos o conteúdo e executamos o arquivo no computador infectado e a seguinte janela será exibida:

Podemos clicar na linha Alterar parâmetros para definir em quais tipos de unidades a análise deve ser executada, como drives USB, discos rígidos ou drives de rede. Aí clicaremos em Iniciar análise para iniciar a análise e respetiva desencriptação dos arquivos afetados.

Observação:Se um arquivo for afetado com a extensão _crypt, o processo pode levar até 100 dias, portanto, é recomendável ter paciência.

Rannoh Decryptor

Esta é outra das opções oferecidas pela Kaspersky Lab, que se concentra na descriptografia de arquivos que foram atacados com o malware Trojan-Ransom.Win32. Adicional pode detectar malware como Fury, Cryakl, AutoIt, Polyglot aka Marsjoke e Crybola.

Para identificar as extensões afetadas por esses ransomware, devemos ter em mente o seguinte:

Trojan-Ransom.Win32.RannohAs extensões que este malware adiciona são:
.

Trojan-Ransom.Win32.CryaklCom esta infecção teremos a seguinte extensão:
. {CRYPTENDBLACKDC} (Esta tag será adicionada ao final do arquivo)

Trojan-Ransom.Win32.AutoItEste ataque afeta servidores de e-mail e tem a seguinte sintaxe:
@_.

Trojan-Ransom.Win32.CryptXXXQuando infectados com este ransomware, teremos qualquer uma das seguintes extensões:

  • .cripta
  • .crypz
  • .cryp1

Essa ferramenta pode ser baixada no seguinte link:

Ao extrair o arquivo executável, apenas execute o arquivo e clique no botão Iniciar verificação para iniciar o processo de análise e descriptografia dos arquivos afetados.

WanaKiwi

Esta ferramenta simples mas útil é baseada em wanadecrypt que nos permite realizar as seguintes tarefas:

  • Descriptografar arquivos infectados
  • Recupere a chave privada do usuário para armazená-la posteriormente como 00000000.dky.
Essa ferramenta usa o método de extração de Primes, que fornece a oportunidade de recuperar os números primos que não foram limpos durante o processo CryptReleaseContext (). A execução desta ferramenta é baseada na linha de comando e sua sintaxe será a seguinte: 
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
Nesta sintaxe, o PID é opcional, pois Wanakiwi irá procurar os PIDs em qualquer um dos seguintes processos:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi pode ser baixado no seguinte link:

Wanakiwi só é compatível com os seguintes sistemas operacionais: Windows XP, Windows Vista, Windows 7, Windows Server 2003 e 2008. Algo importante a ter em mente é que Wanakiwi baseia seu processo na varredura dos espaços que foram gerados por essas chaves. de ter reiniciado o computador após uma infecção ou de ter eliminado um processo, é muito provável que Wanakiwi não consiga realizar sua tarefa corretamente.

Emsisoft

A Emsisoft desenvolveu vários tipos de descriptografadores para ataques de malware, como:

  • Bloco ruim
  • Apocalise
  • Xorist
  • ApocalypseVM
  • Carimbado
  • Fabiansomware
  • Filadélfia
  • Al-Namrood
  • FenixLocker
  • Globe (versão 1, 2 e 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Amnésia (versão 1 e 2)
Cada uma dessas ferramentas pode ser baixada no seguinte link:

Algumas das extensões que encontraremos com:

Amnésia:É um dos ataques mais comuns, é escrito em Delphi e criptografa os arquivos usando AES-256 e adiciona a extensão * .amnesia ao final do arquivo infectado. O Amnesia adiciona a infecção ao registro do Windows para que seja executado a cada login. 

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Cry128:Cey128 baseia seu ataque em conexões RDP e criptografa arquivos usando versões personalizadas de AES e RSA.
Os arquivos infectados terão as seguintes extensões:

  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

Cry9:Cry9 é a versão avançada do ransomware CryptON e executa ataques por meio de conexões RDP usando algoritmos de criptografia AES, RSA e SHA-512.
Os arquivos infectados com Cry9 terão as seguintes extensões:

Dano:Este ransomware é escrito em Delphi usando os algoritmos SHA-1 e Blowfish, criptografando os primeiros e os últimos 8 Kb do arquivo afetado.

Os arquivos com esta extensão têm a extensão .damage.

CryptON
É outro ransomware que realiza seus ataques através de RDP usando algoritmos RSA, AES-256 e SHA-256. Os arquivos afetados com este ransomware terão as seguintes extensões:

  • .id-_locked
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

No link a seguir, podemos ver informações detalhadas sobre as várias extensões dos outros tipos de ransomware que a Emsisoft ataca:

Ferramenta Avast Decryptor

Outro dos líderes no desenvolvimento de software de segurança é o Avast que, além de ferramentas antivírus, nos oferece várias ferramentas para descriptografar arquivos em nosso sistema que foram afetados por vários tipos de ransomware.

Graças ao Avast Decryptor Tool, podemos lidar com vários tipos de ransomware, como:

  • Bart: adicione a extensão .bart.zip aos arquivos infectados
  • AES_NI: Adicione as extensões .aes_ni, .aes256 e .aes_ni_0day aos arquivos infectados usando criptografia AES de 256 bits.
  • Alcatraz. Adicione a extensão Alcatraz usando criptografia AES-256 de 256 bits.
  • Apocalipse: Adicione as extensões .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted aos arquivos infectados.
  • Crypt888: Adicione a extensão de bloqueio. No início do arquivo infectado
  • CryptopMix_: adicione as extensões .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd a arquivos usando criptografia AES de 256 bits
  • EncriptTile: adicione a palavra encripTile em algum lugar do arquivo.
  • BadBlock: este ransomware não adiciona extensões, mas exibe uma mensagem chamada Help Decrypt.html.
  • FindZip: adicione a extensão .crypt aos arquivos afetados, especialmente em ambientes macOS.
  • Jigsaw: Este ransomware adiciona qualquer uma das seguintes extensões aos arquivos afetados .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org ou .gefickt.
  • Legião: Adicione as extensões ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion ou. $ Centurion_legion @ aol.com $ .cbf aos arquivos infectados.
  • XData: Adicione a extensão. ~ Xdata ~ aos arquivos criptografados.

Para baixar algumas das ferramentas para cada um desses tipos de ransomware, podemos visitar o seguinte link:

Observação:Lá, encontraremos alguns outros tipos de ataque adicionais.

AVG Ransomware Decryption Tools

Não é segredo para ninguém que outra das principais empresas de segurança é o AVG, o que nos permite baixar gratuitamente várias ferramentas que foram desenvolvidas especialmente para os seguintes tipos de ataques:

Tipos de ataques

  • Apocalipse: Este ataque adiciona as extensões .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted aos arquivos afetados.
  • Badblock: adiciona a mensagem Help Decrypt.html ao computador infectado.
  • Bart: Este ataque adiciona a extensão .bart.zip aos arquivos infectados.
  • Crypt888: Adicione a extensão Lock ao início dos arquivos infectados.
  • Legião: Este ataque adiciona ao final dos arquivos afetados as extensões ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion ou. $ Centurion_legion @ aol.com $ .cbf
  • SZFLocker: Este ransomware adiciona a extensão .szf aos arquivos
  • TeslaCrypt: Este tipo de ataque não criptografa os arquivos, mas exibe a seguinte mensagem quando os arquivos são criptografados.

Algumas dessas ferramentas podem ser baixadas no link a seguir.

NoMoreRansom

Este aplicativo foi desenvolvido em conjunto por empresas como Intel, Kaspersky e Europool e se concentra no desenvolvimento e na criação de ferramentas voltadas para ataques de ransomware, como:

Tipos de ataques

  • Rakhni: esta ferramenta descriptografa arquivos afetados por Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) versão 3 e 4 .
  • Mole: criptografa arquivos com a extensão mole
  • Cry128
  • BTC
  • Cry9
  • Dano
  • Alcatraz
  • Bart entre muitos outros.

No link a seguir podemos baixar cada uma dessas ferramentas e saber em detalhes como elas afetam os arquivos:

Muitos desses aplicativos são, como mencionamos, desenvolvidos em conjunto com outras empresas.

Dessa forma, temos várias opções para neutralizar ataques de ransomware e ter nossos arquivos disponíveis.

Você vai ajudar o desenvolvimento do site, compartilhando a página com seus amigos

wave wave wave wave wave

Publicações Populares

wave
1
post-title
Como excluir arquivos com segurança no Mac
2
post-title
▷ Como ativar notificações WhatsApp Samsung Galaxy Fit 2
3
post-title
▷ Alterar o idioma macOS Monterey ✔️
4
post-title
Plugin de SEO para o navegador
5
post-title
Como corrigir nenhum som no Huawei Mate 20 Lite

Recomendado

wave
- Sponsored Ad -

Escolha Do Editor

wave
- Sponsored Ad -