Decrypt Tools ou Decrypter de Ransomware

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-01-17_182524.jpg

Décrypteur pour BianLian


BIANLIAN (fiche wikipedia)
Le Bianlian « visage changeant » ou « visage changeant de l'opéra du Sichuan » est un art vivant lié à l'opéra du Sichuan en République populaire de Chine, dans laquelle l'artiste change de masques à plusieurs reprises et doit, selon les règles, être imperceptible au spectateur. Dans les faits le changement se fait en une fraction de seconde et le même masque peut aller jusqu'à changer plusieurs dizaines de fois de motif. Ce type de spectacle mêle la gestuelle, la danse, l'illusion et la prestidigitation.
Outre le langage de programmation ( langage de programmation Go (alias Golang).) cela peut donner une idée de l'origine de ce ransomware, bien que jamais revendiqué par un groupe
Cela pourrait indiquer des Nord Coréens ou la Chine
Je doute que des particuliers soient touchés et en plus en France
Ce ransomware ciblait plutôt le monde industriel et les pays anglo saxons


C'est AVAST qui s'y colle cette fois en publiant un décrypteur "gratuit" pour ce ransomware


Source : https://www.bleepingcomputer.com/news/s ... decryptor/

Il est précisé que :

L'outil de décryptage d'Avast ne peut aider que les victimes attaquées par une variante connue du rançongiciel BianLian.
Si les pirates utilisent une nouvelle version du logiciel malveillant que les chercheurs n'ont pas encore détectée, l'outil n'est d'aucune utilité pour le moment.

Cependant, Avast dit que le décrypteur BianLian est un travail en cours, et la possibilité de débloquer plus de souches sera ajoutée sous peu.
https://decoded.avast.io/threatresearch ... ansomware/

BianLian (à ne pas confondre avec le cheval de Troie bancaire Android du même nom ) est une souche de ransomware basée sur Go ciblant les systèmes Windows.

Il utilise l'algorithme symétrique AES-256 avec le mode de chiffrement CBC pour chiffrer plus de 1013 extensions de fichiers sur tous les lecteurs accessibles.

Le logiciel malveillant effectue un chiffrement intermittent sur les fichiers de la victime, une tactique qui permet d'accélérer les attaques au détriment de la force de verrouillage des données.

Les fichiers cryptés reçoivent l'extension ".bianlian", tandis que la note de rançon générée avertit les victimes qu'elles ont dix jours pour répondre aux demandes du pirate ou leurs données privées seront publiées sur le site de fuite de données du gang.

Pour plus de détails sur le fonctionnement du rançongiciel BianLian, consultez ce rapport SecurityScoreCard sur la souche publié en décembre 2022.



Le décrypteur d'Avast

Le décrypteur de ransomware BianLian est disponible gratuitement et le programme est un exécutable autonome qui ne nécessite pas d'installation.
Les utilisateurs peuvent sélectionner l'emplacement qu'ils souhaitent décrypter et fournir au logiciel une paire de fichiers originaux/cryptés.
2023-01-17_181136.jpg

Il existe également une option pour les utilisateurs disposant d'un mot de passe de déchiffrement valide, mais si la victime n'en a pas, le logiciel peut toujours tenter de le découvrir en parcourant tous les mots de passe BianLian connus.

Le décrypteur offre également une option de sauvegarde des fichiers cryptés pour éviter une perte irréversible de données en cas de problème pendant le processus.

Les personnes attaquées par les nouvelles versions du ransomware BianLian devront localiser le binaire du ransomware sur le disque dur, qui pourrait contenir des données pouvant être utilisées pour déchiffrer les fichiers verrouillés.


Avast indique que certains noms de fichiers et emplacements courants pour BianLian sont :

C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Users\%username%\Pictures\windows.exe
anabolic.exe
Cependant, étant donné que le logiciel malveillant se supprime après la phase de cryptage des fichiers, il est peu probable que les victimes trouvent ces fichiers binaires sur leurs systèmes.

Ceux qui parviennent à récupérer les binaires BinaLian sont priés de les envoyer à "[email protected]" pour aider Avast à améliorer son décrypteur.


