In un mondo costantemente online e in cui dobbiamo inserire quotidianamente più informazioni sensibili, non siamo suscettibili di cadere nelle mani di aggressori e, a riprova di ciò, di recente abbiamo potuto verificare come il ransomware ha utilizzato il suo Wannacry attacco con cui ha attaccato.Contemporaneamente alle aziende e agli utenti che crittografano le loro informazioni e chiedono in cambio un pagamento, il valore minimo di 30 USD, per ottenere la password di recupero delle informazioni, che non è sempre affidabile al 100%.
Il punto fondamentale dell'attacco ransomware consiste nel crittografare tutti i file presenti sul computer per poi richiedere il denaro in un tempo richiesto o altrimenti verrà eliminato un certo numero di file e il valore da pagare aumenterà:
Per questo motivo oggi Solvetic analizzerà nel dettaglio le migliori applicazioni per decrittare i file interessati e recuperare il maggior numero di file, ottenendone l'integrità e la disponibilità.
Prima di utilizzare questi strumenti dobbiamo tenere in considerazione quanto segue:
- Ogni tipo di crittografia ha un diverso tipo di crittografia, quindi dobbiamo identificare il tipo di attacco per utilizzare lo strumento appropriato.
- L'uso di ogni strumento ha un diverso livello di istruzioni per il quale dobbiamo analizzare in dettaglio il sito Web dello sviluppatore.
RakhniDecryptor
Sviluppata da una delle migliori società di sicurezza come Kaspersky Lab, questa applicazione è stata sviluppata per decifrare alcuni dei più potenti tipi di attacchi ransomware.
Alcuni dei tipi di malware attaccati da RakhniDecryptor sono:
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.Bitman versione 3 e 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis
- Trojan Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
Ricorda che quando il ransomware attacca e infetta un file, modifica la sua estensione aggiungendo una riga aggiuntiva come segue:
Prima: file.docx / dopo: file.docx.locked Prima di 1.docx / dopo 1.dochb15Ciascuno dei suddetti malware ha una serie di allegati di estensione con cui viene crittografato il file interessato, queste sono queste estensioni che è importante conoscere per averne una conoscenza più dettagliata:
Trojan-Ransom.Win32.RakhniHa le seguenti estensioni:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.MorHa la seguente estensione:
._cripta
Trojan-Ransom.Win32.AutoitHa la seguente estensione:
<…
Trojan-Ransom.MSIL.LortokInclude le seguenti estensioni:
- …
- …
Trojan-Ransom.AndroidOS.PletorHa la seguente estensione:
…
Trojan-Ransom.Win32.Agent.iihHa la seguente estensione:
.+
Trojan-Ransom.Win32.CryFileHa la seguente estensione:
…
Trojan-Ransom.Win32.DemocryHa le seguenti estensioni:
- .+
- .+
Trojan-Ransom.Win32.Bitman versione 3Ha le seguenti estensioni:
- .
- .
- .
- .
Trojan-Ransom.Win32.Bitman versione 4Ha la seguente estensione:
. (il nome e l'estensione non sono interessati)
Trojan-Ransom.Win32.LibraHa le seguenti estensioni:
- .
- .
- .
Trojan-Ransom.MSIL.LobzikHa le seguenti estensioni:
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.MircopHa la seguente estensione:
…
Trojan-Ransom.Win32.CrusisHa la seguente estensione:
- .ID. @… Xtbl
- .ID @… CrySiS
- .id -. @… xtbl
- .id -. @… portafoglio
- .id -. @… dhrama
- .id -. @… cipolla
- . @… Portafoglio
- . @… Drama
- . @… Cipolla
Trojan Ransom.Win32. NemchigHa la seguente estensione:
…
Trojan-Ransom.Win32.LamerHa le seguenti estensioni:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.CryptokluchenHa le seguenti estensioni:
- …
- …
- …
Trojan-Ransom.Win32.RotorHa le seguenti estensioni:
- …
- …
- …
- …
- …
- …
- …
- …
- …
- …
Trojan-Ransom.Win32.ChimeraHa le seguenti estensioni:
- …
- …
Trojan Ransom.Win32.AecHu
Ha le seguenti estensioni:
- .
- .
- .
- .
- .
- .
- .
- .
Trojan-Ransom.Win32.JaffHa le seguenti estensioni:
- .
- .
- .
Possiamo vedere che ci sono alcune estensioni ed è ideale averle presenti per identificare in dettaglio il tipo di file interessato.
Questa applicazione può essere scaricata al seguente link:
Una volta scaricato, estraiamo il contenuto ed eseguiamo il file sul computer infetto e verrà visualizzata la seguente finestra:
Possiamo fare clic sulla riga Modifica parametri per definire in quale tipo di unità deve essere eseguita l'analisi, come unità USB, dischi rigidi o unità di rete. Lì faremo clic su Avvia scansione per avviare l'analisi e la rispettiva decrittazione dei file interessati.
Nota:Se un file è affetto dall'estensione _crypt, il processo può richiedere fino a 100 giorni, quindi si consiglia di avere pazienza.
Rannoh Decryptor
Questa è un'altra delle opzioni offerte da Kaspersky Lab che si concentra sulla decrittografia dei file che sono stati attaccati con il malware Trojan-Ransom.Win32. Ulteriori possono rilevare malware come Fury, Cryakl, AutoIt, Polyglot aka Marsjoke e Crybola.
Per identificare le estensioni interessate da questi ransomware dobbiamo tenere presente quanto segue:
Trojan-Ransom.Win32.RannohLe estensioni che questo malware aggiunge sono:
.
Trojan-Ransom.Win32.CryaklCon questa infezione avremo la seguente estensione:
. {CRYPTENDBLACKDC} (Questo tag verrà aggiunto alla fine del file)
Trojan-Ransom.Win32.AutoItQuesto attacco colpisce i server di posta e ha la seguente sintassi:
@_.
Trojan Ransom.Win32.CryptXXXQuando infetti da questo ransomware avremo una delle seguenti estensioni:
- .cripta
- .cryptz
- .crip1
Questo strumento può essere scaricato al seguente link:
Quando si estrae il file eseguibile, è sufficiente eseguire il file e fare clic sul pulsante Avvia scansione per avviare il processo di analisi e decrittografia dei file interessati.
WanaKiwi
Questo semplice ma utile strumento si basa su wanadecrypt che ci permette di svolgere i seguenti compiti:
- Decifra i file infetti
- Recupera la chiave privata dell'utente per archiviarla in seguito come 00000000.dky.
wanakiwi.exe [/pid:PID|/Process:programa.exe]In questa sintassi il PID è facoltativo poiché Wanakiwi cercherà i PID in uno dei seguenti processi:
- Wnry.exe
- Wcry.exe
- Data_1.exe
- Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
- Tasksche.exe
Wanakiwi può essere scaricato al seguente link:
Wanakiwi è compatibile solo con i seguenti sistemi operativi, Windows XP, Windows Vista, Windows 7, Windows Server 2003 e 2008. Una cosa importante da tenere a mente è che Wanakiwi basa il suo processo sulla scansione degli spazi che sono stati generati da queste chiavi. di aver riavviato il computer dopo un'infezione o di aver eliminato un processo, è molto probabile che Wanakiwi non sia in grado di svolgere correttamente il suo compito.
Emsisoft
Emsisoft ha sviluppato vari tipi di decryptor per attacchi malware come:
- Badblock
- apocalisse
- Xorist
- ApocalypseVM
- timbrato
- Fabiansomware
- Filadelfia
- Al-Namrood
- Fenix Locker
- Globo (versione 1, 2 e 3)
- OzozaLocker
- GlobeImpostore
- NMoreira
- CryptON Cry128
- Amnesia (versione 1 e 2)
Alcune delle estensioni che troveremo con:
Amnesia:È uno degli attacchi più comuni, è scritto in Delphi e crittografa i file utilizzando AES-256 e aggiunge l'estensione * .amnesia alla fine del file infetto. Amnesia aggiunge l'infezione al registro di Windows in modo che venga eseguita ad ogni accesso.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Grido128:Cey128 basa il suo attacco sulle connessioni RDP e crittografa i file utilizzando versioni personalizzate di AES e RSA.
I file infetti avranno le seguenti estensioni:
- .fgb45ft3pqamyji7.onion.to._
- .id__gebdp3k7bolalnd4.onion._
- .id__2irbar3mjvbap6gt.onion.to._
- .id -_ [qg6m5wo7h3id55ym.onion.to] .63vc4
grido9:Cry9 è la versione avanzata del ransomware CryptON ed esegue attacchi tramite connessioni RDP utilizzando algoritmi di crittografia AES, RSA e SHA-512.
I file infetti da Cry9 avranno le seguenti estensioni:
- .-juccy [a] protonmail.ch.
- .ID-
- .id -_ [[email protected]] .xj5v2
- .id-_r9oj
- .id-_x3m
- .id -_ [[email protected]] _ [[email protected]] .x3m
- .-sofia_lobster [to] protonmail.ch
- ._ [wqfhdgpdelcgww4g.onion.to] .r2vy6
Danno:Questo ransomware è scritto in Delphi utilizzando gli algoritmi SHA-1 e Blowfish, crittografando il primo e l'ultimo 8 Kb del file interessato.
I file con questa estensione hanno l'estensione .damage.
CryptON
È un altro ransomware che esegue i suoi attacchi tramite RDP utilizzando algoritmi RSA, AES-256 e SHA-256. I file interessati da questo ransomware avranno le seguenti estensioni:
- .id-_locked
- .id-_locked_by_krec
- .id-_locked_by_perfect
- .id-_x3m
- .id-_r9oj
- .id-_garryweber @ protonmail.ch
- .id-_steaveiwalker @ india.com_
- .id-_julia.crown @ india.com
- .id-_tom.cruz @ india.com_
- .id-_CarlosBoltehero @ india.com_
Nel seguente link possiamo vedere informazioni dettagliate sulle varie estensioni degli altri tipi di ransomware che Emsisoft attacca:
Strumento Avast Decryptor
Un altro dei leader nello sviluppo di software di sicurezza è Avast che, oltre agli strumenti antivirus, ci offre molteplici strumenti per decrittografare i file sul nostro sistema che sono stati colpiti da più tipi di ransomware.
Grazie ad Avast Decryptor Tool possiamo affrontare vari tipi di ransomware come:
- Bart: aggiungi l'estensione .bart.zip ai file infetti
- AES_NI: aggiungi le estensioni .aes_ni, .aes256 e .aes_ni_0day ai file infetti utilizzando la crittografia AES a 256 bit.
- Alcatraz. Aggiungi l'estensione Alcatraz utilizzando la crittografia AES-256 a 256 bit.
- Apocalypse: aggiungi le estensioni .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted ai file infetti.
- Crypt888: aggiungi l'estensione Lock. All'inizio del file infetto
- CryptopMix_: aggiungi le estensioni .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd ai file utilizzando la crittografia AES a 256 bit
- EncriptTile: aggiungi la parola encripTile da qualche parte nel file.
- BadBlock: questo ransomware non aggiunge estensioni ma visualizza un messaggio chiamato Help Decrypt.html.
- FindZip: aggiungi l'estensione .crypt ai file interessati, specialmente negli ambienti macOS.
- Jigsaw: questo ransomware aggiunge una delle seguenti estensioni ai file interessati .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ followint.org o .gefickt.
- Legion: aggiungi le estensioni ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion o $ Centurion_legion @ aol.com $ .cbf ai file infetti.
- XData: aggiungi l'estensione ~ Xdata ~ ai file crittografati.
Per scaricare alcuni degli strumenti per ciascuno di questi tipi di ransomware possiamo visitare il seguente link:
Nota:Lì troveremo altri tipi di attacco aggiuntivi.
Strumenti di decrittografia AVG ransomware
Non è un segreto per nessuno che un'altra delle principali società di sicurezza sia AVG, che ci consente di scaricare gratuitamente più strumenti sviluppati appositamente per i seguenti tipi di attacchi:
Tipi di attacchi
- Apocalypse: questo attacco aggiunge le estensioni .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted ai file interessati.
- Badblock: aggiunge il messaggio Help Decrypt.html al computer infetto.
- Bart: questo attacco aggiunge l'estensione .bart.zip ai file infetti.
- Crypt888: aggiungi l'estensione Lock all'inizio dei file infetti.
- Legion: Questo attacco aggiunge alla fine dei file interessati le estensioni ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion o $ Centurion_legion @ aol.com $ .cbf
- SZFLocker: questo ransomware aggiunge l'estensione .szf ai file
- TeslaCrypt: questo tipo di attacco non crittografa i file ma visualizza il seguente messaggio una volta crittografati i file.
Alcuni di questi strumenti possono essere scaricati al seguente link.
Niente più riscatto
Questa applicazione è stata progettata congiuntamente da aziende come Intel, Kaspersky ed Europool e si concentra sullo sviluppo e sulla creazione di strumenti incentrati sugli attacchi ransomware come:
Tipi di attacchi
- Rakhni: questo strumento decodifica i file interessati da Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) versione 3 e 4 .
- Mole: crittografa i file con l'estensione mole
- Cry128
- BTC
- Cry9
- Danno
- Alcatraz
- Bart tra molti altri.
Nel seguente link possiamo scaricare ciascuno di questi strumenti e sapere in dettaglio come influenzano i file:
Molte di queste applicazioni sono, come abbiamo detto, sviluppate in collaborazione con altre aziende.
In questo modo, abbiamo più opzioni per contrastare gli attacchi ransomware e avere i nostri file disponibili.