Decrypt Tools ou Decrypter de Ransomware

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2019-11-02_123556.png

Emisoft a réalisé un decrypter pour le ransomware PARADISE


Lien de téléchargement : https://www.emsisoft.com/ransomware-dec ... s/paradise

Usage : https://www.emsisoft.com/ransomware-dec ... radise.pdf


ATTENTION !

Seules les fichiers avec l' extension :

.p3rf0rm4
.prt
.exploit
.immortal
.Recognizer
.sambo
.paradise (e.g. _V.0.0.1{[email protected]}.paradise)
.FC (e.g. _Support_{}.FC)
.sev (e.g. _Kim Chin Im_{}.sev)

peuvent être remis en l'état

De plus pour utiliser le décrypter, les victimes ont besoin d'une paire de fichiers chiffrés et non chiffrés d'une taille supérieure à 3 Ko

Une fois que vous avez une paire de fichiers cryptée et non cryptée, téléchargez le déchiffreur Paradise Ransomware de Emsisoft et exécutez-le. Vous serez ensuite invité à sélectionner les versions cryptées et non cryptées du fichier
2019-11-02_123513.png
Une fois que vous avez sélectionné les fichiers, cliquez sur le bouton Démarrer et le déchiffreur tentera de forcer brutalement la clé de déchiffrement. Quand une clé a été trouvée, le déchiffreur affichera une alerte et chargera la clé.

Appuyez sur OK et vous serez amené à un écran où vous pouvez ajouter les lecteurs que vous souhaitez décrypter. Le lecteur C: sera déjà ajouté au déchiffreur.

Une fois les lecteurs sélectionnés, cliquez sur le bouton Décrypter pour lancer le processus de déchiffrement.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Entre deux décrypters quelques infos à savoir

Les chiffres :

Kaspersky a détecté 16 017 nouvelles modifications de ransomware au deuxième trimestre 2019, c’est plus du double par rapport à celles découvertes l’an dernier à la même période.

Cela rapporte globalement 1 milliard de dollars par an

20% des victimes qui décident de payer ne récupèrent pas leurs données volées

la prévention des menaces n'est plus suffisante
77% des victimes de ransomware avaient un système de protection parfaitement à jour lorsqu’elles ont été attaquées.

La sauvegarde est LA solution de prévention, mais cela ne s'improvise pas et il faut définir un plan de sauvegarde (Pour un particulier, sauvegarder uniquement sur un NAS par ex n'est pas une bonne solution)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Emisoft a réalisé un decrypter pour le ransomware JIGSAW


Les spécialistes Emsisoft ont mis en ligne un outil permettant de déchiffrer les fichiers utilisateur affectés par la famille des ransomwares, appelée Jigsaw. De plus, les développeurs promettent de mettre à jour leur décodeur avec l’avènement de nouvelles versions du malware.

Actuellement, Emsisoft est capable de restaurer des fichiers cryptés avec 85 variantes de Jigsaw à leur état d'origine. Rappelons que cette famille de ransomware utilise un film d’horreur comme leitmotiv.


Le lien de téléchargement https://www.emsisoft.com/ransomware-dec ... ols/jigsaw
Emisoft jigsaw.png

Pour rappel, Jigsaw s’attaque aux utilisateurs depuis environ 2016, en s’appuyant sur l’idée du populaire film «Saw»: la victime doit résoudre le puzzle dans les délais impartis.


Jigsaw chiffre non seulement les fichiers, mais les supprime également à intervalles réguliers. Après 72 heures, l'utilisateur concerné n'aura plus aucun document personnel.

Si vous essayez de redémarrer l'ordinateur pendant l'exécution de Jigsaw, le logiciel malveillant se redémarrera automatiquement et supprimera immédiatement 1 000 fichiers. Telle est la sanction pour avoir tenté de le contrer.
2019-11-22_095203.png
Les auteurs de cryptomonnaies exigent de l’utilisateur un montant compris entre 20 et 2 000 dollars. Jigsaw utilise AES-128 pour le cryptage et ajoute les extensions «.fun» et «.game» aux fichiers.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Emisoft a réalisé un decrypter pour le ransomware AURORA


2020-01-14_135644.jpg

Aurora est une famille de rançongiciels qui crypte les fichiers à l'aide de XTEA et RSA, et peut également être connue sous le nom de "Zorro", "Desu" ou "AnimusLocker". Les extensions connues incluent ".Aurora", ".aurora", ".animus", ".ONI", ".Nano", ".cryptoid", ".peekaboo", ".isolated", ".infected", ". verrouillé "," veracrypt "," .masked "et" .crypton ".

Le logiciel malveillant laisse de nombreuses notes de rançon, par exemple "! -GET_MY_FILES - !. txt", "# RECOVERY-PC # .txt" et "@ [email protected]".


Lien de téléchargement direct : https://www.emsisoft.com/ransomware-dec ... oad/aurora
Usage : https://decrypter.emsisoft.com/howtos/e ... aurora.pdf
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Emisoft a réalisé un decrypter pour le ransomware "Ransomwared”


Vous vous souvenez de
https://www.malekal.com/arnaque-mail-hacker-piratage/
viewtopic.php?f=11&t=60848

où il était demandé de l'argent pour des vidéos "compromettantes" que vous avez partagé/envoyé (et rien à voir avec l'affaire Benjamin G.) ou de séances de... "décontraction" avec votre Webcam devant une video de.. dessins animés de la chaine Gulli ? :-)

Là des petits malins qui font une fixette sur une certaine partie anatomique font un processus inverse
Il est demandé d'envoyer une photo de vos "TITS" (il n'est pas précisé femme ou homme mais le message joint demande des photos de vous nu(e)s) en échange d'une clé de déchiffrement)
Image.jpg
Tits.jpg
Il est évident que quelque soit l'importance des données, il ne faut pas se conformer aux exigences des cybercriminels au sens global mais encore PLUS particulièrement dans ce cas précis (chantage à la clé à l'issue)

Le ransomware ajoute une extension ".ransomwared" ou ".iwanttits" à la fin des noms de fichier des fichiers concernés. Par exemple, un fichier nommé à l'origine "crystal-water.mp3" sera renommé "crystal-water.mp3.ransomwared" (ou crystal-water.mp3.iwanttits).
2020-02-18_102722.jpg
Les méthodes d'infection sont toujours les mêmes :

- spams contenant des pièces jointes infectées
- mises à jour de logiciels factices (player video, Adobe Flash etc
- traqueurs de torrent, opérations de malvertisation, etc

Il cible les documents, images, audio, vidéos, des feuilles de calcul , présentations, archives, bases de données et divers autres types de fichiers
2020-02-18_102622.jpg
La souche de ce ransomware est apparue en 2018 et utilise un chiffrement DES (des années 70)

https://twitter.com/leotpsc/status/1075469755081990146

et en plus la clé qui déverrouille les fichiers est stockée dans le code source du malware en texte brut

A croire qu'il s'agit de l'oeuvre d'un ado en manque d'images mammaires :-)
Néanmoins ce nouveau type de chantage peut donner des idées et ouvrir la porte à d'autres ransomware nettement plus sophistiqués

La solution :

https://www.emsisoft.com/ransomware-dec ... ansomwared
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Les experts de la société antivirus roumaine Bitdefender ont publié un outil gratuit pour décrypter les fichiers affectés par le ransomware

Darkside

2021-01-12_153506.jpg


Les victimes n'ont plus à payer la rançon.
Le décodeur est disponible en téléchargement sur le site officiel de Bitdefender, où vous pouvez trouver des instructions sur la façon d'utiliser l'outil. Pour rappel, les opérateurs de Darkside distribuent le ransomware depuis l'été 2020.

https://labs.bitdefender.com/2021/01/da ... tion-tool/


Se rappeler que chez Bitdefender on trouve d'autres décryteur pour les ransomware

https://labs.bitdefender.com/category/free-tools/


MamoCrypt
WannaRen
OuroBoros
GoGoogle (aka BossiTossi)
Shade (Troldesh)
Paradise
GandCrab V5.2


On peut noter l'évolution du decrypteur GrandCrab chez Bitdedender
Grandcrazb.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Vu les méthodes utilisées, ils se font rares mais voici un décrypteur pour AVADDON

L'attaque était reconnaissable avec le fameux smiley envoyé lors d'un phishing

2021-06-14_125109.png



LIEN DU DECRYPTEUR

https://www.emsisoft.com/ransomware-dec ... ls/avaddon


A l'origine de l'histoire ce sont ceux qui sont derrière ce ransomware qui ont envoyé les 2 934 clés de déchiffrement, où chaque clé correspond à une victime spécifique à Bleeping Computer

"À l'heure actuelle, tous les sites Tor d'Avaddon sont inaccessibles, ce qui indique que l'opération de ransomware s'est probablement arrêtée.

On ne sait pas pourquoi Avaddon a fermé, mais cela a probablement été causé par la pression et le contrôle accrus des forces de l'ordre et des gouvernements du monde entier après les récentes attaques contre des infrastructures critiques. "
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
Parisien_entraide
Messages : 8236
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Pas de "Décryptor" annoncé mais ...


Ransomware ClOp


Clap de Fin pour ClOp



Source principale :

https://www.npu.gov.ua/news/kiberzlochi ... -zbitkiv/


En collaboration avec Interpol (IGCI) la Corée du Sud et des États-Unis, la CyberPolice Ukrainienne a arrêté 6 individus, qui appartenaient au groupe identifié comme TA505 et qui envoyaient des emails piègés avec un ransomware


Avec l'aide du programme malveillant "Clop", les prévenus ont crypté les données sur les médias d'entreprises en République de Corée, aux États-Unis mais également en France (et autre pays)
On peut voir l'évolution au fil des ans, les pays visés, et les données prisées
evolution.png

Le cheval de Troie était connu sous le nom Flawed Ammyy RAT (FlawedAmmyy) (Le ransomware "Cl0p" a été aussi déployé)

Cependant, jusqu’en 2017, l activité du groupe était concentrée la distribution de chevaux de Troie bancaires et de rançongiciels (Dridex et Trickbot avec des liens avec les campagnes Locky)

Le montant des dommages s’élève à 500 millions de dollars.

Derrière ce rançongiciel, se trouverait le groupe TA505, sur lequel l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’était penchée au mois de juin 2020.
https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-006/

https://www.cert.ssi.gouv.fr/uploads/CE ... TI-006.pdf


Contrairement aux attaques de ransomware courantes, qui cryptent un grand nombre de PC et de serveurs désinstallés, l'attaque Advanced Persistent Threat (APT) vise le réseau informatique d'une victime spécifique et infecte l'ensemble du système avec un programme de ransomware.


Le rançongiciel Cl0p a été découvert par l’expert Michael Gillespsie début 2019. Il a notamment été utilisé contre le CHU de Rouen
Ils se sont ainsi notamment attaqués au spécialiste français des géosciences CGG, Steris, CSX ou encore Bombardier, et Qualys.

Un site Internet avait été créé en mars 2020 afin de publier les données exfiltrées de victimes du rançongiciel Clop qui n’auraient pas payé leur rançon, probablement afin d’ajouter une pression supplémentaire sur les futures victimes.
2021-06-16_195650.png
message.png


Les forces de l'ordre ont effectué 21 perquisitions dans la capitale et la région de Kiev, au domicile des accusés et dans leurs voitures.
La police ukrainienne indique avoir saisi plus de 150 000 euros en liquide

Leurs voitures: Tesla, Mercedes, etc. que leurs équipements informatiques – dont des Mac – ont également été saisis.

Les prévenus risquent jusqu'à huit ans de prison. Les enquêtes se poursuivent.
Cela pourra peut etre permettre de mettre la main sur des clés etc


Les arrestation filmées :




Ces "pirates" des gens comme tout le monde
des gens.png


mais qui aiment toujours rouler dans des voitures haut de gamme

2021-06-16_200927.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »