Decrypt Tools ou Decrypter de Ransomware

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2019-11-02_123556.png

Emisoft a réalisé un decrypter pour le ransomware PARADISE


Lien de téléchargement : https://www.emsisoft.com/ransomware-dec ... s/paradise

Usage : https://www.emsisoft.com/ransomware-dec ... radise.pdf


ATTENTION !

Seules les fichiers avec l' extension :

.p3rf0rm4
.prt
.exploit
.immortal
.Recognizer
.sambo
.paradise (e.g. _V.0.0.1{[email protected]}.paradise)
.FC (e.g. _Support_{}.FC)
.sev (e.g. _Kim Chin Im_{}.sev)

peuvent être remis en l'état

De plus pour utiliser le décrypter, les victimes ont besoin d'une paire de fichiers chiffrés et non chiffrés d'une taille supérieure à 3 Ko

Une fois que vous avez une paire de fichiers cryptée et non cryptée, téléchargez le déchiffreur Paradise Ransomware de Emsisoft et exécutez-le. Vous serez ensuite invité à sélectionner les versions cryptées et non cryptées du fichier
2019-11-02_123513.png
Une fois que vous avez sélectionné les fichiers, cliquez sur le bouton Démarrer et le déchiffreur tentera de forcer brutalement la clé de déchiffrement. Quand une clé a été trouvée, le déchiffreur affichera une alerte et chargera la clé.

Appuyez sur OK et vous serez amené à un écran où vous pouvez ajouter les lecteurs que vous souhaitez décrypter. Le lecteur C: sera déjà ajouté au déchiffreur.

Une fois les lecteurs sélectionnés, cliquez sur le bouton Décrypter pour lancer le processus de déchiffrement.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Entre deux décrypters quelques infos à savoir

Les chiffres :

Kaspersky a détecté 16 017 nouvelles modifications de ransomware au deuxième trimestre 2019, c’est plus du double par rapport à celles découvertes l’an dernier à la même période.

Cela rapporte globalement 1 milliard de dollars par an

20% des victimes qui décident de payer ne récupèrent pas leurs données volées

la prévention des menaces n'est plus suffisante
77% des victimes de ransomware avaient un système de protection parfaitement à jour lorsqu’elles ont été attaquées.

La sauvegarde est LA solution de prévention, mais cela ne s'improvise pas et il faut définir un plan de sauvegarde (Pour un particulier, sauvegarder uniquement sur un NAS par ex n'est pas une bonne solution)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Emisoft a réalisé un decrypter pour le ransomware JIGSAW


Les spécialistes Emsisoft ont mis en ligne un outil permettant de déchiffrer les fichiers utilisateur affectés par la famille des ransomwares, appelée Jigsaw. De plus, les développeurs promettent de mettre à jour leur décodeur avec l’avènement de nouvelles versions du malware.

Actuellement, Emsisoft est capable de restaurer des fichiers cryptés avec 85 variantes de Jigsaw à leur état d'origine. Rappelons que cette famille de ransomware utilise un film d’horreur comme leitmotiv.


Le lien de téléchargement https://www.emsisoft.com/ransomware-dec ... ols/jigsaw
Emisoft jigsaw.png

Pour rappel, Jigsaw s’attaque aux utilisateurs depuis environ 2016, en s’appuyant sur l’idée du populaire film «Saw»: la victime doit résoudre le puzzle dans les délais impartis.


Jigsaw chiffre non seulement les fichiers, mais les supprime également à intervalles réguliers. Après 72 heures, l'utilisateur concerné n'aura plus aucun document personnel.

Si vous essayez de redémarrer l'ordinateur pendant l'exécution de Jigsaw, le logiciel malveillant se redémarrera automatiquement et supprimera immédiatement 1 000 fichiers. Telle est la sanction pour avoir tenté de le contrer.
2019-11-22_095203.png
Les auteurs de cryptomonnaies exigent de l’utilisateur un montant compris entre 20 et 2 000 dollars. Jigsaw utilise AES-128 pour le cryptage et ajoute les extensions «.fun» et «.game» aux fichiers.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Emisoft a réalisé un decrypter pour le ransomware AURORA


2020-01-14_135644.jpg

Aurora est une famille de rançongiciels qui crypte les fichiers à l'aide de XTEA et RSA, et peut également être connue sous le nom de "Zorro", "Desu" ou "AnimusLocker". Les extensions connues incluent ".Aurora", ".aurora", ".animus", ".ONI", ".Nano", ".cryptoid", ".peekaboo", ".isolated", ".infected", ". verrouillé "," veracrypt "," .masked "et" .crypton ".

Le logiciel malveillant laisse de nombreuses notes de rançon, par exemple "! -GET_MY_FILES - !. txt", "# RECOVERY-PC # .txt" et "@ [email protected]".


Lien de téléchargement direct : https://www.emsisoft.com/ransomware-dec ... oad/aurora
Usage : https://decrypter.emsisoft.com/howtos/e ... aurora.pdf
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Emisoft a réalisé un decrypter pour le ransomware "Ransomwared”


Vous vous souvenez de
https://www.malekal.com/arnaque-mail-hacker-piratage/
viewtopic.php?f=11&t=60848

où il était demandé de l'argent pour des vidéos "compromettantes" que vous avez partagé/envoyé (et rien à voir avec l'affaire Benjamin G.) ou de séances de... "décontraction" avec votre Webcam devant une video de.. dessins animés de la chaine Gulli ? :-)

Là des petits malins qui font une fixette sur une certaine partie anatomique font un processus inverse
Il est demandé d'envoyer une photo de vos "TITS" (il n'est pas précisé femme ou homme mais le message joint demande des photos de vous nu(e)s) en échange d'une clé de déchiffrement)
Image.jpg
Tits.jpg
Il est évident que quelque soit l'importance des données, il ne faut pas se conformer aux exigences des cybercriminels au sens global mais encore PLUS particulièrement dans ce cas précis (chantage à la clé à l'issue)

Le ransomware ajoute une extension ".ransomwared" ou ".iwanttits" à la fin des noms de fichier des fichiers concernés. Par exemple, un fichier nommé à l'origine "crystal-water.mp3" sera renommé "crystal-water.mp3.ransomwared" (ou crystal-water.mp3.iwanttits).
2020-02-18_102722.jpg
Les méthodes d'infection sont toujours les mêmes :

- spams contenant des pièces jointes infectées
- mises à jour de logiciels factices (player video, Adobe Flash etc
- traqueurs de torrent, opérations de malvertisation, etc

Il cible les documents, images, audio, vidéos, des feuilles de calcul , présentations, archives, bases de données et divers autres types de fichiers
2020-02-18_102622.jpg
La souche de ce ransomware est apparue en 2018 et utilise un chiffrement DES (des années 70)

https://twitter.com/leotpsc/status/1075469755081990146

et en plus la clé qui déverrouille les fichiers est stockée dans le code source du malware en texte brut

A croire qu'il s'agit de l'oeuvre d'un ado en manque d'images mammaires :-)
Néanmoins ce nouveau type de chantage peut donner des idées et ouvrir la porte à d'autres ransomware nettement plus sophistiqués

La solution :

https://www.emsisoft.com/ransomware-dec ... ansomwared
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Les experts de la société antivirus roumaine Bitdefender ont publié un outil gratuit pour décrypter les fichiers affectés par le ransomware

Darkside

2021-01-12_153506.jpg


Les victimes n'ont plus à payer la rançon.
Le décodeur est disponible en téléchargement sur le site officiel de Bitdefender, où vous pouvez trouver des instructions sur la façon d'utiliser l'outil. Pour rappel, les opérateurs de Darkside distribuent le ransomware depuis l'été 2020.

https://labs.bitdefender.com/2021/01/da ... tion-tool/


Se rappeler que chez Bitdefender on trouve d'autres décryteur pour les ransomware

https://labs.bitdefender.com/category/free-tools/


MamoCrypt
WannaRen
OuroBoros
GoGoogle (aka BossiTossi)
Shade (Troldesh)
Paradise
GandCrab V5.2


On peut noter l'évolution du decrypteur GrandCrab chez Bitdedender
Grandcrazb.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Vu les méthodes utilisées, ils se font rares mais voici un décrypteur pour AVADDON

L'attaque était reconnaissable avec le fameux smiley envoyé lors d'un phishing

2021-06-14_125109.png



LIEN DU DECRYPTEUR

https://www.emsisoft.com/ransomware-dec ... ls/avaddon


A l'origine de l'histoire ce sont ceux qui sont derrière ce ransomware qui ont envoyé les 2 934 clés de déchiffrement, où chaque clé correspond à une victime spécifique à Bleeping Computer

"À l'heure actuelle, tous les sites Tor d'Avaddon sont inaccessibles, ce qui indique que l'opération de ransomware s'est probablement arrêtée.

On ne sait pas pourquoi Avaddon a fermé, mais cela a probablement été causé par la pression et le contrôle accrus des forces de l'ordre et des gouvernements du monde entier après les récentes attaques contre des infrastructures critiques. "
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Pas de "Décryptor" annoncé mais ...


Ransomware ClOp


Clap de Fin pour ClOp



Source principale :

https://www.npu.gov.ua/news/kiberzlochi ... -zbitkiv/


En collaboration avec Interpol (IGCI) la Corée du Sud et des États-Unis, la CyberPolice Ukrainienne a arrêté 6 individus, qui appartenaient au groupe identifié comme TA505 et qui envoyaient des emails piègés avec un ransomware


Avec l'aide du programme malveillant "Clop", les prévenus ont crypté les données sur les médias d'entreprises en République de Corée, aux États-Unis mais également en France (et autre pays)
On peut voir l'évolution au fil des ans, les pays visés, et les données prisées
evolution.png

Le cheval de Troie était connu sous le nom Flawed Ammyy RAT (FlawedAmmyy) (Le ransomware "Cl0p" a été aussi déployé)

Cependant, jusqu’en 2017, l activité du groupe était concentrée la distribution de chevaux de Troie bancaires et de rançongiciels (Dridex et Trickbot avec des liens avec les campagnes Locky)

Le montant des dommages s’élève à 500 millions de dollars.

Derrière ce rançongiciel, se trouverait le groupe TA505, sur lequel l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’était penchée au mois de juin 2020.
https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-006/

https://www.cert.ssi.gouv.fr/uploads/CE ... TI-006.pdf


Contrairement aux attaques de ransomware courantes, qui cryptent un grand nombre de PC et de serveurs désinstallés, l'attaque Advanced Persistent Threat (APT) vise le réseau informatique d'une victime spécifique et infecte l'ensemble du système avec un programme de ransomware.


Le rançongiciel Cl0p a été découvert par l’expert Michael Gillespsie début 2019. Il a notamment été utilisé contre le CHU de Rouen
Ils se sont ainsi notamment attaqués au spécialiste français des géosciences CGG, Steris, CSX ou encore Bombardier, et Qualys.

Un site Internet avait été créé en mars 2020 afin de publier les données exfiltrées de victimes du rançongiciel Clop qui n’auraient pas payé leur rançon, probablement afin d’ajouter une pression supplémentaire sur les futures victimes.
2021-06-16_195650.png
message.png


Les forces de l'ordre ont effectué 21 perquisitions dans la capitale et la région de Kiev, au domicile des accusés et dans leurs voitures.
La police ukrainienne indique avoir saisi plus de 150 000 euros en liquide

Leurs voitures: Tesla, Mercedes, etc. que leurs équipements informatiques – dont des Mac – ont également été saisis.

Les prévenus risquent jusqu'à huit ans de prison. Les enquêtes se poursuivent.
Cela pourra peut etre permettre de mettre la main sur des clés etc


Les arrestation filmées :




Ces "pirates" des gens comme tout le monde
des gens.png


mais qui aiment toujours rouler dans des voitures haut de gamme

2021-06-16_200927.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2021-08-03_134901.png


Pas très connu : Ransomware PROMETHEUS (possible fork de THANOS)


Des experts ont sorti un décodeur pour les victimes de Prométhée/Promethéus



Décrypteur : CyCraft


CyCraft, une société de cybersécurité taïwanaise, a publié une application spéciale qui aidera les victimes du programme de rançongiciel Prometheus à restaurer les fichiers affectés à leur apparence précédente.
Le décrypteur est actuellement disponible sur GitHub et des tests ont montré que le programme force avec succès la clé utilisée pour crypter les fichiers utilisateur.

"Le ransomware Prometheus utilise l'algorithme de cryptage de flux Salsa20 avec un mot de passe aléatoire. La taille d'un tel mot de passe est généralement de 32 octets et il peut être craqué par force brute, car il utilise TickCount »", écrivent les experts dans le blog .

D'autres experts de la société Emsisoft, ayant étudié le décrypteur CyCraft, sont arrivés à la conclusion qu'il présentait un inconvénient - la clé de cryptage par force brute n'est possible que dans le cas de petits fichiers. Néanmoins, l'utilitaire publié a sensiblement affecté les opérations de Prometheus.


Lien : https://github-com.translate.goog/cycra ... o=se,elem

Téléchargement direct https://github.com/cycraft-corp/Prometh ... yptor.zip


Méthode :

- Choisissez un fichier ou un dossier à décrypter.
- Choisissez le nom du fichier de sortie ou le dossier de sortie.
- Sélectionnez "Utiliser le fil" et remplissez 2 à 4 pour PC. (Les threads accélèrent généralement la routine de décryptage, mais cela dépend en fait du nombre de cœurs de votre processeur)
- Cliquez sur décrypter.
- Il y a un compteur, qui montre le nombre de ticks de devinette actuel.
- Le résultat du décryptage s'affichera dans le bloc de texte ci-dessous. (Il peut y avoir plusieurs clés possibles, donc la routine de déchiffrement continuera à déchiffrer pour trouver plus de clés possibles. Vous pouvez appuyer sur « Suivant » pour ignorer le fichier en cours.)

Autres détails sur https://medium.com/cycraft/prometheus-d ... 33e7bac1ea
2021-08-03_135200.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Décrypteur pour le ransomware SynAck

L'outil nous arrive par Emisoft

Emisoft.jpg



Telechargement : https://www.emsisoft.com/ransomware-dec ... ls/synack

Pour l'utilisation et fonctionnement : https://www.emsisoft.com/ransomware-de ... ynack.pdf

L'outil fonctionne sur toutes les variantes et permet aux victimes de récupérer leurs fichiers gratuitement.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Ces derniers temps on voit passer quelques infections avec un ransomware du nom de ZEPPELIN" (Buran)

Comme de nombreux ransomwares dont il n'existe pas de décrypteurs, des recherches effectuées par les moteurs renvoient quand même des liens qui indiquent des possibilités


Il n'en n'est rien


https://www.bleepingcomputer.com/news/s ... companies/

https://www.bleepingcomputer.com/forums ... pic/page-5

Tout est crypté en AES-256 (mode CBC) + du RSA-2048 pour protéger la clé privée.
Autrement dit il est impossible de son vivant de décrypter les fichiers en force brute

Derrière ces sites ont trouve du sponsoring (comme pour le programme Spy.Hunter) pour vous faire acheter des solutions qui ne fonctionneront pas
Au mieux, certaines méthodes pourront éradiquer le ransomware mais ne permettront pas de récupérer les fichiers cryptés, d'autres essaieront de vous faire acheter (ou via un lien sponsorisé) des programmes de récupérations de données ou des accès cloud (souvent inconnus)

Si l'on prend en ex le ZEPPELIN, on ne peut meme pas via par exemple

https://telecharger.malekal.com/downloa ... xplorer-2/

récupérer les fichiers

Le ransomware Zeppelin utilise un ensemble de commandes pour arrêter les processus des programmes de sécurité, des sauvegardes, des bases de données, pour supprimer les clichés instantanés de fichiers, désactiver les fonctions de récupération et de réparation de Windows au démarrage, pour effacer les journaux système

Autrement dit, la seule solution viable (après désinfection et changements de mots de passe) consiste à récupérer les fichiers à partir d'une sauvegarde, à condition que celle-ci ait été créée avant l'infection et stockée dans un emplacement séparé.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2021-08-30_141824.png

Decrypteur pour RAGNAROK


Les cybercriminels distribuant le ransomware Ragnarok (également connu sous le nom d'Asnarök) ont décidé de suspendre les attaques et de publier un décrypteur gratuit qui aidera les victimes à récupérer leurs fichiers endommagés. L'utilitaire de décryptage a une clé principale codée en dur. Les attaquants l'ont posté sur l'un de leurs forums sur le dark web, où le groupe avait précédemment publié des fichiers volés aux victimes.

L'outil mis en ligne est en cours d'analyse, mais Emisoft fournira un décrypteur fiable


https://twitter.com/emsisoft/status/1431024350166020104

En attendant attentions aux sites qui proposent l'outi que l'on trouve sur le Dark Web, qui vous l'offrent "gratuitement" ou qui comptant sur le fait que l'info est encore peu connue, demandent un paiement pour déchiffrer les fichiers




Edit du 03/09/2021

Pour actualiser la news précédente le décryptor pour RAGNAROK d'Emisoft est en ligne



Téléchargement

https://www.emsisoft.com/ransomware-dec ... /ragnarok


Bien lire la doc liée à l'usage du décypteur
https://www.emsisoft.com/ransomware-dec ... gnarok.pdf
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

A noter que sur le site EMISOFT, outre la possibilité d'identifier le ransomware pour savoir si il existe un décrypteur,
https://www.emsisoft.com/ransomware-decryption-tools/

il est possible également de lister tout les décrypteurs actuels https://www.emsisoft.com/ransomware-dec ... e-download


Voici à la date du 03/9/2021 tous les décrypteurs existants chez EMISOFT


ATTENTION !
Certains ransomwares peuvent encore évoluer dans le temps, garder leur nom, mais l'outil correspondant pourra ne pas fonctionner (en général ces variants incluent une nouvelle extension)
On le voit avec les rejetons naturels du ransomware STOP DJVU par exemple

Avant de foncer tête baissée, bien lire la doc accompagnant ces décrypteurs

Code : Tout sélectionner

777
AL-NAMROOD
AMNESIA
AMNESIA2
APOCALYPSE
APOCALYPSEVM
AURORA
AUTOLOCKY
AVADDON
AVEST
BADLOCK
BIGBOBROSS
CHECKMAIL7
CHERNOLOCKER
CRY128
CRY9
CRYPBOSS
CRYPT32
CRYPTINFINITE
CRYPTODEFENSE
CRYPTON
CRYPTOPOKEMON
CYBORG
DAMAGE
DMALOCKER
DMALOCKER2
FABIANSOMWARE
FENIXLOCKER
GALACTICRYPTER
GETCRYPT
GLOBE
GLOBE2
GLOBE3
GLOBELMPOSTE
GOMASOM
HAKBIT
HARASOM
HIDACRYPT
HKCRYPT
HYDRACRYPT
IMS00rry
JAVALOCKER
JIGSAW
JSWORM 2.0
JSWORM 4.0
KEYBTC
KOKOCRYPT
LECHIFFRE
LOOCIPHER
MALBORO
MEGALOCKER
MRCR
MUHSTIK
NEMUCOD
NEMUCODAES
NMOREIRA
OPENTOYOU
OZOZALOCKER
PARADISE
PCLOCK
PEWCRYPT
PHILADELPHIA
PLANETARY
RADAMANT
RAGNAROK
RANSOMWARED
REDRUM
SPATCRYPT
STAMPADO
STOP DJVU
STOP PUMA
SYNACK
SYRK
TURKSTATIK
WANNACRYFAKE
XORIST
ZEROFUCKS
ZIGGY
ZORAB
ZQ



A la date du 17/09/2021 : A comparer à la liste globale des décrypteurs du site https://www.nomoreransom.org/fr/decryption-tools.html

Code : Tout sélectionner

777 Ransom
AES_NI Ransom
Agent.iih Ransom
Alcatraz Ransom
Alpha Ransom
Amnesia Ransom
Amnesia2 Ransom
Annabelle Ransom
Aura Ransom
Aurora Ransom
AutoIt Ransom
AutoLocky Ransom
Avaddon Ransom
Avest Ransom
BTCWare Ransom
BadBlock Ransom
BarRax Ransom
Bart Ransom
BigBobRoss Ransom
Bitcryptor Ransom
CERBER V1 Ransom
CheckMail7 Ransom
Chernolocker Ransom
Chimera Ransom
Coinvault Ransom
Cry128 Ransom
Cry9 Ransom
CryCryptor Ransom
CrySIS Ransom
Cryakl Ransom
Crybola Ransom
Crypt32 Ransom
Crypt888 Ransom
CryptON Ransom
CryptXXX V1 Ransom
CryptXXX V2 Ransom
CryptXXX V3 Ransom
CryptXXX V4 Ransom
CryptXXX V5 Ransom
CryptoMix Ransom
Cryptokluchen Ransom
Cyborg Ransom
DXXD Ransom
Damage Ransom
Darkside Ransom
Democry Ransom
Derialock Ransom
Dharma Ransom
djvu Ransom
DragonCyber Ransom
ElvisPresley Ransom
EncrypTile Ransom
Everbe 1.0 Ransom
FONIX Ransom
FenixLocker Ransom
FilesLocker v1 and v2 Ransom
FortuneCrypt Ransom
Fury Ransom
GalactiCryper Ransom
GandCrab (V1, V4 and V5 up to V5.2 versions) Ransom
GetCrypt Ransom
Globe Ransom
Globe/Purge Ransom
Globe2 Ransom
Globe3 Ransom
GlobeImposter Ransom
GoGoogle Ransom
Gomasom Ransom
HKCrypt Ransom
Hakbit Ransom
HiddenTear Ransom
HildaCrypt Ransom
Iams00rry Ransom
InsaneCrypt Ransom
Iwanttits Ransom
JSWorm 2.0 Ransom
JSWorm 4.0 Ransom
Jaff Ransom
JavaLocker Ransom
Jigsaw Ransom
Judge Ransom
Kokokrypt Ransom
LECHIFFRE Ransom
LambdaLocker Ransom
Lamer Ransom
Linux.Encoder.1 Ransom
Linux.Encoder.3 Ransom
Loocipher Ransom
Lorenz Ransom
Lortok Ransom
MacRansom Ransom
Magniber Ransom
Mapo Ransom
Marlboro Ransom
Marsjoke aka Polyglot Ransom
MegaLocker Ransom
Merry X-Mas Ransom
MirCop Ransom
Mira Ransom
Mole Ransom
Muhstik Ransom
Nemty Ransom
Nemucod Ransom
NemucodAES Ransom
Nmoreira Ransom
Noobcrypt Ransom
Ouroboros Ransom
Ozozalocker Ransom
Paradise Ransom
Pewcrypt Ransom
Philadelphia Ransom
Planetary Ransom
Pletor Ransom
Popcorn Ransom
Professeur Ransom
Puma Ransom
Pylocky Ransom
RAGNAROK Ransom
REvil/Sodinokibi Ransom
Rakhni Ransom
Rannoh Ransom
Ransomwared Ransom
RedRum Ransom
Rotor Ransom
SNSLocker Ransom
Shade Ransom
SimpleLocker Ransom
Simplocker Ransom
SpartCrypt Ransom
Stampado Ransom
SynAck Ransom
Syrk Ransom
Teamxrat/Xpan Ransom
TeslaCrypt V1 Ransom
TeslaCrypt V2 Ransom
TeslaCrypt V3 Ransom
TeslaCrypt V4 Ransom
Thanatos Ransom
ThunderX Ransom
Trustezeb Ransom
TurkStatic Ransom
VCRYPTOR Ransom
WannaCryFake Ransom
Wildfire Ransom
XData Ransom
XORBAT Ransom
XORIST Ransom
Yatron Ransom
ZQ Ransom
ZeroFucks Ransom
Ziggy Ransom
Zorab Ransom
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

2021-09-17_104005.png



Bitdefender annonce la disponibilité d'un décrypteur universel pour ; REvil/Sodinokibi



Source : https://www.bitdefender.com/blog/labs/b ... ransomware


L'outil peut récupérer des fichiers chiffrés pendant les attaques par REvil avant le 13 juillet 2021.

C'est à cette date que certaines parties de l'infrastructure de REvil ont été mises hors ligne.
Une disparition qui faisait suite à l'attaque sur les serveurs de Kaseya le 4 juillet.
Kaseya avait pu obtenir un déchiffreur auprès d'un tiers de confiance pour le distribuer à ses clients infectés.

Un lien avec le fait qu'après une rencontre entre le président des États-Unis Joe Biden et son homologue russe Vladimir Poutine où la question des attaques par ransomware perpétrées par des groupes basés en Russie a été évoquée, REvil avait mystérieusement disparu ? Difficile à savoir

REVIL Il est apparu en 2019 en tant que successeur du ransomware GandCrab.
En juin 2019, Bitdefender avait publié un outil de déchiffrement pour GandCrab.

Le soucis c'est qu'après la pause estivale, REVIL est de retour avec de nouvelles attaques
Plusieurs experts en cybersécurité ont d'abord signalé le retour en ligne du site Happy Blog utilisé par REvil pour publier des échantillons de données dérobées et pour lister les victimes refusant de négocier ou payer des rançons.


Lien de téléchargement de l'outil : http://download.bitdefender.com/am/malw ... ryptor.exe

Le mode d'emploi : https://www.nomoreransom.org/uploads/RE ... tation.pdf

A noter que l'outil est également disponible sur le site https://www.nomoreransom.org/fr/decryption-tools.html



Edit du 28/09/2021

"le Washington Post a rapporté que le FBI disposait des clés de déchiffrement pour les victimes de la vaste attaque par ransomware de Kaseya qui a eu lieu en juillet, mais ne les a pas communiquées pendant trois semaines."

https://www.zdnet.fr/actualites/cles-ka ... 929853.htm
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19154
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Decrypt Tools ou Decrypter de Ransomware

par Parisien_entraide »

Ce coup ci c'est AVAST qui s'y colle et fournit des décrypteurs pour


AtomSilo

Babuk

LockFile




2021-10-28_150631.png




Les fichiers affectés par AtomSilo et LockFile peuvent être récupérés avec un seul décrypteur (.EXE), car ces deux ransomwares agissent de manière similaire. « Les familles de ransomwares AtomSilo et LockFile sont très similaires, en fait, elles ne diffèrent que par de petites façons de travailler. C'est pourquoi un décrypteur est utilisé pour ramener les fichiers endommagés à leur état précédent », écrit Avast dans un article de blog .


https://decoded.avast.io/threatintel/de ... ansomware/


Avast a été assisté dans la création d'utilitaires de décryptage par des informations publiées par Iri Vinopal, chercheuse en cybersécurité chez RE-CERT. En particulier, l'expert a noté qu'il avait réussi à trouver un moyen de casser le cryptage AtomSilo. Mais pour Babuk, la société anti-virus tchèque utilise un décodeur séparé .
Comme l'ont noté les employés, l'analyse du code source du ransomware, publiée en septembre sur l'un des forums de cybercriminalité en russe, a contribué à la création de l'utilitaire. Rappelons que l'auteur de Babuk a personnellement divulgué le code du malware après avoir reçu un diagnostic de cancer du poumon au quatrième stade . Néanmoins, Avast a averti que le décrypteur développé ne fonctionnera que pour les fichiers auxquels les extensions .babuk ou .babyk ont ​​été ajoutées.



Liens de téléchargement pour AtomSilo et LockFile

https://files.avast.com/files/decryptor ... omsilo.exe

et pour BABUK

https://www.avast.com/ransomware-decryption-tools#babuk
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »