Decrypt Tools ou Decrypter de Ransomware

[Parisien_entraide]

2022-01-17_144828.jpg

Ce n'est pas un décryptor, mais juste pour le plaisir de voir quelques uns de ces salopards mis hors d'état de nuire

A la base on a ce communiqué de presse http://www.fsb.ru/fsb/press/message/sin ... ssage.html
Si vous ne connaissez pas les langues slaves autrement qu'après avoir ingurgité une bouteille de vodka, pour rappel il existe de très bon programme de traduction pour Firefox et les navigateurs sous Chromium
viewtopic.php?t=68785

Pour résumer il s'agit de l'arrestation de membres qui sont derrière le ransomware REVIL suite à une demande des Etats unis qui avait identifier les criminels

Au total de 14 personnes arrêtées et soupçonnés d'activités cybercriminelles.
La police a confisqué de l'argent à toutes les adresses : Plus de 426 millions de roubles. 600 mille dollars. 500 mille euros.

Ces personnes risquent entre 5 et 8 ans de prison, ce qui n'est pas cher payé je trouve, car ils n'avaient pas que des activités de ransomware à leur actif. Il y avait également par exemple du carding (utilisation illégale de carte de crédit, d'un compte bancaire et d'autres informations financières d'une victime).
L'accusation première pour l'instant est ""circulation illégale de moyens de paiement". Ce qui explique peut etre la faiblesse de la peine encourue
Le reste pouvant être un moyen de pression pour que le GRU puisse "recycler ces criminels :-) (Les USA font la même chose, ainsi que d autres pays)


Je cite :

Les forces de l'ordre russes ont confisqué des voitures coûteuses achetées avec le produit des cyberattaques, ainsi que du matériel informatique et des portefeuilles de crypto-monnaie. Selon les informations disponibles, des perquisitions ont eu lieu à Moscou et dans la région de Moscou, à Saint-Pétersbourg et dans la région de Leningrad et dans la région de Lipetsk.

L'info était déjà disponible depuis quelques jours en anglais via https://www.bleepingcomputer.com/news/s ... g-members/ avec des détails supplémentaires, mais c'est le fait d'avoir une vidéo qui m'a incité à mettre cette news


La vidéo de l'arrestation




En attendant l'activité ransomware se poursuit car depuis début janvier on a vu

L 'arrivée d'un petit nouveau : WASP, qui ajoute l' extension .0.locked aux fichiers chiffrés, de deux nouvelles versions (des variants en fait) de STOP RANSOMWARE qui ajoute l' extension .nqhd pour l'un et pour l'autre l' extension .zaqi et pour un troisième l' extension .dehd
Une nouvelle version du rançongiciel Golang qui ajoute l' extension .xyz
Une nouvelle version du "Problem Ransomware" qui ajoute l' extension .problem
Des versions Linux de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque de journalisation Log4j, également connue sous le nom de Log4Shell, pour accéder aux systèmes VMware Horizon, exploitée par les groupes Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide , Hellokitty, AvsLocker, Night Sky

On a des campagnes Qlocker et eCh0raix ciblant les appareils NAS QNAP, (voir les conseils sur ce site dédié au NAS)
https://www.cachem.fr/alerte-qnap-des-a ... ansomware/
https://www.cachem.fr/alerte-qnap-attaq ... te-et-fin/

et surtout depuis ces 15 premiers jours de janvier, l'arrivé de plusieurs groupes criminels dont le "métier" est lié au ransomware
Telle l'hydre on coupe une tête il en repousse d'autres... L'agent facile attirant les être faibles, ayant des problèmes psychiatriques (l'empathie est complètement absente chez eux), les malfaisants, ... est un bon moteur

[Parisien_entraide]

2022-02-09_120641.jpg

AVAST fourni un décrypteur pour : TargetCompany



Ce ransomware est actif depuis mi 2021, et réalise différentes actions pour préparer votre machine, notamment en désactivant les clichés instantanés (vssadmin.exe), en modifiant les options de boot via BCDedit, etc.
Ensuite, il chiffre les données en utilisant plusieurs extensions (.mallox, .exploit, .architek, ou .brg), tout en posant des exclusions sur certains dossiers et extensions afin que la machine reste opérationnelle.


Les victimes du rançongiciel TargetCompany peuvent télécharger l'outil de décryptage à partir des serveurs d'Avast ( 64 bits ou 32 bits ) pour décrypter des partitions de disque entières en suivant les instructions affichées dans l'interface utilisateur de l'outil.

64Bits : https://files.avast.com/files/decryptor ... pany64.exe
32Bits : https://files.avast.com/files/decryptor ... ompany.exe


Petit bémol pour les impatients :

Ce décrypteur ne peut être utilisé que pour restaurer des fichiers cryptés "dans certaines circonstances".

Les victimes qui souhaitent récupérer leurs fichiers à l'aide de cet outil de décryptage doivent également être conscientes qu'il s'agira probablement d'un processus gourmand en ressources et en temps.

"Pendant le craquage du mot de passe, tous vos cœurs de processeur disponibles dépenseront la majeure partie de leur puissance de calcul pour trouver le mot de passe de déchiffrement. Le processus de craquage peut prendre beaucoup de temps, jusqu'à des dizaines d'heures", a déclaré Avast .

2022-02-09_120702.jpg

Mais surtout

Le décrypteur de rançongiciel TargetCompany fonctionne en déchiffrant le mot de passe après avoir comparé un fichier crypté avec sa version originale non cryptée.

Cela impose donc d'avoir le même fichier "en clair" dans une sauvegarde
Par contre une fois le mot de passe trouvé cela fonctionnera pour tous les fichiers

Bien lire la documentation d'usage fournie par AVAST : https://decoded.avast.io/threatresearc ... ansomware/

[Parisien_entraide]

Décrypteur Emsisoft pour Maze / Sekhmet / Egregor

2022-02-14_062624.jpg

Le ransomware Maze a commencé à fonctionner en mai 2019 et est rapidement devenu célèbre car il était responsable de l'utilisation de tactiques de vol de données et de double extorsion désormais utilisées par de nombreuses opérations de ransomware.

Après que Maze a annoncé sa fermeture en octobre 2020, ils ont été renommés en septembre sous le nom d'Egregor , qui a ensuite disparu après l'arrestation de membres en Ukraine .
Sekhmet est apparu en mars 2020, alors que Maze était toujours actif


Téléchargement : https://www.emsisoft.com/ransomware-dec ... et-egregor
Guide d'utilisation : https://decrypter.emsisoft.com/howtos/e ... gregor.pdf

[Parisien_entraide]

Décrypteur EMISOFT pour HydraCrypt et UmbreCrypt


HydraCrypt et UmbreCrypt sont les deux nouveaux variants du Ransomware de la famille "CrypBoss"


La seule différence notable entre les deux Ransomware est la façon dont ils montrent la menace pour la victime.

- Si votre PC est infecté par Hydracrypt Ransomware, vous êtes susceptible d’obtenir un pop-up vous donnant un avertissement de 72 heures pour payer la rançon.
- UmbreCrypt suit presque un script similaire à Hydracrypt demandant à la victime de traiter pour envoyer un e-mail à l’une des deux adresses – “UmbreCrypt @engineer.com” et “UmbreCrypt @consultant.com”.

Dans le cas d’Hydracrypt, la victime devait contacter [email protected] ou [email protected]


Lien de téléchargement du décrypteur : http://emsi.at/DecryptHydraCrypt


Malheureusement, les modifications apportées par les auteurs HydraCrypt et UmbreCrypt entraînent une détérioration irrémédiable de jusqu'à 15 octets à la fin du fichier.
Cependant, pour la plupart des formats de fichiers, les derniers octets de fin ne sont pas cruciaux ou peuvent être réparés relativement facilement en ouvrant et en enregistrant simplement les fichiers.
Pour les autres formats de fichiers, des outils de réparation et de récupération dédiés peuvent être disponibles.



PROCEDURE

Étape 1: Localisez tout fichier crypté sur votre système, où vous avez également la version originale non cryptée du fichier. Si vous ne trouvez pas une telle paire de fichiers, recherchez un fichier PNG crypté et obtenez une image PNG aléatoire sur Internet.

Étape 2: Sélectionnez les deux fichiers et faites-les glisser et déposez-les sur l’exécutable du décrypteur. Assurez-vous que les deux fichiers sont glissés et déposés en même temps.


Cliquez sur l'image pour déclencher l'animation :

decrypter_howto_dragdrop.gif

Le décrypteur essaiera alors de déterminer la clé de cryptage de votre système en fonction des deux fichiers que vous avez fournis. Ce processus peut prendre beaucoup de temps et, en fonction de votre processeur et de votre système, peut prendre plusieurs jours.

Une fois la clé de déchiffrement déterminée, vous obtiendrez un message comme celui-ci

decryption_key_found.png

Cliquez simplement sur OK et le décrypteur démarrera normalement. Si vous obtenez un message d'erreur à la place, assurez-vous d'avoir fait glisser et déposé les bons fichiers. Si vous l'avez fait, vous avez peut-être été ciblé par une famille de logiciels malveillants complètement différente ou par une nouvelle variante que ce décrypteur ne prend pas encore en charge.

Tous les dossiers que vous ajoutez à la liste des dossiers seront déchiffrés de manière récursive, ce qui signifie que les fichiers situés dans les sous-dossiers du dossier sélectionné seront également déchiffrés.

[Parisien_entraide]

2022-03-12_111329.jpg

Kaspersky a mis à jour son décrypteur pour le ransomware ( et famille) Rakhni

Celui ci déchiffre les fichiers affectés par

Code : Tout sélectionner

- Rakhni, 
- Agent.iih, 
- Aura, 
- Autoit, 
- Pletor, 
- Rotor, 
- Lamer, 
- Cryptokluchen, 
- Lortok, 
- Democry, 
- Bitman
- TeslaCrypt version 3 et 4, 
- Chimera, 
- Crysis (versions 2 et 3), 
- Jaff, 
- Dharma,
- Nouvelles versions du rançongiciel Cryakl, Yatron, FortuneCrypt, Fonix, Maze, Sekhmet, Egregor.     

Les noms de ransomwares que l'on peut trouver dans cette famille du moins l'appellation de Kaspersky :

Code : Tout sélectionner

    Trojan-Ransom.Win32.Ragnarok
    Cheval de Troie-Rançon.Win32.Fonix
    Trojan-Ransom.Win32.Rakhni
    Trojan-Ransom.Win32.Agent.iih
    Trojan-Ransom.Win32.Autoit
    Trojan-Ransom.Win32.Aura
    Cheval de Troie-Rançon.AndroidOS.Pletor
    Cheval de Troie-Rançon.Win32.Rotor
    Trojan-Ransom.Win32.Lamer
    Trojan-Ransom.Win32.Cryptokluchen
    Trojan-Ransom.Win32.Democry
    Trojan-Ransom.Win32.GandCrypt ver. 4 et 5
    Trojan-Ransom.Win32.Bitman ver. 3 et 4
    Cheval de Troie-Rançon.Win32.Libra
    Trojan-Ransom.MSIL.Lobzik
    Trojan-Ransom.MSIL.Lortok
    Trojan-Ransom.MSIL.Yatron
    Trojan-Ransom.Win32.Chimera
    Cheval de Troie-Rançon.Win32.CryFile
    Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
    Cheval de Troie-Rançon.Win32.Nemchig
    Cheval de Troie-Rançon.Win32.Mircop
    Trojan-Ransom.Win32.Mor
    Trojan-Ransom.Win32.Crusis (Dharma)
    Cheval de Troie-Rançon.Win32.AecHu
    Cheval de Troie-Rançon.Win32.Jaff
    Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
    Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
    Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
    Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
    Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
    Cheval de Troie-Rançon.Win32.Maze
    Cheval de Troie-Rançon.Win32.Sekhmet
    Trojan-Ransom.Win32.Egregor

Le lien : https://media.kaspersky.com/utilities/V ... yptor.zip

Instructions : https://support.kaspersky.com/10556?cid=noransom#block1


Plus globalement : https://noransom.kaspersky.com/

Si vous êtes certain d'avoir bien identifié la menace, et que le décrypteur ne fonctionne pas :
https://support.kaspersky.com/fr/b2c/FR#contacts


A noter que Kaspersky offre gratuitement un outil aux entreprises, pour se protéger des ransomwares , "Kaspersky Anti-Ransomware Tool for Business"

Bon après tout dépend du niveau de confiance que l'on accorde à Kaspersky avec ce type d'outil du fait des sanctions et contexte de guerre
viewtopic.php?t=70419 et de ce que l'on traite au sein de l'entreprise

[Parisien_entraide]

Décrypteur gratuit publié pour les victimes d' HermeticRansom en Ukraine

2022-03-12_112940.jpg

Source : https://www.bleepingcomputer.com/news/s ... n-ukraine/

Avast a publié un décrypteur pour la souche de ransomware HermeticRansom utilisée dans les attaques ciblées contre les systèmes ukrainiens au cours des derniers jours.

Le ransomware cible les fichiers suivants :

docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb


avec une clé RSA-2048.

Le décrypteur est proposé en téléchargement gratuit sur le site Web d'Avast et peut aider les Ukrainiens à restaurer leurs données rapidement et de manière fiable.

Les premiers signes de la distribution d'HermeticRansom ont été observés par les chercheurs d'ESET le 23 février, quelques heures seulement avant le début de l'invasion des troupes russes en Ukraine.

Lien de téléchargement et instructions : https://decoded.avast.io/threatresearch ... are/#howto

[Parisien_entraide]

2022-03-12_120433.jpg

Au sujet de la récupération des données chiffrées par le rançongiciel Hive

Je donne juste les liens pour information et pour voir (suivi) sur quoi cela va déboucher, car pour l'instant ce ne sont que des méthodes décrites avec 2 impératifs

- Il s'agit visiblement d'une ancienne version de HIVE
- Cela nécessite des CENTAINES de paires de fichiers cryptés / originaux (ou alors un très gros fichier avec son équivalent non crypté)

https://arxiv.org/abs/2202.08477
https://therecord.media/academics-publi ... ansomware/
https://thehackernews.com/2022/02/maste ... mware.html

[Parisien_entraide]

Après que CyCraft a publié un décrypteur en août 2021, Avast a publié un nouveau décrypteur gratuit pour le rançongiciel Prometheus


Prometheus est une souche de rançongiciel écrite en C# qui a hérité de beaucoup de code d'une souche plus ancienne appelée Thanos.

2022-03-12_124442.jpg

Instructions et lien de téléchargement : https://decoded.avast.io/threatresearch ... ansomware/

[Parisien_entraide]

Décrypteur EMISOFT pour Diavol

2022-03-20_121406.jpg

Bien que présent depuis au moins juin 2021, le rançongiciel Diavol n'a jamais été très actif


Téléchargement direct : https://www.emsisoft.com/ransomware-dec ... oad/diavol

Utilisation ; https://www.emsisoft.com/ransomware-dec ... diavol.pdf



""Le décrypteur nécessite l'accès à une paire de fichiers composée d'un fichier crypté et de la version originale non cryptée du fichier crypté pour reconstruire les clés de cryptage nécessaires pour décrypter le reste de vos données", explique Emsisoft.

"Par défaut, le décrypteur pré-remplira les emplacements à décrypter avec les lecteurs et lecteurs réseau actuellement connectés."

Cet outil de décryptage du rançongiciel Diavol conservera les fichiers cryptés lors de l'attaque en tant que sécurité intégrée si les fichiers décryptés ne sont pas identiques aux documents originaux.

De plus, il est livré avec un "Autoriser le décryptage partiel des fichiers volumineux", nécessaire pour récupérer partiellement certains fichiers plus volumineux que la paire de fichiers fournie pour reconstruire les clés de cryptage. Ceci est nécessaire car le décrypteur peut ne pas réussir à récupérer ces fichiers en raison de limitations techniques."

[Parisien_entraide]

Décrypteur pour le ransomware Yanluowang



Téléchargement de l'outil et explications ; https://support.kaspersky.com/8547

2022-04-23_091435.jpg

Cette souche de ransomware crypte les fichiers de plus de 3 Go et ceux de moins de 3 Go en utilisant différentes méthodes : les plus gros sont partiellement cryptés en bandes de 5 Mo tous les 200 Mo, tandis que les plus petits sont entièrement cryptés du début à la fin.

Pour cette raison, "si le fichier d'origine est supérieur à 3 Go, il est possible de déchiffrer tous les fichiers du système infecté, petits et grands. Mais s'il existe un fichier d'origine inférieur à 3 Go, seuls les petits fichiers peuvent être déchiffré."

Pour déchiffrer vos fichiers, vous avez besoin d'au moins un des fichiers originaux :

- Pour décrypter de petits fichiers (inférieurs ou égaux à 3 Go), vous avez besoin d'une paire de fichiers d'une taille de 1024 octets ou plus. Cela suffit pour décrypter tous les autres petits fichiers.
- Pour décrypter de gros fichiers (plus de 3 Go), vous avez besoin d'une paire de fichiers (cryptés et originaux) d'au moins 3 Go chacun. Cela suffira à décrypter les gros et les petits fichiers.

Kaspersky RannohDecryptor est un outil gratuit pour décrypter les fichiers affectés par le Trojan-Ransom.Win32.Rannoh.
L'outil RannohDecryptor est conçu pour décrypter les fichiers cryptés par les rançongiciels suivants :

Trojan-Ransom.Win32.Rannoh
Cheval de Troie-Rançon.Win32.AutoIt
Trojan-Ransom.Win32.Cryakl
Trojan-Ransom.Win32.CryptXXX versions 1, 2 et 3
Trojan-Ransom.Win32.Crybola
Trojan-Ransom.Win32.Polyglot
Cheval de Troie-Rançon.Win32.Fury
Cheval de Troie-Rançon.Win32.Yanluowang