Decrypt Tools ou Decrypter de Ransomware

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-01-17_182524.jpg

Décrypteur pour BianLian


BIANLIAN (fiche wikipedia)
Le Bianlian « visage changeant » ou « visage changeant de l'opéra du Sichuan » est un art vivant lié à l'opéra du Sichuan en République populaire de Chine, dans laquelle l'artiste change de masques à plusieurs reprises et doit, selon les règles, être imperceptible au spectateur. Dans les faits le changement se fait en une fraction de seconde et le même masque peut aller jusqu'à changer plusieurs dizaines de fois de motif. Ce type de spectacle mêle la gestuelle, la danse, l'illusion et la prestidigitation.
Outre le langage de programmation ( langage de programmation Go (alias Golang).) cela peut donner une idée de l'origine de ce ransomware, bien que jamais revendiqué par un groupe
Cela pourrait indiquer des Nord Coréens ou la Chine
Je doute que des particuliers soient touchés et en plus en France
Ce ransomware ciblait plutôt le monde industriel et les pays anglo saxons


C'est AVAST qui s'y colle cette fois en publiant un décrypteur "gratuit" pour ce ransomware


Source : https://www.bleepingcomputer.com/news/s ... decryptor/

Il est précisé que :

L'outil de décryptage d'Avast ne peut aider que les victimes attaquées par une variante connue du rançongiciel BianLian.
Si les pirates utilisent une nouvelle version du logiciel malveillant que les chercheurs n'ont pas encore détectée, l'outil n'est d'aucune utilité pour le moment.

Cependant, Avast dit que le décrypteur BianLian est un travail en cours, et la possibilité de débloquer plus de souches sera ajoutée sous peu.
https://decoded.avast.io/threatresearch ... ansomware/

BianLian (à ne pas confondre avec le cheval de Troie bancaire Android du même nom ) est une souche de ransomware basée sur Go ciblant les systèmes Windows.

Il utilise l'algorithme symétrique AES-256 avec le mode de chiffrement CBC pour chiffrer plus de 1013 extensions de fichiers sur tous les lecteurs accessibles.

Le logiciel malveillant effectue un chiffrement intermittent sur les fichiers de la victime, une tactique qui permet d'accélérer les attaques au détriment de la force de verrouillage des données.

Les fichiers cryptés reçoivent l'extension ".bianlian", tandis que la note de rançon générée avertit les victimes qu'elles ont dix jours pour répondre aux demandes du pirate ou leurs données privées seront publiées sur le site de fuite de données du gang.

Pour plus de détails sur le fonctionnement du rançongiciel BianLian, consultez ce rapport SecurityScoreCard sur la souche publié en décembre 2022.



Le décrypteur d'Avast

Le décrypteur de ransomware BianLian est disponible gratuitement et le programme est un exécutable autonome qui ne nécessite pas d'installation.
Les utilisateurs peuvent sélectionner l'emplacement qu'ils souhaitent décrypter et fournir au logiciel une paire de fichiers originaux/cryptés.
2023-01-17_181136.jpg

Il existe également une option pour les utilisateurs disposant d'un mot de passe de déchiffrement valide, mais si la victime n'en a pas, le logiciel peut toujours tenter de le découvrir en parcourant tous les mots de passe BianLian connus.

Le décrypteur offre également une option de sauvegarde des fichiers cryptés pour éviter une perte irréversible de données en cas de problème pendant le processus.

Les personnes attaquées par les nouvelles versions du ransomware BianLian devront localiser le binaire du ransomware sur le disque dur, qui pourrait contenir des données pouvant être utilisées pour déchiffrer les fichiers verrouillés.


Avast indique que certains noms de fichiers et emplacements courants pour BianLian sont :

C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Users\%username%\Pictures\windows.exe
anabolic.exe
Cependant, étant donné que le logiciel malveillant se supprime après la phase de cryptage des fichiers, il est peu probable que les victimes trouvent ces fichiers binaires sur leurs systèmes.

Ceux qui parviennent à récupérer les binaires BinaLian sont priés de les envoyer à "[email protected]" pour aider Avast à améliorer son décrypteur.