Téléchargement https://files.avast.com/files/decryptor ... anlian.exe

Documentation :; https://decoded.avast.io/threatresearch ... to_decrypt

--------


Edit du 5/01/2023

Important ! :
Il ne faut surtout pas utiliser le décrypteur avec la nouvelle version 2.0, l’outil risque de corrompre les fichiers piégés après août 2022.
Le pire c'est que ce sont ceux qui sont derrière ce ransomware qui donnent l'avertissement :-)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-03-08_092914.jpg


Décrypteur pour MORTALKOMBAT


MortalKombat est un rançongiciel relativement nouveau qui est entré dans le paysage des cybermenaces en janvier 2023.
Il vise aussi bien les particuliers, que les petites entreprises ou de grandes organisations afin de voler tout ce qui est en lien avec la crypto monnaie
Cette famille de logiciels malveillants est basée sur Xorist , qui a été signalé pour la première fois en 2010.
Les attaquants pourraient utiliser Xorist comme générateur de rançongiciel, en l'utilisant pour créer leurs propres versions du logiciel malveillant.
"MortalKombat crypte un certain nombre de fichiers sur l'appareil de la victime, y compris les stockages distants. Les bases de données et les sauvegardes sont également attaquées "
, ont écrit des chercheurs de Cisco Talos


"MortalKombat crypte un certain nombre de fichiers sur l'appareil de la victime, y compris les stockages distants. Les bases de données et les sauvegardes sont également attaquées », ont écrit des chercheurs de Cisco Talos.

Mode opératoire :

Le vecteur d'infection initial est un e-mail de phishing dans lequel les attaquants se font passer pour CoinPayments, une passerelle de paiement mondiale légitime en crypto-monnaie.
De plus, les e-mails ont un e-mail d'expéditeur usurpé, "noreply[at]CoinPayments[.]net", et le sujet de l'e-mail "[CoinPayments[.]net] Payment Timed Out".
Un fichier ZIP malveillant est joint avec un nom de fichier ressemblant à un ID de transaction mentionné dans le corps de l'e-mail, incitant le destinataire à décompresser la pièce jointe malveillante et à afficher le contenu, qui est un chargeur BAT malveillant.

2023-03-08_093814.jpg


Plus de détail à https://blog.talosintelligence.com/new- ... e-threats/

Le décrypteur, avec le détail de son utilisation est à consulter sur le site de Bitdefender
https://www.bitdefender.com/blog/labs/b ... ansomware/

Téléchargment direct https://download.bitdefender.com/am/mal ... ptTool.exe
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-03-18_185041.jpg


Décrypteur pour CONTI


Source : https://usa.kaspersky.com/about/press-r ... ransomware


Kaspersky donne un déchiffreur pour une variante du célèbre Conti.
Celle-ci a infecté de dizaines d’entreprises et d’administration au cours du mois de décembre 2022.

L’éditeur ne nomme pas directement le groupe derrière cette déclinaison, mais les experts affirment qu’il s’agit du ransomware Meow, basé sur le code source de Conti.

Fin février 2023, les experts de Kaspersky ont découvert une partie des fuites de données publiées sur des forums
Après avoir analysé les données, qui contenaient 258 clés privées, le code source et certains déchiffreurs précompilés, Kaspersky a publié une nouvelle version du déchiffreur public pour aider les victimes de cette modification du ransomware Conti

Le décrypteur a été mis sur "No Ransom". et le décodage fonctionne à ledécrypteur, RakhniDecryptor .


https://noransom.kaspersky.com/#:~:text ... r,%20Conti

Fait amusant, le variant a du être utilisé par des pirates Ukrainiens contre la Russie, car les fichiers cryptés portaient l'extension

Code : Tout sélectionner

.
nom de fichier.KREMLIN
nom de fichier.RUSSIA .
nom de fichier.PUTIN
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

rosette.jpg

Aurait on trouvé la Pierre de Rosette (De Lyon) ?

Le décrypteur universel serait il né ?

2023-05-16_151513.jpg

Pas exactement malheureusement mais ...

Un nouveau décrypteur de rançongiciel récupère les données des fichiers partiellement cryptés


PRINCIPE

Un nouveau décrypteur de ransomware « White Phoenix » permet aux victimes de récupérer partiellement les fichiers cryptés par des souches de ransomware qui utilisent un cryptage intermittent.

Le chiffrement intermittent est une stratégie employée par plusieurs groupes de rançongiciels qui alterne entre le chiffrement et le non chiffrement de blocs de données. Cette méthode permet de crypter un fichier beaucoup plus rapidement tout en laissant les données inutilisables par la victime.

Cette tactique introduit des faiblesses dans le cryptage, car le fait de laisser des parties des fichiers originaux non cryptés crée un potentiel de récupération gratuite des données.


FONCTIONNEMENT DE L' OUTIL

La restauration de ces types de fichiers est réalisée en utilisant 7zip et un éditeur hexadécimal pour extraire les fichiers XML non chiffrés des documents impactés et effectuer le remplacement des données.

White Phoenix automatise toutes les étapes ci-dessus pour les types de fichiers pris en charge, bien qu'une intervention manuelle puisse être nécessaire dans certains cas.

L'outils a été testé et fonctionne bien avec les souches de rançongiciels suivantes :

Code : Tout sélectionner

- BlackCat/ALPHV
- Play ransomware
- Qilin/Agenda
- BianLian
- DarkBit



AUTRES LIMITES

Les auteurs préviennent quand même qu il est essentiel de noter que White Phoenix ne produira pas de bons résultats dans tous les cas, même s'il est théoriquement pris en charge.

Par exemple, si une grande partie d'un fichier a été cryptée, y compris ses composants critiques, les données récupérées peuvent être incomplètes ou inutiles. Ainsi, l'efficacité de l'outil est directement liée à l'étendue des dommages au dossier.

Pour que White Phoenix fonctionne correctement, les formats Zip/Office doivent contenir la chaîne "PK\x03\x04" dans le fichier pour être pris en charge. De plus, les PDF doivent contenir les chaînes "0 obj" et "endobj" pour être partiellement récupérés.

Si White Phoenix ne trouve pas ces chaînes, il indiquera que le type de fichier n'est pas pris en charge,


Bien que ce décrypteur puisse ne pas fonctionner pour tous les fichiers, il pourrait être très utile pour les victimes d'essayer de récupérer "certaines" données à partir de fichiers critiques.




WHITE PHOENIX

2023-05-16_152831.jpg

Lien de téléchargement et usage (il s'agit de scripts Python et non d'un outil à cliquer
White Phoenix utilise uniquement les bibliothèques principales de Python
https://github.com/cyberark/White-Phoenix



Copier coller partiel de la Source ou figure d'autres détails à
https://www.bleepingcomputer.com/news/s ... ted-files/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-06-04_184714.jpg


Décrypteur pour ASTROLOCKER, et YASHMA


AstraLocker est basé sur le rançongiciel Babuk Locker (Babyk), une souche boguée mais toujours dangereuse dont le code source a été divulgué en septembre sur un forum de hackers .


L'outil arrive par EMISOFT

Téléchargement direct

https://www.emsisoft.com/ransomware-dec ... stralocker

Bien lire le .pdf pour les instructions

https://decrypter.emsisoft.com/howtos/e ... locker.pdf


Mais en fait cela a été possible du fait de l'auteur du ransomware qui a tout mis à disposition et a déclaré
C’était amusant, et les choses amusantes ont toujours une fin un jour. Je ferme l’opération, les décrypteurs sont dans des fichiers zip, propres. Je reviendrai”, nous a dit le développeur d’AstraLocker. “J’en ai fini avec les ransomwares pour le moment. Je me lance dans le cryptojaking lol.”
Même s’ils n’ont pas révélé la raison de l’arrêt d’AstraLocker, la cause la plus probable est la publicité soudaine apportée par les récents rapports qui auraient fait atterrir l’opération dans le collimateur des forces de l’ordre.


Source et autres détails : https://www.bleepingcomputer.com/news/s ... e-victims/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-07-01_111814.jpg


Décrypteur pour AKIRA

Avast a publié un décrypteur gratuit pour le rançongiciel Akira

Akira est apparu pour la première fois en mars 2023 et s'est fait un nom en amassant rapidement des victimes alors qu'il ciblait des organisations du monde entier dans un large éventail de secteurs.

À partir de juin 2023, les opérateurs d'Akira ont commencé à déployer une variante Linux de leur chiffreur pour attaquer les machines virtuelles VMware ESXi, augmentant l'exposition aux attaques de chiffrement du groupe.


Le décrypteur Avast
Avast a publié deux versions de son logiciel de décryptage Akira, une pour les architectures Windows 64 bits et une pour les architectures Windows 32 bits .

Version 64Bits https://files.avast.com/files/decryptor ... kira64.exe
Version 32Bits https://files.avast.com/files/decryptor ... _akira.exe

AVAST recommande d'utiliser la version 64 bits car le craquage du mot de passe nécessite beaucoup de mémoire système.


FONCTIONNEMENT

Les utilisateurs doivent fournir à l'outil une paire de fichiers, l'un chiffré par Akira et l'autre sous sa forme originale en texte brut, pour permettre à l'outil de générer la clé de déchiffrement correcte.

"Il est extrêmement important de choisir une paire de fichiers aussi volumineux que possible", prévient Avast .

"En raison du calcul de la taille des blocs d'Akira, il peut y avoir une différence considérable sur la limite de taille, même pour les fichiers qui diffèrent d'une taille de 1 octet."
2023-07-01_111537.png

La taille du fichier d'origine sera également la limite supérieure d'un fichier qui peut être déchiffré par l'outil d'Avast, donc choisir le plus grand disponible est crucial pour une restauration complète des données.

Enfin, le décrypteur offre la possibilité de sauvegarder les fichiers cryptés avant d'essayer de les décrypter, ce qui est recommandé, car vos données peuvent être irréversiblement corrompues en cas de problème.

Avast dit qu'ils travaillent sur un décrypteur Linux, mais les victimes peuvent utiliser la version Windows pour l'instant pour décrypter tous les fichiers qui ont été cryptés sous Linux.



Source et autres détails à https://www.bleepingcomputer.com/news/s ... our-files/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

key group.jpg

Décrypteur pour le ransomware KEY GROUP KEYGROUPE777


La famille de ransomwares Key Group a été révélée pour la première fois le 6 janvier 2023 et poursuit ses opérations depuis lors

Key Group ou KEYGROUP777, est un acteur de cybercriminalité russophone qui se concentre sur le gain financier en vendant des informations d'identification personnelle ou en accédant initialement à des appareils compromis et en obtenant une rançon.

Le groupe vend sur les marchés russophones du darknet des données et des cartes SIM volées, et partage des données doxing et accès à distance. aux caméras IP



LE DECRYPTEUR


Le décrypteur a été créé par des experts en sécurité de la société de renseignement sur les menaces EclecticIQ et fonctionne pour les versions du malware créées début août.

Les attaquants ont affirmé que leur logiciel malveillant utilisait un « cryptage AES de niveau militaire » mais le cryptage peut être inversé.

Le décrypteur du ransomware Key Group est un script Python partagé dans la section Annexe A du rapport du lien, mis en source, du blog eclecticiq.com). Les utilisateurs peuvent l’enregistrer en tant que fichier Python et l’exécuter à l’aide de la commande suivante :

Code : Tout sélectionner

python decryptor.py /path/to/search/directory

Le script recherche dans le répertoire cible et ses sous-répertoires les fichiers portant l’extension .KEYGROUP777TG, décrypte et enregistre le contenu déverrouillé avec le nom de fichier d’origine (décodé à partir de la chaîne base64).

Notez que certaines bibliothèques Python sont nécessaires, en particulier le paquetage de cryptographie.


Sources et ANNEXE A
https://blog.eclecticiq.com/decrypting- ... crime-gang

autre lien
https://www.bleepingcomputer.com/news/s ... over-data/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-09-10_123610.jpg

Décrypteur pour ransomware HardBit


RTK-Solar a publié un outil permettant de décrypter les fichiers affectés par le ransomware HardBit.

HardBit ciblait initialement les pays occidentaux, mais récemment, un client russe a contacté les spécialistes de Solar JSOC CERT après avoir personnellement rencontré le ransomware.
Dans cette attaque, les attaquants ont utilisé HardBit 3.0 et ont exigé 25 000 $ pour 15 hôtes compromis.

C’est ainsi que les experts de RTK-Solar ont obtenu l’échantillon qui a donné la clé du décryptage en particulier, dans les versions ultérieures de HardBit (2.0 et 3.0), les auteurs du malware ont utilisé un système de génération de mots de passe peu fiable pour le cryptage.

L’essentiel réside peut-être dans la publication rapide de nouvelles versions du ransomware : les développeurs n’y consacrent que quelques mois. Les chercheurs ont également noté l'utilisation de noms en langue russe : « Ivan Medvedev » ou « Alexandre » mais il pourrait s’agir d’un stratagème des cybercriminels visant à semer la confusion chez les analystes.

Vous pouvez lire le rapport et télécharger un décrypteur gratuit en utilisant ce lien .
https://rt-solar.ru/upload/iblock/778/i ... ardBit.pdf

Le soucis.. Le rapport est TRES détaillé, (66 pages quand meme) avec les indicateurs de compromission mais.. Est en langue RUSSE
De plus le serveur est lent pour rapatrier le fichier

J'ai du parcourir le document (merci la traduction ;-) pour trouver le lien du decrypteur

https://github.com/solar-jsoc/HardBitDe ... tag/Latest

Pour l'instant il n'y a pas d'articles à son sujet en Europ ou US, seul Bleeping fait état de ce ransomware dans un ancien article
https://www.bleepingcomputer.com/news/s ... ect-price/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-12-31_124539.jpg

Décrypteur (nouvelle version) pour ransomware Black Basta


Le décrypteur permet aux victimes de Black Basta de novembre 2022 à ce mois-ci de potentiellement récupérer leurs fichiers gratuitement. Cependant, BleepingComputer a appris que les développeurs de Black Basta ont corrigé le bug dans leur routine de cryptage il y a environ une semaine, empêchant ainsi l'utilisation de cette technique de décryptage dans de nouvelles attaques.

Le décrypteur : https://github.com/srlabs/black-basta-buster

Il s'agit d'une collection de scripts Python qui vous aident à décrypter des fichiers dans différents scénarios.

Cependant, les chercheurs ont créé un script appelé « decryptauto.py » qui tente d'effectuer une récupération automatique de la clé, puis de l'utiliser pour décrypter le fichier.

Source, détails et usage à https://www.bleepingcomputer.com/news/s ... ver-files/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2024-02-13_162308.png

Décrypteur pour le ransomware Rhysida


Des chercheurs sud-coréens ont révélé publiquement une faille dans le cryptage du ransomware Rhysida, permettant la création d’un décrypteur Windows pour récupérer les fichiers gratuitement.

Rhysida est un ransomware lancé à la mi-2023 et réputé pour cibler les organismes de santé, perturber leurs opérations cruciales et vendre les dossiers sensibles des patients.

Lien de téléchargement et documentation (Il faut utiliser un programme de traduction pour l'instant car c'est en Coréen) et désactiver temporairement les protections de type javascript (No script par ex)
https://seed.kisa.or.kr/kisa/Board/166/detailView.do

La doc est en anglais par contre

Source et détails à https://www.bleepingcomputer.com/news/s ... -rng-flaw/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2024-02-21_105810.jpg


Décrypteur pour le ransomware LOCKBIT 3.0


Dans l'actualité
La police arrête les membres du ransomware LockBit et libère le décrypteur dans le cadre d'une répression mondiale
https://www.bleepingcomputer.com/news/s ... crackdown/

Dans le cadre de l'opération Cronos, les forces de l'ordre ont également récupéré plus de 1 000 clés de déchiffrement sur les serveurs LockBit saisis. À l'aide de ces clés de décryptage, la police japonaise, la NCA et le Federal Bureau of Investigation (FBI) ont développé un outil de décryptage LockBit 3.0 Black Ransomware avec le soutien d'Europol.

Pour que cette solution de récupération fonctionne, vous devez exécuter ce fichier binaire sur votre machine infectée.
Cela lancera une première évaluation de votre machine.

Téléchargement direct https://www.nomoreransom.org/uploads/D ... ckBit.zip
Guide d'utilisation (impératif) https://www.nomoreransom.org/uploads/De ... _Guide.pdf


Les autorités avaient monté un faux site Lockbit qui s'est transformé depuis en trollant tous les malfaisants impliqués



Edit :
A noter que la police nationale ukrainienne et la Gendarmerie Nationale ont déclaré avoir arrêté deux membres (le père et le fils) du gang de hackers Lockbit dans une ville à l’ouest de l’Ukraine. Ils étaient en charge, entre autres, du blanchiment d’argent.

Des mandats d’arrêts ont été émis contre deux ressortissants russes. Cinq membres suspectés se trouveraient encore dans ce pays.

Cela semble étonnant que des Ukrainiens et Russes collaborent, mais.. l'argent n'a pas d'odeur :-)
De plus rien ne dit que ces Ukrainiens ne soient pas Russes de culture et de langue, rien ne dit que ces Ukrainiens et Russes le soient vraiment
Souvent ils ont un double passeport comme cela a été déjà vu plusieurs fois par le passé dans les affaires criminelles (au sens large) pour aller se réfugier dans un petit pays qui cherche à s'agrandir et qui fait l'actualité en ce moment
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Je ne savais pas trop où placer ce graph, pour ne pas qu'il se perde dans les méandres du forum, mais il relate tous les sites/sociétés en France qui ont subi un ransomware depuis le début de l'année

Sur le site on peut avoir les autres années, mais également les autres pays et sociétés, des compléments d'informations sur les groupes de pirates etc

Le site https://ransomware.live/#/

Comme il est dit, il y a un IA (intelligence artificielle derrière) donc il se peut qu'il y ait des oublis
Il faut se rappeler que ce n'est parce qu'un site est piraté, qu'il y a obligatoirement un ransomware derrière
La vente seule des données sur le dark web par ex peut suffire à contenter les pirates sans compter qu'il y a une prise de risques à demander une rançon (peur de se faire attraper par ex)
Seuls les plus expérimentés s'y risquent, mais cela ne dure qu'un temps

Par contre ne figure pas le groupe LDLC, parce qu'en date du 28/02 (cela s'arrête au 26/02) qui lui a été piraté avec demande de rançon
viewtopic.php?p=551891#p551891

ransowares.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2024-03-18_132534.jpg


STEALER ET RANSOMWARE




STOP DJVU - STOPCYPT - DJVU



Comme on a pu le voir dans les articles précédents sur le sujet viewtopic.php?t=71178 un stealer "peut" être accompagné d'un ransomware (double effet kisskool)
En effet la vente des données volées peut être hasardeuse, (surtout si il n'y a rien d'intéressant) et surtout peut permettre au vendeur de se faire repérer, donc de se faire arrêter

Il n'y a rien de plus simple (surtout avec les kits vendus ou loués prêts à l'emploi) que d'y associer un ransomware qui permet, si l'utilisateur paye, d'avoir une .. "seconde source de revenus" par les malfaisants
C'est pour cela qu'on voit par ex un certain ransomware, connu sous les noms de STOP ( StopCrypt, Stop Djvu, Djvu) en accompagnement des stealers


Il faut savoir qu'il est le ransomware le plus largement distribué dont on entend rarement parler....


Les raisons sont simples :

- Il vise les particuliers et non les entreprises
- Et pour les particuliers, le ransomware est généralement distribué via des sites de publicités malveillantes et ..".louches" distribuant des ensembles de logiciels publicitaires vérolés déguisés en logiciels gratuits, mais pour certains habituellement payants, en astuces de jeu pas légales pour avoir le dessus sur les adversaires, de cheats, et cracks de logiciels et jeux


Ces particuliers ne vont pas déposer plainte puisqu'à la base, par bêtise, appât du gain, etc ils ont voulu enfreindre la loi et de façon volontaire, et "'pas à l'insu de leur plein gré"

En général on les retrouve dans les forums de désinfections avec comme sujet principal,
" Mon PC est lent depuis quelques temps je ne comprends pas"
en occultant le fait que leur PC est pourri de programmes et jeux crackés, lorsque ce n'est pas Windows ou d'une suite Office, qui a été activée via un KMSpico, viewtopic.php?t=69838
ou pire comme déjà vu sur le forum l'usage d'anti virus .. crackés

Le service d’identification des ransomwares ID Ransomware, viewtopic.php?t=54794 recevait environ 2 500 soumissions de ransomwares par jour.
Parmi ceux-ci, entre 60 et 70 % sont des soumissions de ransomwares STOP.
Cela donne une idée...
En fait il était la base première de l'infection et était accompagné d'un Stealer
Maintenant on à le stealer, qui est devenu très sophistiqué pour échapper aux protections sur le PC, et qui ensuite installe le ransomware comme si de rien n'était


Il faut se rappeler que ces malwares sont capables de désactiver la majorité des antivirus, jouent à cache cache lors d'une analyse, se neutralisent si on essaie de savoir dans une sandbox ou VM si le jeu, programme etc cracké est infecté ou pas, balancent des "fausses" .dll infectées pour amuser l'anti virus, qui détectera avec fierté une infection trojan, mais pendant ce temps là les scripts powershell auront fait leur travail
Mieux, l'antivirus aura bloqué ce qu'il considère être le trojan (avec raison le plus souvent) mais le mal est déjà fait
Les données sont parties dans la nature, et l'infection véritable s' est auto détruite ne laissant aucune trace (ou presque) de son passage, ou gardant quand même (pafois/souvent) en place des taches programmées dont pour un keylogger, un voleur de crypto par ex


A une époque on avait l'outil d'Emisoft pour décrypter ce ransomware et ses variants, mais depuis 2019 il ne fonctionne plus pour les nouvelles souches
https://www.emsisoft.com/en/ransomware- ... /stop-djvu

Sur le forum, sur le sujet des "Decrypteurs" c'est du reste sa dernière apparition pour le STOP-DJVU qui traitait quand même environ 148 variants
viewtopic.php?p=475415#p475415

Exemple :

.

Code : Tout sélectionner

shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .moka, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora
Comme on le voit, il y a de nombreux variants (et il y en a toujours 2 ou 3 par mois en 2024)

Sur le forum de Bleeping Computer il est indiqué
https://www.bleepingcomputer.com/forums ... ort-topic/

STOP (Djvu) Ransomware a deux versions .
1. Ancienne version : La plupart des anciennes extensions, commençant par .djvu (v013) jusqu'à .carote (v154)... le décryptage de la plupart de ces versions était auparavant pris en charge par STOPDecrypter en cas d'infection par une CLÉ HORS LIGNE (et quelques CLÉS EN LIGNE) . Ce même support a été incorporé dans la nouvelle méthode Emsisoft Decryptor/soumission pour ces anciennes variantes de Djvu... le décrypteur ne déchiffrera vos fichiers sans soumettre de paires de fichiers que si vous disposez d'une CLÉ HORS LIGNE. Pour l’infection ONLINE KEY, lisez les instructions d’utilisation du portail de soumission.

2. Nouvelle version : Les extensions les plus récentes publiées vers la fin août 2019 APRÈS que les criminels aient apporté des modifications ... commençant par .coharos (v146) n'ont jamais été prises en charge par STOPDecrypter. Cependant, les ID/CLÉS HORS LIGNE pour certaines variantes plus récentes ont été obtenus par Emsisoft et téléchargés sur leur serveur.
Cela est possible après qu'une victime a payé la rançon, a reçu une clé privée des criminels et a partagé (fait don) cette clé avec l'équipe Emsisoft .

LES CLÉS EN LIGNE sont UNIQUES pour chaque victime et tout comme les anciennes versions, elles sont générées aléatoirement de manière sécurisée et sont impossibles à déchiffrer sans payer la rançon, ce qui n'est pas conseillé. Les CLÉS EN LIGNE étant uniques et aléatoires pour chaque victime, elles ne peuvent pas être partagées ou réutilisées par d'autres victimes.

En raison des modifications apportées par les criminels, STOPDecrypter n'est plus pris en charge... il a été interrompu ET remplacé le 18 octobre 2019 par Emsisoft STOP Djvu Decryptor développé par Emsisoft et Demonslay335 (Michael Gillespie) .
Cependant, le même support STOPDecrypter a été incorporé dans la nouvelle méthode de décryptage/soumission d'Emsisoft pour la plupart des anciennes variantes de Djvu.
Pour résumer, il est impossible de décrypter ce qui est postérieur à 2019 puisque la majorité des clés qui permettent le déchiffreement sont UNIQUES et en plus ALEATOIRES




POURTANT LORS D'UNE RECHERCHE SUR UN MOTEUR DE RECHERCHES DES LABOS, DES SITES OU PROGRAMMES INDIQUENT QUE C'EST FAISABLE

Comme le rappelle Bleeping Computer sur son forum
Les victimes de ransomwares devraient ignorer toutes les recherches sur Internet qui fournissent de nombreux liens vers des guides de suppression de ransomwares faux et peu fiables , y compris des vidéos Facebook et YouTube , dont beaucoup prétendent à tort disposer de solutions de décryptage .

Après que des chercheurs experts ont écrit sur un nouveau ransomware ou de nouvelles variantes, des articles indésirables contenant des informations erronées sont rapidement rédigés afin d'effrayer, d'inciter ou de tromper les victimes désespérées pour qu'elles utilisent ou achètent principalement des logiciels de suppression et de décryptage factices .

Les victimes sont généralement invitées à télécharger une multitude d’outils inutiles et inutiles.

Dans certains cas, des victimes sans méfiance peuvent en fait télécharger un faux décrypteur, ce qui entraîne des cryptages doubles (multiples) , ce qui rend la situation encore pire.
De plus, vos informations personnelles et financières sont également menacées lorsque vous traitez avec des fraudeurs.
Utilisez uniquement des sources fiables lorsque vous recherchez des informations .

Bleeping Computer ne peut pas se porter garant de ceux qui prétendent pouvoir décrypter les données ou aider d'une autre manière.
Nos experts ont constaté que beaucoup de ceux qui prétendent pouvoir décrypter vos fichiers représentent en réalité des services de récupération de données qui agissent comme des « intermédiaires » … dont beaucoup sont des escrocs.
Ensuite utiliser un décrypteur (légal et gratuit) au hasard peut etre dangereux, car l''utilisation d'un décrypteur défectueux ou incorrect (destiné à un autre type spécifique de ransomware) provoque généralement des dommages supplémentaires qui corrompent encore plus les fichiers cryptés .

Détails ici
https://www.bleepingcomputer.com/forums ... ?p=5579605
et là
https://www.bleepingcomputer.com/forums ... try4841045


------

Pour l 'instant l'affaire doit être éclaircie, car la souche analysée est ancienne (2022 en version 0455), l'histoire de la .dll msimg32.dll était déjà connue, mais l'analyse en ce mois de mars 2024, synthétise bien la chose même si cela existe depuis 2022


le STOPCRYPT dispose désormais un mécanisme d'exécution en plusieurs étapes.

- Initialement, le malware charge un fichier DLL apparemment sans rapport (msim32.dll), éventuellement à titre de diversion. Il implémente également une série de longues boucles à temporisation qui peuvent aider à contourner les mesures de sécurité liées au temps.

- Ensuite, il utilise des appels API construits dynamiquement sur la pile pour allouer l'espace mémoire nécessaire aux autorisations de lecture/écriture et d'exécution, ce qui rend la détection plus difficile.

- StopCrypt utilise des appels API pour diverses opérations, notamment la prise d'instantanés des processus en cours d'exécution afin de comprendre l'environnement dans lequel il fonctionne.

- L'étape suivante consiste à creuser les processus, où StopCrypt détourne les processus légitimes et injecte sa charge utile pour une exécution discrète en mémoire. Cela se fait via une série d’appels API soigneusement orchestrés qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d'actions a lieu pour garantir la persistance du ransomware, modifier les listes de contrôle d'accès (ACL) pour refuser aux utilisateurs l'autorisation de supprimer les fichiers et répertoires de logiciels malveillants importants, et une tâche planifiée est créée pour exécuter la charge utile chaque cinq minutes.

Les fichiers sont cryptés et une extension « .msjd » est ajoutée à leurs nouveaux noms. Cependant, il convient de noter qu'il existe des centaines d'extensions liées au ransomware STOP car elles les changent souvent.

Exemple juste pour ce mois de mars 2024 (et l'on n'est que le 18 mars 2024)

Code : Tout sélectionner

extension .wisz (V0853)
extension .wiaw (V0854)
extension .nood (V0855)
extension .kool (V0856)
extension .vook (V0857)
extension .looy (V0858)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2024-07-08_185626.jpg


Un décrypteur pour DoNex, Muse, DarkRace et un clone de LockBit 3 est apparu


Une vulnérabilité dans le mécanisme cryptographique utilisé par le ransomware DoNex et ses prédécesseurs - Muse, faux LockBit 3.0 et DarkRace - a permis aux chercheurs de créer un décrypteur pour toutes les variantes du malware.

Le ransomware de chiffrement DoNex a attiré l’attention des experts pour la première fois début mars 2024.


L'équipe d'analystes de la société antivirus tchèque Avast a écrit ce qui suit à propos de DoNex :

Ce ransomware utilise des tactiques de cyberattaque ciblées.
Les cybercriminels précisent qu’ils ne constituent pas un groupe politiquement actif : ils ne s’intéressent qu’à l’argent.

Les fichiers cryptés DoNex reçoivent une extension unique, qui prend en compte l'identifiant de la victime.
Le fichier texte contenant les exigences s'appelle Readme.victimIDnumber.txt.

Vous pouvez télécharger le décrypteur développé par les spécialistes Avast à partir de ce lien
https://files.avast.com/files/decryptor ... _donex.exe


UTILISATION

Vous devrez lui fournir une liste de tous les disques, répertoires et fichiers concernés par DoNex, ainsi qu'une copie « propre » de l'un des fichiers cryptés.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »