Decrypt Tools ou Decrypter de Ransomware

[Parisien_entraide]

2022-01-17_144828.jpg

Ce n'est pas un décryptor, mais juste pour le plaisir de voir quelques uns de ces salopards mis hors d'état de nuire

A la base on a ce communiqué de presse http://www.fsb.ru/fsb/press/message/sin ... ssage.html
Si vous ne connaissez pas les langues slaves autrement qu'après avoir ingurgité une bouteille de vodka, pour rappel il existe de très bon programme de traduction pour Firefox et les navigateurs sous Chromium
viewtopic.php?t=68785

Pour résumer il s'agit de l'arrestation de membres qui sont derrière le ransomware REVIL suite à une demande des Etats unis qui avait identifier les criminels

Au total de 14 personnes arrêtées et soupçonnés d'activités cybercriminelles.
La police a confisqué de l'argent à toutes les adresses : Plus de 426 millions de roubles. 600 mille dollars. 500 mille euros.

Ces personnes risquent entre 5 et 8 ans de prison, ce qui n'est pas cher payé je trouve, car ils n'avaient pas que des activités de ransomware à leur actif. Il y avait également par exemple du carding (utilisation illégale de carte de crédit, d'un compte bancaire et d'autres informations financières d'une victime).
L'accusation première pour l'instant est ""circulation illégale de moyens de paiement". Ce qui explique peut etre la faiblesse de la peine encourue
Le reste pouvant être un moyen de pression pour que le GRU puisse "recycler ces criminels :-) (Les USA font la même chose, ainsi que d autres pays)


Je cite :

Les forces de l'ordre russes ont confisqué des voitures coûteuses achetées avec le produit des cyberattaques, ainsi que du matériel informatique et des portefeuilles de crypto-monnaie. Selon les informations disponibles, des perquisitions ont eu lieu à Moscou et dans la région de Moscou, à Saint-Pétersbourg et dans la région de Leningrad et dans la région de Lipetsk.

L'info était déjà disponible depuis quelques jours en anglais via https://www.bleepingcomputer.com/news/s ... g-members/ avec des détails supplémentaires, mais c'est le fait d'avoir une vidéo qui m'a incité à mettre cette news


La vidéo de l'arrestation




En attendant l'activité ransomware se poursuit car depuis début janvier on a vu

L 'arrivée d'un petit nouveau : WASP, qui ajoute l' extension .0.locked aux fichiers chiffrés, de deux nouvelles versions (des variants en fait) de STOP RANSOMWARE qui ajoute l' extension .nqhd pour l'un et pour l'autre l' extension .zaqi et pour un troisième l' extension .dehd
Une nouvelle version du rançongiciel Golang qui ajoute l' extension .xyz
Une nouvelle version du "Problem Ransomware" qui ajoute l' extension .problem
Des versions Linux de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque de journalisation Log4j, également connue sous le nom de Log4Shell, pour accéder aux systèmes VMware Horizon, exploitée par les groupes Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide , Hellokitty, AvsLocker, Night Sky

On a des campagnes Qlocker et eCh0raix ciblant les appareils NAS QNAP, (voir les conseils sur ce site dédié au NAS)
https://www.cachem.fr/alerte-qnap-des-a ... ansomware/
https://www.cachem.fr/alerte-qnap-attaq ... te-et-fin/

et surtout depuis ces 15 premiers jours de janvier, l'arrivé de plusieurs groupes criminels dont le "métier" est lié au ransomware
Telle l'hydre on coupe une tête il en repousse d'autres... L'agent facile attirant les être faibles, ayant des problèmes psychiatriques (l'empathie est complètement absente chez eux), les malfaisants, ... est un bon moteur

[Parisien_entraide]

2022-02-09_120641.jpg

AVAST fourni un décrypteur pour : TargetCompany



Ce ransomware est actif depuis mi 2021, et réalise différentes actions pour préparer votre machine, notamment en désactivant les clichés instantanés (vssadmin.exe), en modifiant les options de boot via BCDedit, etc.
Ensuite, il chiffre les données en utilisant plusieurs extensions (.mallox, .exploit, .architek, ou .brg), tout en posant des exclusions sur certains dossiers et extensions afin que la machine reste opérationnelle.


Les victimes du rançongiciel TargetCompany peuvent télécharger l'outil de décryptage à partir des serveurs d'Avast ( 64 bits ou 32 bits ) pour décrypter des partitions de disque entières en suivant les instructions affichées dans l'interface utilisateur de l'outil.

64Bits : https://files.avast.com/files/decryptor ... pany64.exe
32Bits : https://files.avast.com/files/decryptor ... ompany.exe


Petit bémol pour les impatients :

Ce décrypteur ne peut être utilisé que pour restaurer des fichiers cryptés "dans certaines circonstances".

Les victimes qui souhaitent récupérer leurs fichiers à l'aide de cet outil de décryptage doivent également être conscientes qu'il s'agira probablement d'un processus gourmand en ressources et en temps.

"Pendant le craquage du mot de passe, tous vos cœurs de processeur disponibles dépenseront la majeure partie de leur puissance de calcul pour trouver le mot de passe de déchiffrement. Le processus de craquage peut prendre beaucoup de temps, jusqu'à des dizaines d'heures", a déclaré Avast .

2022-02-09_120702.jpg

Mais surtout

Le décrypteur de rançongiciel TargetCompany fonctionne en déchiffrant le mot de passe après avoir comparé un fichier crypté avec sa version originale non cryptée.

Cela impose donc d'avoir le même fichier "en clair" dans une sauvegarde
Par contre une fois le mot de passe trouvé cela fonctionnera pour tous les fichiers

Bien lire la documentation d'usage fournie par AVAST : https://decoded.avast.io/threatresearc ... ansomware/

[Parisien_entraide]

Décrypteur Emsisoft pour Maze / Sekhmet / Egregor

2022-02-14_062624.jpg

Le ransomware Maze a commencé à fonctionner en mai 2019 et est rapidement devenu célèbre car il était responsable de l'utilisation de tactiques de vol de données et de double extorsion désormais utilisées par de nombreuses opérations de ransomware.

Après que Maze a annoncé sa fermeture en octobre 2020, ils ont été renommés en septembre sous le nom d'Egregor , qui a ensuite disparu après l'arrestation de membres en Ukraine .
Sekhmet est apparu en mars 2020, alors que Maze était toujours actif


Téléchargement : https://www.emsisoft.com/ransomware-dec ... et-egregor
Guide d'utilisation : https://decrypter.emsisoft.com/howtos/e ... gregor.pdf

[Parisien_entraide]

Décrypteur EMISOFT pour HydraCrypt et UmbreCrypt


HydraCrypt et UmbreCrypt sont les deux nouveaux variants du Ransomware de la famille "CrypBoss"


La seule différence notable entre les deux Ransomware est la façon dont ils montrent la menace pour la victime.

- Si votre PC est infecté par Hydracrypt Ransomware, vous êtes susceptible d’obtenir un pop-up vous donnant un avertissement de 72 heures pour payer la rançon.
- UmbreCrypt suit presque un script similaire à Hydracrypt demandant à la victime de traiter pour envoyer un e-mail à l’une des deux adresses – “UmbreCrypt @engineer.com” et “UmbreCrypt @consultant.com”.

Dans le cas d’Hydracrypt, la victime devait contacter [email protected] ou [email protected]


Lien de téléchargement du décrypteur : http://emsi.at/DecryptHydraCrypt


Malheureusement, les modifications apportées par les auteurs HydraCrypt et UmbreCrypt entraînent une détérioration irrémédiable de jusqu'à 15 octets à la fin du fichier.
Cependant, pour la plupart des formats de fichiers, les derniers octets de fin ne sont pas cruciaux ou peuvent être réparés relativement facilement en ouvrant et en enregistrant simplement les fichiers.
Pour les autres formats de fichiers, des outils de réparation et de récupération dédiés peuvent être disponibles.



PROCEDURE

Étape 1: Localisez tout fichier crypté sur votre système, où vous avez également la version originale non cryptée du fichier. Si vous ne trouvez pas une telle paire de fichiers, recherchez un fichier PNG crypté et obtenez une image PNG aléatoire sur Internet.

Étape 2: Sélectionnez les deux fichiers et faites-les glisser et déposez-les sur l’exécutable du décrypteur. Assurez-vous que les deux fichiers sont glissés et déposés en même temps.


Cliquez sur l'image pour déclencher l'animation :

decrypter_howto_dragdrop.gif

Le décrypteur essaiera alors de déterminer la clé de cryptage de votre système en fonction des deux fichiers que vous avez fournis. Ce processus peut prendre beaucoup de temps et, en fonction de votre processeur et de votre système, peut prendre plusieurs jours.

Une fois la clé de déchiffrement déterminée, vous obtiendrez un message comme celui-ci

decryption_key_found.png

Cliquez simplement sur OK et le décrypteur démarrera normalement. Si vous obtenez un message d'erreur à la place, assurez-vous d'avoir fait glisser et déposé les bons fichiers. Si vous l'avez fait, vous avez peut-être été ciblé par une famille de logiciels malveillants complètement différente ou par une nouvelle variante que ce décrypteur ne prend pas encore en charge.

Tous les dossiers que vous ajoutez à la liste des dossiers seront déchiffrés de manière récursive, ce qui signifie que les fichiers situés dans les sous-dossiers du dossier sélectionné seront également déchiffrés.

[Parisien_entraide]

2022-03-12_111329.jpg

Kaspersky a mis à jour son décrypteur pour le ransomware ( et famille) Rakhni

Celui ci déchiffre les fichiers affectés par

Code : Tout sélectionner

- Rakhni, 
- Agent.iih, 
- Aura, 
- Autoit, 
- Pletor, 
- Rotor, 
- Lamer, 
- Cryptokluchen, 
- Lortok, 
- Democry, 
- Bitman
- TeslaCrypt version 3 et 4, 
- Chimera, 
- Crysis (versions 2 et 3), 
- Jaff, 
- Dharma,
- Nouvelles versions du rançongiciel Cryakl, Yatron, FortuneCrypt, Fonix, Maze, Sekhmet, Egregor.     

Les noms de ransomwares que l'on peut trouver dans cette famille du moins l'appellation de Kaspersky :

Code : Tout sélectionner

    Trojan-Ransom.Win32.Ragnarok
    Cheval de Troie-Rançon.Win32.Fonix
    Trojan-Ransom.Win32.Rakhni
    Trojan-Ransom.Win32.Agent.iih
    Trojan-Ransom.Win32.Autoit
    Trojan-Ransom.Win32.Aura
    Cheval de Troie-Rançon.AndroidOS.Pletor
    Cheval de Troie-Rançon.Win32.Rotor
    Trojan-Ransom.Win32.Lamer
    Trojan-Ransom.Win32.Cryptokluchen
    Trojan-Ransom.Win32.Democry
    Trojan-Ransom.Win32.GandCrypt ver. 4 et 5
    Trojan-Ransom.Win32.Bitman ver. 3 et 4
    Cheval de Troie-Rançon.Win32.Libra
    Trojan-Ransom.MSIL.Lobzik
    Trojan-Ransom.MSIL.Lortok
    Trojan-Ransom.MSIL.Yatron
    Trojan-Ransom.Win32.Chimera
    Cheval de Troie-Rançon.Win32.CryFile
    Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
    Cheval de Troie-Rançon.Win32.Nemchig
    Cheval de Troie-Rançon.Win32.Mircop
    Trojan-Ransom.Win32.Mor
    Trojan-Ransom.Win32.Crusis (Dharma)
    Cheval de Troie-Rançon.Win32.AecHu
    Cheval de Troie-Rançon.Win32.Jaff
    Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
    Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
    Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
    Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
    Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
    Cheval de Troie-Rançon.Win32.Maze
    Cheval de Troie-Rançon.Win32.Sekhmet
    Trojan-Ransom.Win32.Egregor

Le lien : https://media.kaspersky.com/utilities/V ... yptor.zip

Instructions : https://support.kaspersky.com/10556?cid=noransom#block1


Plus globalement : https://noransom.kaspersky.com/

Si vous êtes certain d'avoir bien identifié la menace, et que le décrypteur ne fonctionne pas :
https://support.kaspersky.com/fr/b2c/FR#contacts


A noter que Kaspersky offre gratuitement un outil aux entreprises, pour se protéger des ransomwares , "Kaspersky Anti-Ransomware Tool for Business"

Bon après tout dépend du niveau de confiance que l'on accorde à Kaspersky avec ce type d'outil du fait des sanctions et contexte de guerre
viewtopic.php?t=70419 et de ce que l'on traite au sein de l'entreprise

[Parisien_entraide]

Décrypteur gratuit publié pour les victimes d' HermeticRansom en Ukraine

2022-03-12_112940.jpg

Source : https://www.bleepingcomputer.com/news/s ... n-ukraine/

Avast a publié un décrypteur pour la souche de ransomware HermeticRansom utilisée dans les attaques ciblées contre les systèmes ukrainiens au cours des derniers jours.

Le ransomware cible les fichiers suivants :

docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb


avec une clé RSA-2048.

Le décrypteur est proposé en téléchargement gratuit sur le site Web d'Avast et peut aider les Ukrainiens à restaurer leurs données rapidement et de manière fiable.

Les premiers signes de la distribution d'HermeticRansom ont été observés par les chercheurs d'ESET le 23 février, quelques heures seulement avant le début de l'invasion des troupes russes en Ukraine.

Lien de téléchargement et instructions : https://decoded.avast.io/threatresearch ... are/#howto

[Parisien_entraide]

2022-03-12_120433.jpg

Au sujet de la récupération des données chiffrées par le rançongiciel Hive

Je donne juste les liens pour information et pour voir (suivi) sur quoi cela va déboucher, car pour l'instant ce ne sont que des méthodes décrites avec 2 impératifs

- Il s'agit visiblement d'une ancienne version de HIVE
- Cela nécessite des CENTAINES de paires de fichiers cryptés / originaux (ou alors un très gros fichier avec son équivalent non crypté)

https://arxiv.org/abs/2202.08477
https://therecord.media/academics-publi ... ansomware/
https://thehackernews.com/2022/02/maste ... mware.html

[Parisien_entraide]

Après que CyCraft a publié un décrypteur en août 2021, Avast a publié un nouveau décrypteur gratuit pour le rançongiciel Prometheus


Prometheus est une souche de rançongiciel écrite en C# qui a hérité de beaucoup de code d'une souche plus ancienne appelée Thanos.

2022-03-12_124442.jpg

Instructions et lien de téléchargement : https://decoded.avast.io/threatresearch ... ansomware/

[Parisien_entraide]

Décrypteur EMISOFT pour Diavol

2022-03-20_121406.jpg

Bien que présent depuis au moins juin 2021, le rançongiciel Diavol n'a jamais été très actif


Téléchargement direct : https://www.emsisoft.com/ransomware-dec ... oad/diavol

Utilisation ; https://www.emsisoft.com/ransomware-dec ... diavol.pdf



""Le décrypteur nécessite l'accès à une paire de fichiers composée d'un fichier crypté et de la version originale non cryptée du fichier crypté pour reconstruire les clés de cryptage nécessaires pour décrypter le reste de vos données", explique Emsisoft.

"Par défaut, le décrypteur pré-remplira les emplacements à décrypter avec les lecteurs et lecteurs réseau actuellement connectés."

Cet outil de décryptage du rançongiciel Diavol conservera les fichiers cryptés lors de l'attaque en tant que sécurité intégrée si les fichiers décryptés ne sont pas identiques aux documents originaux.

De plus, il est livré avec un "Autoriser le décryptage partiel des fichiers volumineux", nécessaire pour récupérer partiellement certains fichiers plus volumineux que la paire de fichiers fournie pour reconstruire les clés de cryptage. Ceci est nécessaire car le décrypteur peut ne pas réussir à récupérer ces fichiers en raison de limitations techniques."

[Parisien_entraide]

Décrypteur pour le ransomware Yanluowang



Téléchargement de l'outil et explications ; https://support.kaspersky.com/8547

2022-04-23_091435.jpg

Cette souche de ransomware crypte les fichiers de plus de 3 Go et ceux de moins de 3 Go en utilisant différentes méthodes : les plus gros sont partiellement cryptés en bandes de 5 Mo tous les 200 Mo, tandis que les plus petits sont entièrement cryptés du début à la fin.

Pour cette raison, "si le fichier d'origine est supérieur à 3 Go, il est possible de déchiffrer tous les fichiers du système infecté, petits et grands. Mais s'il existe un fichier d'origine inférieur à 3 Go, seuls les petits fichiers peuvent être déchiffré."

Pour déchiffrer vos fichiers, vous avez besoin d'au moins un des fichiers originaux :

- Pour décrypter de petits fichiers (inférieurs ou égaux à 3 Go), vous avez besoin d'une paire de fichiers d'une taille de 1024 octets ou plus. Cela suffit pour décrypter tous les autres petits fichiers.
- Pour décrypter de gros fichiers (plus de 3 Go), vous avez besoin d'une paire de fichiers (cryptés et originaux) d'au moins 3 Go chacun. Cela suffira à décrypter les gros et les petits fichiers.

Kaspersky RannohDecryptor est un outil gratuit pour décrypter les fichiers affectés par le Trojan-Ransom.Win32.Rannoh.
L'outil RannohDecryptor est conçu pour décrypter les fichiers cryptés par les rançongiciels suivants :

Trojan-Ransom.Win32.Rannoh
Cheval de Troie-Rançon.Win32.AutoIt
Trojan-Ransom.Win32.Cryakl
Trojan-Ransom.Win32.CryptXXX versions 1, 2 et 3
Trojan-Ransom.Win32.Crybola
Trojan-Ransom.Win32.Polyglot
Cheval de Troie-Rançon.Win32.Fury
Cheval de Troie-Rançon.Win32.Yanluowang

[Parisien_entraide]

Décrypteur pour le ransomware HIVE (Versions 1 à 4)


Finalement ils y sont arrivés (voir la news du mois de mars 2021)


l'info est arrivée par le biais de la Korea Internet & Security Agency (KISA)

https://seed.kisa.or.kr/kisa/Board/133/detailView.do

Pour résumer :

"L'Agence coréenne de sécurité Internet et de sécurité (KISA) distribue l'outil de récupération intégré du ransomware Hive avec un .pdf explicatif.
Cet outil de récupération peut récupérer les fichiers cryptés de la version 1 à la version 4 généfés par ransomware Hive."

2022-07-02_181847.jpg

Il faut savoir que le décrypteur a pu voir le jour du fait d'une faillé révélée (malheureusement) en février dernier par des chercheurs de l'Université Kookmin (Corée du Sud)

Les auteurs du ransomware qui sont toujours au courant de ce qui se passe ont comblé la faille
De plus la version Linux d Hive a vu son son encodeur écrit en Rust, et non en Go, comme auparavant. Cette innovation améliore la vitesse, l'efficacité et la stabilité du code malveillant.


Pour en revenir au décrypteur :

Le seuls soucis pour l'instant c'est que tout est en Koréen (dont le PDF sur leur site : Hive_랜섬웨어_통합_복구도구_사용_매뉴얼.pdf qui fournit des instructions étape par étape pour récupérer gratuitement les données cryptées)


En traduisant la page viewtopic.php?t=68785
on peut avoir accès à l'outil (j'ai testé à la fois pour le programme qui télécharge un fichier .zip du nom de " Hive_Ransomware_Integrated_Decryption_Tool.zip" et le PDF (nom déjà cité)


Cependant on devrait le voir prochainement sur NoMoreRansom (il n'y est pas à ce jour)

2022-07-02_182153.jpg

METHODE DE HIVE

Le cybergroupe derrière Hive, dont les attaques ont commencé en juin 2021, utilise des serveurs RDP vulnérables, des identifiants VPN compromis et des e-mails de phishing avec des pièces jointes malveillantes pour pénétrer le réseau de la victime.
De plus, les attaquants utilisent le système dit de double extorsion, dans lequel des fichiers importants sont non seulement cryptés, mais également téléchargés sur un serveur appartenant aux criminels avant de crypter le tout chez la victime
Par la suite, les "extorqueurs" menacent de divulguer les informations privilégiées à moins que l'entreprise ou le particulier (car il y en a eu) ne paie la rançon.
Le ransomware Hive est l'une des 10 principales souches de ransomwares en termes de revenus en 2021.




PARTIE TECHNIQUE


"En février, une équipe de chercheurs de l'Université Kookmin (Corée du Sud) a découvert une faille dans l'algorithme de chiffrement utilisé par le rançongiciel Hive qui leur permettait de déchiffrer des données sans connaître la clé privée utilisée par le gang pour chiffrer les fichiers."

"Le rançongiciel Hive utilise un schéma de chiffrement hybride, mais utilise son propre chiffrement symétrique pour chiffrer les fichiers. Nous avons pu récupérer la clé principale pour générer la clé de chiffrement du fichier sans la clé privée de l'attaquant, en utilisant une vulnérabilité cryptographique identifiée par analyse. À la suite de nos expériences, les fichiers cryptés ont été décryptés avec succès à l'aide de la clé principale récupérée basée sur notre mécanisme. lit l' article publié par des chercheurs de l'Université Kookmin (Corée du Sud). « À notre connaissance, il s'agit de la première tentative réussie de décryptage du rançongiciel Hive. Nous avons démontré expérimentalement que plus de 95 % des clés utilisées pour le chiffrement pouvaient être récupérées en utilisant la méthode que nous avons suggérée."

"La technique mise au point par l'équipe d'universitaires a permis de récupérer plus de 95 % des clés utilisées

Les experts ont détaillé le processus utilisé par le rançongiciel Hive pour générer et stocker la clé principale des fichiers des victimes. Le ransomware génère 10 Mo de données aléatoires et les utilise comme clé principale. Le malware est extrait d'un décalage spécifique de la clé principale 1MiB et 1KiB de données pour chaque fichier à chiffrer et utilise comme flux de clés. Le décalage est stocké dans le nom de fichier chiffré de chaque fichier. Cela signifie que les experts ont pu déterminer le décalage du flux de clés stocké dans le nom de fichier et décrypter le fichier.

Les résultats des tests ont démontré l'efficacité de la méthode, la clé maîtresse a récupéré 92% a réussi à déchiffrer environ 72% des fichiers, tandis que la clé maîtresse a restauré 96% a réussi à déchiffrer environ 82% des fichiers, et la clé maîtresse a restauré 98% ont réussi à décrypter environ 98% des fichiers."

Les découvertes des chercheurs ont probablement été le point de départ des travaux de l'agence KISA qui a finalement développé un décrypteur.


Cette possibilité est désormais fermée : le login et le mot de passe fournis à la victime ne sont plus stockés dans le code exécutable, mais lui sont passés au démarrage en argument de la ligne de commande.

La même technique est utilisée par un autre ransomware qui maîtrise Rust, BlackCat/ALPHV . La similitude a même induit en erreur les antivirus


https://arxiv.org/abs/2202.08477

[Parisien_entraide]

2022-07-06_185035.jpg

Decrypteur (à venir) pour le ransomware ASTRALOCKER

Edit du 10/07/2022 : C'est fait Emisoft le propose (voir plus bas)


Le groupe à l'origine des attaques de ransomware AstraLocker a annoncé l'arrêt des activités de ransomware.
Désormais, les cybercriminels veulent passer au cryptojacking.
De plus, les opérateurs d'AstraLocker ont même téléchargé une archive ZIP avec des décrypteurs sur VirusTotal , ce qui aidera à restaurer les fichiers affectés à leur état précédent. BleepingComputer a analysé l'archive et confirmé l'authenticité des outils de décryptage.

L'attaquant n'a pas révélé la raison de la fin des attaques, cependant, on pense que les campagnes AstraLocker pourraient attirer l'attention des forces de l'ordre. Cela s'est déjà produit auparavant, il convient de rappeler l'exemple du même BlackMatter, dont les opérateurs ont quitté le jeu sous la pression des forces de l'ordre .

Les spécialistes d'Emsisoft travaillent actuellement sur un décrypteur universel, et il sera bientôt disponible pour toutes les victimes du ransomware.

2022-07-06_185436.jpg

Soit dit en passant, les attaques AstraLocker se distinguent par la méthode inhabituelle de chiffrement des appareils des victimes.

Comme l'ont noté les chercheurs de ReversingLabs, au lieu de compromettre les appareils, les attaquants ont déployé des charges utiles directement à partir de pièces jointes à l'aide de documents Microsoft Word malveillants.
Avant le chiffrement, le logiciel malveillant vérifiait toujours s'il s'exécutait sur une machine virtuelle, mettait également fin aux processus antivirus et empêchait la création de sauvegardes.

______

Edit du 10/07/2022

Un décrypteur pour AstraLocker ou Yashma peut être téléchargé mainternant à partir du site Web d'Emsisoft

2022-07-10_120608.jpg

https://www.emsisoft.com/ransomware-dec ... stralocker

il y a aussi un lien vers le manuel d'utilisation (en PDF).

https://www.emsisoft.com/ransomware-dec ... locker.pdf


Les experts avertissent que le logiciel malveillant résident doit être mis en quarantaine avant le lancement de l'utilitaire, sinon il réactivera et annulera tous les efforts de retour de données.

Le décrypteur AstraLocker est pour celui basé sur Babuk utilisant l'extension .Astra ou .babyk, et ils ont publié un total de 8 clés", a ajouté Emsisoft .

"Le décrypteur Yashma est pour celui basé sur le Chaos utilisant .AstraLocker ou une extension aléatoire .[a-z0-9]{4}, et ils ont publié un total de 3 clés."

Emsisoft a également conseillé aux victimes d'AstraLocker et de Yashma dont les systèmes ont été compromis via Windows Remote Desktop de modifier les mots de passe de tous les comptes d'utilisateurs autorisés à se connecter à distance et de rechercher d'autres comptes locaux que les opérateurs de rançongiciels auraient pu ajouter.

[Parisien_entraide]

2022-07-15_113105.jpg

Décrypteur pour HIVE 5 (pour les autres versions voir la news précédente)


Un chercheur en sécurité italien connu sur Twitter sous le nom de @reecdeep a créé un décrypteur pour le flux de clés généré par la version 5 de Hive.
https://twitter.com/reecdeep/status/1546766063223857152

Un outil permettant de renvoyer les données cryptées par le malware réécrit en Rust est disponible gratuitement sur GitHub.

A la fin du mois dernier , un décrypteur gratuit pour les victimes de Hive est sorti , écrit en Go (versions 1 à 4 incluses). Les auteurs de l'utilitaire ont averti que si la dernière version du ransomware est infectée, elle est inutile. Cette limitation est désormais levée grâce à reecDeep. Un spécialiste de la rétro-ingénierie a étudié un encodeur Rust et créé un keygen PoC, puis un programme capable de générer des listes de clés sous le débogueur et de sélectionner celles dont vous avez besoin directement sur la machine infectée.

L'utilisateur a le choix entre trois opérations possibles :

image1hive_5_decryptor.jpeg

Dans un commentaire pour Tech Monitor , https://techmonitor.ai/technology/cyber ... key-conti l'analyste a noté que l'impulsion pour la création du décrypteur PoC était la croissance de l'activité de Hive.

Les opérateurs de ransomwares se sont concentrés sur les installations médicales, et de telles attaques mettent en danger la santé et même la vie des patients.
Selon Recorded Future, que le journaliste a examiné, Hive occupe désormais la deuxième place avec BlackCat dans le classement des logiciels malveillants en termes de nombre de publications sur les sites de fuite de ransomwares.
LockBit est toujours en tête de la triste liste - les analystes du groupe NCC ont reçu des résultats similaires pour le mois de mai .

image2hive_5_decryptor.png

Lien du décrypteur :

https://github.com/reecdeep/HiveV5_keystream_decryptor

[Parisien_entraide]

Décrypteur pour LockerGoga par Bitdefender



Téléchargement direct : https://download.bitdefender.com/am/mal ... ptTool.exe
instructions : https://www.nomoreransom.org/uploads/L ... pt-Doc.pdf

Les fichiers cryptés se présentent avec l'extension .locked

2022-09-17_104623.jpg

Source : https://www.bleepingcomputer.com/news/s ... ansomware/

Bitdefender affirme que le décrypteur a été développé en coopération avec les forces de l'ordre, notamment Europol, le projet NoMoreRansom, le parquet de Zürich et la police cantonale de Zürich.

Pour qu'un décrypteur fonctionnel soit créé, les chercheurs doivent généralement identifier une faille dans la cryptographie utilisée par le crypteur de ransomware.

Cependant, dans cette affaire, les opérateurs de LockerGoga ont été arrêtés en octobre 2021 , ce qui a peut-être permis aux forces de l'ordre d'accéder aux clés privées principales utilisées pour décrypter les clés de cryptage des victimes. (...)

Autres détails sur le lien source

[Parisien_entraide]

2023-01-06_221522.jpg

Décrypteur pour MegaCortex


Bitdefender a publié un décrypteur gratuit pour les fichiers affectés par les attaques de ransomware MegaCortex.

Pour la première fois, la famille de rançongiciels MegaCortex a été remarquée en 2019.
Par exemple, le FBI a mis en garde contre les attaques de LockerGoga et MegaCortex contre le secteur privé.

Ces deux logiciels malveillants poursuivaient à peu près les mêmes objectifs.
Les experts ont souligné un fait intéressant : dans les réseaux d'entreprise où MegaCortex a été trouvé, ils ont également trouvé Emotet et Qbot .
Soit dit en passant, les opérateurs de MegaCortex ont utilisé presque dès le début la tactique de la double extorsion : ils ont non seulement chiffré des fichiers, mais ont également volé des données internes.
En règle générale, ils ont demandé un décrypteur de 20 000 à 5,8 millions de dollars. Avec le soutien d'Europol et des chercheurs du projet NoMoreRansom, les spécialistes de Bitdefender ont réussi à créer un décrypteur.



TELECHARGEMENT


https://www.bitdefender.com/blog/labs/b ... decryptor/

Direct : https://download.bitdefender.com/am/mal ... ptTool.exe

il s'agit d'un exécutable autonome qui ne nécessite pas d'installation



CONSEILS


L'instruction (PDF) vous recommande fortement de faire d'abord une copie de sauvegarde de tous les fichiers concernés, puis de procéder ensuite au décryptage.
http://www.nomoreransom.org/uploads/Use ... ryptor.pdf

même si le décrypteur peut sauvegarder les fichiers cryptés pour des raisons de sécurité en cas de problème dans le processus de décryptage qui pourrait corrompre les fichiers au-delà de la récupération.

2023-01-06_222449.jpg

Les journaux avec le décrypteur peuvent être trouvés sur %temp%\BitdefenderLog.txt .

Si vous êtes victime des versions 2-4 de MegaCortex, avant d'exécuter le décrypteur, vous devez vous assurer que le fichier "!!READ_ME!!!.TXT" ou "!-!README!-!.RTF" est présent dans le système (bien lire le .pdf)



FONCTIONNEMENT

Le décrypteur dispose d'un mode "Scan Entire System" qui permet aux utilisateurs de rechercher des fichiers corrompus dans tout le système.
En bref il se propose de localiser automatiquement les fichiers cryptés sur le système.

2023-01-06_222417.jpg