Téléchargement https://files.avast.com/files/decryptor ... anlian.exe

Documentation :; https://decoded.avast.io/threatresearch ... to_decrypt

--------


Edit du 5/01/2023

Important ! :
Il ne faut surtout pas utiliser le décrypteur avec la nouvelle version 2.0, l’outil risque de corrompre les fichiers piégés après août 2022.
Le pire c'est que ce sont ceux qui sont derrière ce ransomware qui donnent l'avertissement :-)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-03-08_092914.jpg


Décrypteur pour MORTALKOMBAT


MortalKombat est un rançongiciel relativement nouveau qui est entré dans le paysage des cybermenaces en janvier 2023.
Il vise aussi bien les particuliers, que les petites entreprises ou de grandes organisations afin de voler tout ce qui est en lien avec la crypto monnaie
Cette famille de logiciels malveillants est basée sur Xorist , qui a été signalé pour la première fois en 2010.
Les attaquants pourraient utiliser Xorist comme générateur de rançongiciel, en l'utilisant pour créer leurs propres versions du logiciel malveillant.
"MortalKombat crypte un certain nombre de fichiers sur l'appareil de la victime, y compris les stockages distants. Les bases de données et les sauvegardes sont également attaquées "
, ont écrit des chercheurs de Cisco Talos


"MortalKombat crypte un certain nombre de fichiers sur l'appareil de la victime, y compris les stockages distants. Les bases de données et les sauvegardes sont également attaquées », ont écrit des chercheurs de Cisco Talos.

Mode opératoire :

Le vecteur d'infection initial est un e-mail de phishing dans lequel les attaquants se font passer pour CoinPayments, une passerelle de paiement mondiale légitime en crypto-monnaie.
De plus, les e-mails ont un e-mail d'expéditeur usurpé, "noreply[at]CoinPayments[.]net", et le sujet de l'e-mail "[CoinPayments[.]net] Payment Timed Out".
Un fichier ZIP malveillant est joint avec un nom de fichier ressemblant à un ID de transaction mentionné dans le corps de l'e-mail, incitant le destinataire à décompresser la pièce jointe malveillante et à afficher le contenu, qui est un chargeur BAT malveillant.

2023-03-08_093814.jpg


Plus de détail à https://blog.talosintelligence.com/new- ... e-threats/

Le décrypteur, avec le détail de son utilisation est à consulter sur le site de Bitdefender
https://www.bitdefender.com/blog/labs/b ... ansomware/

Téléchargment direct https://download.bitdefender.com/am/mal ... ptTool.exe
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-03-18_185041.jpg


Décrypteur pour CONTI


Source : https://usa.kaspersky.com/about/press-r ... ransomware


Kaspersky donne un déchiffreur pour une variante du célèbre Conti.
Celle-ci a infecté de dizaines d’entreprises et d’administration au cours du mois de décembre 2022.

L’éditeur ne nomme pas directement le groupe derrière cette déclinaison, mais les experts affirment qu’il s’agit du ransomware Meow, basé sur le code source de Conti.

Fin février 2023, les experts de Kaspersky ont découvert une partie des fuites de données publiées sur des forums
Après avoir analysé les données, qui contenaient 258 clés privées, le code source et certains déchiffreurs précompilés, Kaspersky a publié une nouvelle version du déchiffreur public pour aider les victimes de cette modification du ransomware Conti

Le décrypteur a été mis sur "No Ransom". et le décodage fonctionne à ledécrypteur, RakhniDecryptor .


https://noransom.kaspersky.com/#:~:text ... r,%20Conti

Fait amusant, le variant a du être utilisé par des pirates Ukrainiens contre la Russie, car les fichiers cryptés portaient l'extension

Code : Tout sélectionner

.
nom de fichier.KREMLIN
nom de fichier.RUSSIA .
nom de fichier.PUTIN
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

rosette.jpg

Aurait on trouvé la Pierre de Rosette (De Lyon) ?

Le décrypteur universel serait il né ?

2023-05-16_151513.jpg

Pas exactement malheureusement mais ...

Un nouveau décrypteur de rançongiciel récupère les données des fichiers partiellement cryptés


PRINCIPE

Un nouveau décrypteur de ransomware « White Phoenix » permet aux victimes de récupérer partiellement les fichiers cryptés par des souches de ransomware qui utilisent un cryptage intermittent.

Le chiffrement intermittent est une stratégie employée par plusieurs groupes de rançongiciels qui alterne entre le chiffrement et le non chiffrement de blocs de données. Cette méthode permet de crypter un fichier beaucoup plus rapidement tout en laissant les données inutilisables par la victime.

Cette tactique introduit des faiblesses dans le cryptage, car le fait de laisser des parties des fichiers originaux non cryptés crée un potentiel de récupération gratuite des données.


FONCTIONNEMENT DE L' OUTIL

La restauration de ces types de fichiers est réalisée en utilisant 7zip et un éditeur hexadécimal pour extraire les fichiers XML non chiffrés des documents impactés et effectuer le remplacement des données.

White Phoenix automatise toutes les étapes ci-dessus pour les types de fichiers pris en charge, bien qu'une intervention manuelle puisse être nécessaire dans certains cas.

L'outils a été testé et fonctionne bien avec les souches de rançongiciels suivantes :

Code : Tout sélectionner

- BlackCat/ALPHV
- Play ransomware
- Qilin/Agenda
- BianLian
- DarkBit



AUTRES LIMITES

Les auteurs préviennent quand même qu il est essentiel de noter que White Phoenix ne produira pas de bons résultats dans tous les cas, même s'il est théoriquement pris en charge.

Par exemple, si une grande partie d'un fichier a été cryptée, y compris ses composants critiques, les données récupérées peuvent être incomplètes ou inutiles. Ainsi, l'efficacité de l'outil est directement liée à l'étendue des dommages au dossier.

Pour que White Phoenix fonctionne correctement, les formats Zip/Office doivent contenir la chaîne "PK\x03\x04" dans le fichier pour être pris en charge. De plus, les PDF doivent contenir les chaînes "0 obj" et "endobj" pour être partiellement récupérés.

Si White Phoenix ne trouve pas ces chaînes, il indiquera que le type de fichier n'est pas pris en charge,


Bien que ce décrypteur puisse ne pas fonctionner pour tous les fichiers, il pourrait être très utile pour les victimes d'essayer de récupérer "certaines" données à partir de fichiers critiques.




WHITE PHOENIX

2023-05-16_152831.jpg

Lien de téléchargement et usage (il s'agit de scripts Python et non d'un outil à cliquer
White Phoenix utilise uniquement les bibliothèques principales de Python
https://github.com/cyberark/White-Phoenix



Copier coller partiel de la Source ou figure d'autres détails à
https://www.bleepingcomputer.com/news/s ... ted-files/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-06-04_184714.jpg


Décrypteur pour ASTROLOCKER, et YASHMA


AstraLocker est basé sur le rançongiciel Babuk Locker (Babyk), une souche boguée mais toujours dangereuse dont le code source a été divulgué en septembre sur un forum de hackers .


L'outil arrive par EMISOFT

Téléchargement direct

https://www.emsisoft.com/ransomware-dec ... stralocker

Bien lire le .pdf pour les instructions

https://decrypter.emsisoft.com/howtos/e ... locker.pdf


Mais en fait cela a été possible du fait de l'auteur du ransomware qui a tout mis à disposition et a déclaré
C’était amusant, et les choses amusantes ont toujours une fin un jour. Je ferme l’opération, les décrypteurs sont dans des fichiers zip, propres. Je reviendrai”, nous a dit le développeur d’AstraLocker. “J’en ai fini avec les ransomwares pour le moment. Je me lance dans le cryptojaking lol.”
Même s’ils n’ont pas révélé la raison de l’arrêt d’AstraLocker, la cause la plus probable est la publicité soudaine apportée par les récents rapports qui auraient fait atterrir l’opération dans le collimateur des forces de l’ordre.


Source et autres détails : https://www.bleepingcomputer.com/news/s ... e-victims/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-07-01_111814.jpg


Décrypteur pour AKIRA

Avast a publié un décrypteur gratuit pour le rançongiciel Akira

Akira est apparu pour la première fois en mars 2023 et s'est fait un nom en amassant rapidement des victimes alors qu'il ciblait des organisations du monde entier dans un large éventail de secteurs.

À partir de juin 2023, les opérateurs d'Akira ont commencé à déployer une variante Linux de leur chiffreur pour attaquer les machines virtuelles VMware ESXi, augmentant l'exposition aux attaques de chiffrement du groupe.


Le décrypteur Avast
Avast a publié deux versions de son logiciel de décryptage Akira, une pour les architectures Windows 64 bits et une pour les architectures Windows 32 bits .

Version 64Bits https://files.avast.com/files/decryptor ... kira64.exe
Version 32Bits https://files.avast.com/files/decryptor ... _akira.exe

AVAST recommande d'utiliser la version 64 bits car le craquage du mot de passe nécessite beaucoup de mémoire système.


FONCTIONNEMENT

Les utilisateurs doivent fournir à l'outil une paire de fichiers, l'un chiffré par Akira et l'autre sous sa forme originale en texte brut, pour permettre à l'outil de générer la clé de déchiffrement correcte.

"Il est extrêmement important de choisir une paire de fichiers aussi volumineux que possible", prévient Avast .

"En raison du calcul de la taille des blocs d'Akira, il peut y avoir une différence considérable sur la limite de taille, même pour les fichiers qui diffèrent d'une taille de 1 octet."
2023-07-01_111537.png

La taille du fichier d'origine sera également la limite supérieure d'un fichier qui peut être déchiffré par l'outil d'Avast, donc choisir le plus grand disponible est crucial pour une restauration complète des données.

Enfin, le décrypteur offre la possibilité de sauvegarder les fichiers cryptés avant d'essayer de les décrypter, ce qui est recommandé, car vos données peuvent être irréversiblement corrompues en cas de problème.

Avast dit qu'ils travaillent sur un décrypteur Linux, mais les victimes peuvent utiliser la version Windows pour l'instant pour décrypter tous les fichiers qui ont été cryptés sous Linux.



Source et autres détails à https://www.bleepingcomputer.com/news/s ... our-files/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

key group.jpg

Décrypteur pour le ransomware KEY GROUP KEYGROUPE777


La famille de ransomwares Key Group a été révélée pour la première fois le 6 janvier 2023 et poursuit ses opérations depuis lors

Key Group ou KEYGROUP777, est un acteur de cybercriminalité russophone qui se concentre sur le gain financier en vendant des informations d'identification personnelle ou en accédant initialement à des appareils compromis et en obtenant une rançon.

Le groupe vend sur les marchés russophones du darknet des données et des cartes SIM volées, et partage des données doxing et accès à distance. aux caméras IP



LE DECRYPTEUR


Le décrypteur a été créé par des experts en sécurité de la société de renseignement sur les menaces EclecticIQ et fonctionne pour les versions du malware créées début août.

Les attaquants ont affirmé que leur logiciel malveillant utilisait un « cryptage AES de niveau militaire » mais le cryptage peut être inversé.

Le décrypteur du ransomware Key Group est un script Python partagé dans la section Annexe A du rapport du lien, mis en source, du blog eclecticiq.com). Les utilisateurs peuvent l’enregistrer en tant que fichier Python et l’exécuter à l’aide de la commande suivante :

Code : Tout sélectionner

python decryptor.py /path/to/search/directory

Le script recherche dans le répertoire cible et ses sous-répertoires les fichiers portant l’extension .KEYGROUP777TG, décrypte et enregistre le contenu déverrouillé avec le nom de fichier d’origine (décodé à partir de la chaîne base64).

Notez que certaines bibliothèques Python sont nécessaires, en particulier le paquetage de cryptographie.


Sources et ANNEXE A
https://blog.eclecticiq.com/decrypting- ... crime-gang

autre lien
https://www.bleepingcomputer.com/news/s ... over-data/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-09-10_123610.jpg

Décrypteur pour ransomware HardBit


RTK-Solar a publié un outil permettant de décrypter les fichiers affectés par le ransomware HardBit.

HardBit ciblait initialement les pays occidentaux, mais récemment, un client russe a contacté les spécialistes de Solar JSOC CERT après avoir personnellement rencontré le ransomware.
Dans cette attaque, les attaquants ont utilisé HardBit 3.0 et ont exigé 25 000 $ pour 15 hôtes compromis.

C’est ainsi que les experts de RTK-Solar ont obtenu l’échantillon qui a donné la clé du décryptage en particulier, dans les versions ultérieures de HardBit (2.0 et 3.0), les auteurs du malware ont utilisé un système de génération de mots de passe peu fiable pour le cryptage.

L’essentiel réside peut-être dans la publication rapide de nouvelles versions du ransomware : les développeurs n’y consacrent que quelques mois. Les chercheurs ont également noté l'utilisation de noms en langue russe : « Ivan Medvedev » ou « Alexandre » mais il pourrait s’agir d’un stratagème des cybercriminels visant à semer la confusion chez les analystes.

Vous pouvez lire le rapport et télécharger un décrypteur gratuit en utilisant ce lien .
https://rt-solar.ru/upload/iblock/778/i ... ardBit.pdf

Le soucis.. Le rapport est TRES détaillé, (66 pages quand meme) avec les indicateurs de compromission mais.. Est en langue RUSSE
De plus le serveur est lent pour rapatrier le fichier

J'ai du parcourir le document (merci la traduction ;-) pour trouver le lien du decrypteur

https://github.com/solar-jsoc/HardBitDe ... tag/Latest

Pour l'instant il n'y a pas d'articles à son sujet en Europ ou US, seul Bleeping fait état de ce ransomware dans un ancien article
https://www.bleepingcomputer.com/news/s ... ect-price/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2023-12-31_124539.jpg

Décrypteur (nouvelle version) pour ransomware Black Basta


Le décrypteur permet aux victimes de Black Basta de novembre 2022 à ce mois-ci de potentiellement récupérer leurs fichiers gratuitement. Cependant, BleepingComputer a appris que les développeurs de Black Basta ont corrigé le bug dans leur routine de cryptage il y a environ une semaine, empêchant ainsi l'utilisation de cette technique de décryptage dans de nouvelles attaques.

Le décrypteur : https://github.com/srlabs/black-basta-buster

Il s'agit d'une collection de scripts Python qui vous aident à décrypter des fichiers dans différents scénarios.

Cependant, les chercheurs ont créé un script appelé « decryptauto.py » qui tente d'effectuer une récupération automatique de la clé, puis de l'utiliser pour décrypter le fichier.

Source, détails et usage à https://www.bleepingcomputer.com/news/s ... ver-files/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2024-02-13_162308.png

Décrypteur pour le ransomware Rhysida


Des chercheurs sud-coréens ont révélé publiquement une faille dans le cryptage du ransomware Rhysida, permettant la création d’un décrypteur Windows pour récupérer les fichiers gratuitement.

Rhysida est un ransomware lancé à la mi-2023 et réputé pour cibler les organismes de santé, perturber leurs opérations cruciales et vendre les dossiers sensibles des patients.

Lien de téléchargement et documentation (Il faut utiliser un programme de traduction pour l'instant car c'est en Coréen) et désactiver temporairement les protections de type javascript (No script par ex)
https://seed.kisa.or.kr/kisa/Board/166/detailView.do

La doc est en anglais par contre

Source et détails à https://www.bleepingcomputer.com/news/s ... -rng-flaw/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17078
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2024-02-21_105810.jpg


Décrypteur pour le ransomware LOCKBIT 3.0


Dans l'actualité
La police arrête les membres du ransomware LockBit et libère le décrypteur dans le cadre d'une répression mondiale
https://www.bleepingcomputer.com/news/s ... crackdown/

Dans le cadre de l'opération Cronos, les forces de l'ordre ont également récupéré plus de 1 000 clés de déchiffrement sur les serveurs LockBit saisis. À l'aide de ces clés de décryptage, la police japonaise, la NCA et le Federal Bureau of Investigation (FBI) ont développé un outil de décryptage LockBit 3.0 Black Ransomware avec le soutien d'Europol.

Pour que cette solution de récupération fonctionne, vous devez exécuter ce fichier binaire sur votre machine infectée.
Cela lancera une première évaluation de votre machine.

Téléchargement direct https://www.nomoreransom.org/uploads/D ... ckBit.zip
Guide d'utilisation (impératif) https://www.nomoreransom.org/uploads/De ... _Guide.pdf


Les autorités avaient monté un faux site Lockbit qui s'est transformé depuis en trollant tous les malfaisants impliqués
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »