Beste tools om Ransomware te decoderen

Beste tools om Ransomware te decoderen | Programma's 2025
Beste tools om Ransomware te decoderen | Programma's 2025
Inhoudsopgave

In een wereld die constant online is en waarin we dagelijks meerdere gevoelige informatie moeten invoeren, zijn we niet vatbaar om in handen te vallen van aanvallers en als bewijs hiervan konden we onlangs verifiëren hoe ransomware zijn Wannacry gebruikte tegelijkertijd aan bedrijven en gebruikers die hun informatie versleutelen en in ruil daarvoor een betaling eisen, met een minimumwaarde van USD 30, voor het verkrijgen van het wachtwoord voor informatieherstel, dat niet altijd 100% betrouwbaar is.

Het fundamentele punt van de ransomware-aanval bestaat uit het versleutelen van alle bestanden op de computer om later het geld binnen een gevraagde tijd op te eisen, anders wordt een bepaald aantal bestanden geëlimineerd en zal de te betalen waarde toenemen:

Om deze reden zal Solvetic vandaag in detail de beste applicaties analyseren om de getroffen bestanden te decoderen en het grootste aantal bestanden te herstellen, waarbij hun integriteit en beschikbaarheid wordt verkregen.

Voordat we deze tools gebruiken, moeten we rekening houden met het volgende:

  • Elk type codering heeft een ander type codering, dus we moeten het type aanval identificeren om de juiste tool te gebruiken.
  • Het gebruik van elke tool heeft een ander instructieniveau waarvoor we de website van de ontwikkelaar in detail moeten analyseren.

RakhniDecryptor

Deze applicatie is ontwikkeld door een van de beste beveiligingsbedrijven zoals Kaspersky Lab en is ontwikkeld om enkele van de sterkste soorten ransomware-aanvallen te ontsleutelen.

Enkele van de soorten malware die RakhniDecryptor aanvalt zijn:

  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman versie 3 en 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

Onthoud dat wanneer ransomware een bestand aanvalt en infecteert, het de extensie ervan bewerkt door als volgt een extra regel toe te voegen: 

 Voor: file.docx / na: file.docx.locked Voor 1.docx / na 1.dochb15
Elk van de bovengenoemde malware heeft een reeks extensie-bijlagen waarmee het getroffen bestand is versleuteld. Dit zijn deze extensies die belangrijk zijn om te weten om er een meer gedetailleerde kennis van te hebben:

Trojan-Ransom.Win32.RakhniHet heeft de volgende extensies:

Trojan-Ransom.Win32.MorHet heeft de volgende extensie:
._crypt

Trojan-Ransom.Win32.AutoitHet heeft de volgende extensie:
<…

Trojan-Ransom.MSIL.LortokBevat de volgende extensies:

Trojan-Ransom.AndroidOS.PletorHet heeft de volgende extensie:

Trojan-Ransom.Win32.Agent.iihHet heeft de volgende extensie:
.+

Trojan-Ransom.Win32.CryFileHet heeft de volgende extensie:

Trojan-Ransom.Win32.DemocryHet heeft de volgende extensies:

  • .+
  • .+

Trojan-Ransom.Win32.Bitman versie 3Het heeft de volgende extensies:

  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.Bitman versie 4Het heeft de volgende extensie:
. (de naam en extensie worden niet beïnvloed)

Trojan-Ransom.Win32.LibraHet heeft de volgende extensies:

  • .
  • .
  • .

Trojan-Ransom.MSIL.LobzikHet heeft de volgende extensies:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.MircopHet heeft de volgende extensie:

Trojan-Ransom.Win32.CrusisHet heeft de volgende extensie:

  • .ID.@… Xtbl
  • .ID.@… CrySiS
  • .id -. @… xtbl
  • .id -. @… portemonnee
  • .id -. @… dhrama
  • .id -. @… ui
  • . @… Portemonnee
  • @… Dhrama
  • . @… Ui

Trojan-Ransom.Win32. NemchigoHet heeft de volgende extensie:

Trojan-Ransom.Win32.LamerHet heeft de volgende extensies:

Trojan-Ransom.Win32.CryptokluchenHet heeft de volgende extensies:

Trojan-Ransom.Win32.RotorHet heeft de volgende extensies:

Trojan-Ransom.Win32.ChimeraHet heeft de volgende extensies:

Trojan-Ransom.Win32.AecHu
Het heeft de volgende extensies:

  • .
  • .
  • .
  • .
  • .
  • .
  • .
  • .

Trojan-Ransom.Win32.JaffHet heeft de volgende extensies:

  • .
  • .
  • .

We kunnen zien dat er nogal wat extensies zijn en het is ideaal om ze aanwezig te hebben om in detail het type bestand te identificeren dat wordt beïnvloed.
Deze applicatie kan worden gedownload via de volgende link:

Eenmaal gedownload, extraheren we de inhoud en voeren we het bestand uit op de geïnfecteerde computer en het volgende venster wordt weergegeven:

We kunnen op de regel Wijzig parameters klikken om te definiëren in welk type eenheden de analyse moet worden uitgevoerd, zoals USB-drives, harde schijven of netwerkdrives. Daar zullen we op Scan starten klikken om de analyse en respectievelijke decodering van de getroffen bestanden te starten.

Opmerking:Als een bestand de extensie _crypt heeft, kan het proces tot 100 dagen duren, dus het wordt aanbevolen om geduld te hebben.

Rannoh-decryptor

Dit is een van de andere opties die Kaspersky Lab biedt en is gericht op het ontsleutelen van bestanden die zijn aangevallen met de Trojan-Ransom.Win32-malware. Extra kan malware detecteren zoals Fury, Cryakl, AutoIt, Polyglot aka Marsjoke en Crybola.

Om de extensies te identificeren die door deze ransomware worden getroffen, moeten we rekening houden met het volgende:

Trojan-Ransom.Win32.RannohDe extensies die deze malware toevoegt zijn:
.

Trojan-Ransom.Win32.CryaklMet deze infectie hebben we de volgende extensie:
. {CRYPTENDBLACKDC} (Deze tag wordt aan het einde van het bestand toegevoegd)

Trojan-Ransom.Win32.AutoItDeze aanval treft e-mailservers en heeft de volgende syntaxis:
@_.

Trojan-Ransom.Win32.CryptXXXWanneer geïnfecteerd met deze ransomware hebben we een van de volgende extensies:

  • .crypt
  • .crypz
  • .crypt1

Deze tool is te downloaden via de volgende link:

Wanneer u het uitvoerbare bestand uitpakt, voert u het bestand uit en klikt u op de knop Scan starten om het proces van het analyseren en decoderen van de getroffen bestanden te starten.

WanaKiwi

Deze eenvoudige maar nuttige tool is gebaseerd op wanadecrypt waarmee we de volgende taken kunnen uitvoeren:

  • Geïnfecteerde bestanden decoderen
  • Haal de persoonlijke sleutel van de gebruiker op om deze later op te slaan als 00000000.dky.
Deze tool maakt gebruik van de Primes-extractiemethode die de mogelijkheid biedt om de priemgetallen op te halen die niet zijn opgeschoond tijdens het CryptReleaseContext ()-proces. De uitvoering van deze tool is gebaseerd op de opdrachtregel en de syntaxis is als volgt: 
 wanakiwi.exe [/pid:PID|/Process:programa.exe]
In deze syntaxis is de PID optioneel, aangezien Wanakiwi de PID's zoekt in een van de volgende processen:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

Wanakiwi kan worden gedownload via de volgende link:

Wanakiwi is alleen compatibel met de volgende besturingssystemen, Windows XP, Windows Vista, Windows 7, Windows Server 2003 en 2008. Iets belangrijks om in gedachten te houden is dat Wanakiwi zijn proces baseert op het scannen van de spaties die door deze sleutels zijn gegenereerd. als u de computer opnieuw heeft opgestart na een infectie of een proces heeft uitgeschakeld, is de kans groot dat Wanakiwi zijn taak niet correct kan uitvoeren.

Emsisoft

Emsisoft heeft verschillende soorten decryptors ontwikkeld voor malware-aanvallen, zoals:

  • Badblock
  • Apocalyse
  • Xorist
  • ApocalypsVM
  • gestempeld
  • Fabiansomware
  • Philadelphia
  • Al-Namrood
  • FenixLocker
  • Wereldbol (versie 1, 2 en 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Geheugenverlies (versie 1 en 2)
Elk van deze tools kan worden gedownload via de volgende link:

Enkele van de extensies die we zullen vinden bij:

Geheugenverlies:Het is een van de meest voorkomende aanvallen, het is geschreven in Delphi en versleutelt de bestanden met AES-256 en het voegt de extensie * .amnesia toe aan het einde van het geïnfecteerde bestand. Amnesia voegt de infectie toe aan het Windows-register zodat het bij elke login kan worden uitgevoerd. 

 HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

huilen128:Cey128 baseert zijn aanval op RDP-verbindingen en versleutelt bestanden met aangepaste versies van AES en RSA.
De geïnfecteerde bestanden hebben de volgende extensies:

  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4

huilen9:Cry9 is de geavanceerde versie van CryptON ransomware en voert aanvallen uit via RDP-verbindingen met behulp van AES-, RSA- en SHA-512-coderingsalgoritmen.
Bestanden die zijn geïnfecteerd met Cry9 hebben de volgende extensies:

Schade:Deze ransomware is geschreven in Delphi met behulp van de SHA-1- en Blowfish-algoritmen, waarbij de eerste en laatste 8 Kb van het getroffen bestand worden versleuteld.

Bestanden met deze extensie hebben de extensie .damage.

CryptON
Het is een andere ransomware die zijn aanvallen uitvoert via RDP met behulp van RSA-, AES-256- en SHA-256-algoritmen. De bestanden die getroffen zijn door deze ransomware hebben de volgende extensies:

  • .id-_locked
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber @ protonmail.ch
  • .id-_steaveiwalker @ india.com_
  • .id-_julia.crown @ india.com
  • .id-_tom.cruz @ india.com_
  • .id-_CarlosBoltehero @ india.com_

In de volgende link kunnen we gedetailleerde informatie zien over de verschillende extensies van de andere soorten ransomware die Emsisoft aanvalt:

Avast Decryptor-hulpprogramma

Een andere van de leiders in de ontwikkeling van beveiligingssoftware is Avast, dat ons, naast antivirusprogramma's, meerdere tools biedt om bestanden op ons systeem te decoderen die zijn getroffen door meerdere soorten ransomware.

Dankzij Avast Decryptor Tool kunnen we omgaan met verschillende soorten ransomware, zoals:

  • Bart: voeg de extensie .bart.zip toe aan geïnfecteerde bestanden
  • AES_NI: Voeg de extensies .aes_ni, .aes256 en .aes_ni_0day toe aan geïnfecteerde bestanden met behulp van AES 256-bit-encryptie.
  • Alcatraz. Voeg de Alcatraz-extensie toe met AES-256 256-bit-codering.
  • Apocalyps: voeg de extensies .encrypted, .FuckYourData, .locked, .Encryptedfile of .SecureCrypted toe aan geïnfecteerde bestanden.
  • Crypt888: Voeg de Lock-extensie toe. Aan het begin van het geïnfecteerde bestand
  • CryptopMix_: voeg de extensies .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd toe aan bestanden met behulp van AES 256-bit encryptie
  • EncriptTile: voeg het woord encripTile ergens in het bestand toe.
  • BadBlock: deze ransomware voegt geen extensies toe, maar geeft een bericht weer met de naam Help Decrypt.html.
  • FindZip: voeg de .crypt-extensie toe aan de getroffen bestanden, vooral in macOS-omgevingen.
  • Jigsaw: deze ransomware voegt een van de volgende extensies toe aan de getroffen bestanden .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org of .gefickt.
  • Legion: Voeg de extensies ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion of $ Centurion_legion @ aol.com $ .cbf toe aan geïnfecteerde bestanden.
  • XData: voeg de extensie ~ Xdata ~ toe aan versleutelde bestanden.

Om enkele van de tools voor elk van deze soorten ransomware te downloaden, kunnen we de volgende link bezoeken:

Opmerking:Daar zullen we enkele andere extra aanvalstypes vinden.

AVG Ransomware-decoderingstools

Het is voor niemand een geheim dat AVG een van de toonaangevende beveiligingsbedrijven is, waarmee we gratis meerdere tools kunnen downloaden die speciaal zijn ontwikkeld voor de volgende soorten aanvallen:

Soorten aanvallen

  • Apocalyps: deze aanval voegt de extensies .encrypted, .FuckYourData, .locked, .Encryptedfile of .SecureCrypted toe aan de getroffen bestanden.
  • Badblock: voeg het Help Decrypt.html-bericht toe aan de geïnfecteerde computer.
  • Bart: Deze aanval voegt de extensie .bart.zip toe aan de geïnfecteerde bestanden.
  • Crypt888: voeg de Lock-extensie toe aan het begin van de geïnfecteerde bestanden.
  • Legion: Deze aanval voegt aan het einde van de getroffen bestanden de extensies ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion of $ Centurion_legion @ aol.com $ .cbf toe
  • SZFLocker: deze ransomware voegt de .szf-extensie toe aan bestanden
  • TeslaCrypt: dit type aanval versleutelt de bestanden niet, maar geeft het volgende bericht weer zodra de bestanden zijn versleuteld.

Sommige van deze tools kunnen worden gedownload via de volgende link.

Geen Meer Losgeld

Deze applicatie is gezamenlijk ontworpen door bedrijven als Intel, Kaspersky en de Europool en richt zich op het ontwikkelen en creëren van tools die gericht zijn op ransomware-aanvallen zoals:

Soorten aanvallen

  • Rakhni: deze tool decodeert bestanden die zijn beïnvloed door Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) versie 3 en 4 .
  • Mol: versleutelt bestanden met de mol-extensie
  • Cry128
  • BTC
  • Huilen9
  • Schade
  • Alcatraz
  • Bart onder vele anderen.

In de volgende link kunnen we elk van deze tools downloaden en weten we in detail hoe ze de bestanden beïnvloeden:

Veel van deze toepassingen zijn, zoals gezegd, ontwikkeld in samenwerking met andere bedrijven.

Op deze manier hebben we meerdere opties om ransomware-aanvallen tegen te gaan en hebben we onze bestanden beschikbaar.

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
De soorten advertenties in statische afbeeldingen van Google Adwords
2
post-title
Gegevensgebruik bekijken voor bekabelde en wifi-netwerkverbindingen Windows 10
3
post-title
▷ Sluit Windows 10 af zonder te updaten ✔️ 2021
4
post-title
▷ Open Configuratiescherm Windows 10 ✔️
5
post-title
MacOS Big Sur maakt geen verbinding met wifi - OPLOSSING

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -