Decrypt Tools ou Decrypter de Ransomware
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Ce n'est pas un décryptor, mais juste pour le plaisir de voir quelques uns de ces salopards mis hors d'état de nuire
A la base on a ce communiqué de presse http://www.fsb.ru/fsb/press/message/sin ... ssage.html
Si vous ne connaissez pas les langues slaves autrement qu'après avoir ingurgité une bouteille de vodka, pour rappel il existe de très bon programme de traduction pour Firefox et les navigateurs sous Chromium
viewtopic.php?t=68785
Pour résumer il s'agit de l'arrestation de membres qui sont derrière le ransomware REVIL suite à une demande des Etats unis qui avait identifier les criminels
Au total de 14 personnes arrêtées et soupçonnés d'activités cybercriminelles.
La police a confisqué de l'argent à toutes les adresses : Plus de 426 millions de roubles. 600 mille dollars. 500 mille euros.
Ces personnes risquent entre 5 et 8 ans de prison, ce qui n'est pas cher payé je trouve, car ils n'avaient pas que des activités de ransomware à leur actif. Il y avait également par exemple du carding (utilisation illégale de carte de crédit, d'un compte bancaire et d'autres informations financières d'une victime).
L'accusation première pour l'instant est ""circulation illégale de moyens de paiement". Ce qui explique peut etre la faiblesse de la peine encourue
Le reste pouvant être un moyen de pression pour que le GRU puisse "recycler ces criminels :-) (Les USA font la même chose, ainsi que d autres pays)
Je cite :
Les forces de l'ordre russes ont confisqué des voitures coûteuses achetées avec le produit des cyberattaques, ainsi que du matériel informatique et des portefeuilles de crypto-monnaie. Selon les informations disponibles, des perquisitions ont eu lieu à Moscou et dans la région de Moscou, à Saint-Pétersbourg et dans la région de Leningrad et dans la région de Lipetsk.
L'info était déjà disponible depuis quelques jours en anglais via https://www.bleepingcomputer.com/news/s ... g-members/ avec des détails supplémentaires, mais c'est le fait d'avoir une vidéo qui m'a incité à mettre cette news
La vidéo de l'arrestation
En attendant l'activité ransomware se poursuit car depuis début janvier on a vu
L 'arrivée d'un petit nouveau : WASP, qui ajoute l' extension .0.locked aux fichiers chiffrés, de deux nouvelles versions (des variants en fait) de STOP RANSOMWARE qui ajoute l' extension .nqhd pour l'un et pour l'autre l' extension .zaqi et pour un troisième l' extension .dehd
Une nouvelle version du rançongiciel Golang qui ajoute l' extension .xyz
Une nouvelle version du "Problem Ransomware" qui ajoute l' extension .problem
Des versions Linux de la vulnérabilité critique CVE-2021-44228 dans la bibliothèque de journalisation Log4j, également connue sous le nom de Log4Shell, pour accéder aux systèmes VMware Horizon, exploitée par les groupes Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide , Hellokitty, AvsLocker, Night Sky
On a des campagnes Qlocker et eCh0raix ciblant les appareils NAS QNAP, (voir les conseils sur ce site dédié au NAS)
https://www.cachem.fr/alerte-qnap-des-a ... ansomware/
https://www.cachem.fr/alerte-qnap-attaq ... te-et-fin/
et surtout depuis ces 15 premiers jours de janvier, l'arrivé de plusieurs groupes criminels dont le "métier" est lié au ransomware
Telle l'hydre on coupe une tête il en repousse d'autres... L'agent facile attirant les être faibles, ayant des problèmes psychiatriques (l'empathie est complètement absente chez eux), les malfaisants, ... est un bon moteur
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
AVAST fourni un décrypteur pour : TargetCompany
Ce ransomware est actif depuis mi 2021, et réalise différentes actions pour préparer votre machine, notamment en désactivant les clichés instantanés (vssadmin.exe), en modifiant les options de boot via BCDedit, etc.
Ensuite, il chiffre les données en utilisant plusieurs extensions (.mallox, .exploit, .architek, ou .brg), tout en posant des exclusions sur certains dossiers et extensions afin que la machine reste opérationnelle.
Les victimes du rançongiciel TargetCompany peuvent télécharger l'outil de décryptage à partir des serveurs d'Avast ( 64 bits ou 32 bits ) pour décrypter des partitions de disque entières en suivant les instructions affichées dans l'interface utilisateur de l'outil.
64Bits : https://files.avast.com/files/decryptor ... pany64.exe
32Bits : https://files.avast.com/files/decryptor ... ompany.exe
Petit bémol pour les impatients :
Ce décrypteur ne peut être utilisé que pour restaurer des fichiers cryptés "dans certaines circonstances".
Les victimes qui souhaitent récupérer leurs fichiers à l'aide de cet outil de décryptage doivent également être conscientes qu'il s'agira probablement d'un processus gourmand en ressources et en temps.
"Pendant le craquage du mot de passe, tous vos cœurs de processeur disponibles dépenseront la majeure partie de leur puissance de calcul pour trouver le mot de passe de déchiffrement. Le processus de craquage peut prendre beaucoup de temps, jusqu'à des dizaines d'heures", a déclaré Avast .
Mais surtout
Le décrypteur de rançongiciel TargetCompany fonctionne en déchiffrant le mot de passe après avoir comparé un fichier crypté avec sa version originale non cryptée.
Cela impose donc d'avoir le même fichier "en clair" dans une sauvegarde
Par contre une fois le mot de passe trouvé cela fonctionnera pour tous les fichiers
Bien lire la documentation d'usage fournie par AVAST : https://decoded.avast.io/threatresearc ... ansomware/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur Emsisoft pour Maze / Sekhmet / Egregor
Le ransomware Maze a commencé à fonctionner en mai 2019 et est rapidement devenu célèbre car il était responsable de l'utilisation de tactiques de vol de données et de double extorsion désormais utilisées par de nombreuses opérations de ransomware.
Après que Maze a annoncé sa fermeture en octobre 2020, ils ont été renommés en septembre sous le nom d'Egregor , qui a ensuite disparu après l'arrestation de membres en Ukraine .
Sekhmet est apparu en mars 2020, alors que Maze était toujours actif
Téléchargement : https://www.emsisoft.com/ransomware-dec ... et-egregor
Guide d'utilisation : https://decrypter.emsisoft.com/howtos/e ... gregor.pdf
Le ransomware Maze a commencé à fonctionner en mai 2019 et est rapidement devenu célèbre car il était responsable de l'utilisation de tactiques de vol de données et de double extorsion désormais utilisées par de nombreuses opérations de ransomware.
Après que Maze a annoncé sa fermeture en octobre 2020, ils ont été renommés en septembre sous le nom d'Egregor , qui a ensuite disparu après l'arrestation de membres en Ukraine .
Sekhmet est apparu en mars 2020, alors que Maze était toujours actif
Téléchargement : https://www.emsisoft.com/ransomware-dec ... et-egregor
Guide d'utilisation : https://decrypter.emsisoft.com/howtos/e ... gregor.pdf
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur EMISOFT pour HydraCrypt et UmbreCrypt
HydraCrypt et UmbreCrypt sont les deux nouveaux variants du Ransomware de la famille "CrypBoss"
La seule différence notable entre les deux Ransomware est la façon dont ils montrent la menace pour la victime.
- Si votre PC est infecté par Hydracrypt Ransomware, vous êtes susceptible d’obtenir un pop-up vous donnant un avertissement de 72 heures pour payer la rançon.
- UmbreCrypt suit presque un script similaire à Hydracrypt demandant à la victime de traiter pour envoyer un e-mail à l’une des deux adresses – “UmbreCrypt @engineer.com” et “UmbreCrypt @consultant.com”.
Dans le cas d’Hydracrypt, la victime devait contacter [email protected] ou [email protected]
Lien de téléchargement du décrypteur : http://emsi.at/DecryptHydraCrypt
Malheureusement, les modifications apportées par les auteurs HydraCrypt et UmbreCrypt entraînent une détérioration irrémédiable de jusqu'à 15 octets à la fin du fichier.
Cependant, pour la plupart des formats de fichiers, les derniers octets de fin ne sont pas cruciaux ou peuvent être réparés relativement facilement en ouvrant et en enregistrant simplement les fichiers.
Pour les autres formats de fichiers, des outils de réparation et de récupération dédiés peuvent être disponibles.
PROCEDURE
Étape 1: Localisez tout fichier crypté sur votre système, où vous avez également la version originale non cryptée du fichier. Si vous ne trouvez pas une telle paire de fichiers, recherchez un fichier PNG crypté et obtenez une image PNG aléatoire sur Internet.
Étape 2: Sélectionnez les deux fichiers et faites-les glisser et déposez-les sur l’exécutable du décrypteur. Assurez-vous que les deux fichiers sont glissés et déposés en même temps.
Cliquez sur l'image pour déclencher l'animation :
Le décrypteur essaiera alors de déterminer la clé de cryptage de votre système en fonction des deux fichiers que vous avez fournis. Ce processus peut prendre beaucoup de temps et, en fonction de votre processeur et de votre système, peut prendre plusieurs jours.
Une fois la clé de déchiffrement déterminée, vous obtiendrez un message comme celui-ci
Cliquez simplement sur OK et le décrypteur démarrera normalement. Si vous obtenez un message d'erreur à la place, assurez-vous d'avoir fait glisser et déposé les bons fichiers. Si vous l'avez fait, vous avez peut-être été ciblé par une famille de logiciels malveillants complètement différente ou par une nouvelle variante que ce décrypteur ne prend pas encore en charge.
Tous les dossiers que vous ajoutez à la liste des dossiers seront déchiffrés de manière récursive, ce qui signifie que les fichiers situés dans les sous-dossiers du dossier sélectionné seront également déchiffrés.
HydraCrypt et UmbreCrypt sont les deux nouveaux variants du Ransomware de la famille "CrypBoss"
La seule différence notable entre les deux Ransomware est la façon dont ils montrent la menace pour la victime.
- Si votre PC est infecté par Hydracrypt Ransomware, vous êtes susceptible d’obtenir un pop-up vous donnant un avertissement de 72 heures pour payer la rançon.
- UmbreCrypt suit presque un script similaire à Hydracrypt demandant à la victime de traiter pour envoyer un e-mail à l’une des deux adresses – “UmbreCrypt @engineer.com” et “UmbreCrypt @consultant.com”.
Dans le cas d’Hydracrypt, la victime devait contacter [email protected] ou [email protected]
Lien de téléchargement du décrypteur : http://emsi.at/DecryptHydraCrypt
Malheureusement, les modifications apportées par les auteurs HydraCrypt et UmbreCrypt entraînent une détérioration irrémédiable de jusqu'à 15 octets à la fin du fichier.
Cependant, pour la plupart des formats de fichiers, les derniers octets de fin ne sont pas cruciaux ou peuvent être réparés relativement facilement en ouvrant et en enregistrant simplement les fichiers.
Pour les autres formats de fichiers, des outils de réparation et de récupération dédiés peuvent être disponibles.
PROCEDURE
Étape 1: Localisez tout fichier crypté sur votre système, où vous avez également la version originale non cryptée du fichier. Si vous ne trouvez pas une telle paire de fichiers, recherchez un fichier PNG crypté et obtenez une image PNG aléatoire sur Internet.
Étape 2: Sélectionnez les deux fichiers et faites-les glisser et déposez-les sur l’exécutable du décrypteur. Assurez-vous que les deux fichiers sont glissés et déposés en même temps.
Cliquez sur l'image pour déclencher l'animation :
Le décrypteur essaiera alors de déterminer la clé de cryptage de votre système en fonction des deux fichiers que vous avez fournis. Ce processus peut prendre beaucoup de temps et, en fonction de votre processeur et de votre système, peut prendre plusieurs jours.
Une fois la clé de déchiffrement déterminée, vous obtiendrez un message comme celui-ci
Cliquez simplement sur OK et le décrypteur démarrera normalement. Si vous obtenez un message d'erreur à la place, assurez-vous d'avoir fait glisser et déposé les bons fichiers. Si vous l'avez fait, vous avez peut-être été ciblé par une famille de logiciels malveillants complètement différente ou par une nouvelle variante que ce décrypteur ne prend pas encore en charge.
Tous les dossiers que vous ajoutez à la liste des dossiers seront déchiffrés de manière récursive, ce qui signifie que les fichiers situés dans les sous-dossiers du dossier sélectionné seront également déchiffrés.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Kaspersky a mis à jour son décrypteur pour le ransomware ( et famille) Rakhni
Celui ci déchiffre les fichiers affectés par
Code : Tout sélectionner
- Rakhni,
- Agent.iih,
- Aura,
- Autoit,
- Pletor,
- Rotor,
- Lamer,
- Cryptokluchen,
- Lortok,
- Democry,
- Bitman
- TeslaCrypt version 3 et 4,
- Chimera,
- Crysis (versions 2 et 3),
- Jaff,
- Dharma,
- Nouvelles versions du rançongiciel Cryakl, Yatron, FortuneCrypt, Fonix, Maze, Sekhmet, Egregor.
Les noms de ransomwares que l'on peut trouver dans cette famille du moins l'appellation de Kaspersky :
Code : Tout sélectionner
Trojan-Ransom.Win32.Ragnarok
Cheval de Troie-Rançon.Win32.Fonix
Trojan-Ransom.Win32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Ransom.Win32.Autoit
Trojan-Ransom.Win32.Aura
Cheval de Troie-Rançon.AndroidOS.Pletor
Cheval de Troie-Rançon.Win32.Rotor
Trojan-Ransom.Win32.Lamer
Trojan-Ransom.Win32.Cryptokluchen
Trojan-Ransom.Win32.Democry
Trojan-Ransom.Win32.GandCrypt ver. 4 et 5
Trojan-Ransom.Win32.Bitman ver. 3 et 4
Cheval de Troie-Rançon.Win32.Libra
Trojan-Ransom.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojan-Ransom.MSIL.Yatron
Trojan-Ransom.Win32.Chimera
Cheval de Troie-Rançon.Win32.CryFile
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
Cheval de Troie-Rançon.Win32.Nemchig
Cheval de Troie-Rançon.Win32.Mircop
Trojan-Ransom.Win32.Mor
Trojan-Ransom.Win32.Crusis (Dharma)
Cheval de Troie-Rançon.Win32.AecHu
Cheval de Troie-Rançon.Win32.Jaff
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
Cheval de Troie-Rançon.Win32.Maze
Cheval de Troie-Rançon.Win32.Sekhmet
Trojan-Ransom.Win32.Egregor
Le lien : https://media.kaspersky.com/utilities/V ... yptor.zip
Instructions : https://support.kaspersky.com/10556?cid=noransom#block1
Plus globalement : https://noransom.kaspersky.com/
Si vous êtes certain d'avoir bien identifié la menace, et que le décrypteur ne fonctionne pas :
https://support.kaspersky.com/fr/b2c/FR#contacts
A noter que Kaspersky offre gratuitement un outil aux entreprises, pour se protéger des ransomwares , "Kaspersky Anti-Ransomware Tool for Business"
Bon après tout dépend du niveau de confiance que l'on accorde à Kaspersky avec ce type d'outil du fait des sanctions et contexte de guerre
viewtopic.php?t=70419 et de ce que l'on traite au sein de l'entreprise
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur gratuit publié pour les victimes d' HermeticRansom en Ukraine
Source : https://www.bleepingcomputer.com/news/s ... n-ukraine/
Avast a publié un décrypteur pour la souche de ransomware HermeticRansom utilisée dans les attaques ciblées contre les systèmes ukrainiens au cours des derniers jours.
Le ransomware cible les fichiers suivants :
docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb
avec une clé RSA-2048.
Le décrypteur est proposé en téléchargement gratuit sur le site Web d'Avast et peut aider les Ukrainiens à restaurer leurs données rapidement et de manière fiable.
Les premiers signes de la distribution d'HermeticRansom ont été observés par les chercheurs d'ESET le 23 février, quelques heures seulement avant le début de l'invasion des troupes russes en Ukraine.
Lien de téléchargement et instructions : https://decoded.avast.io/threatresearch ... are/#howto
Source : https://www.bleepingcomputer.com/news/s ... n-ukraine/
Avast a publié un décrypteur pour la souche de ransomware HermeticRansom utilisée dans les attaques ciblées contre les systèmes ukrainiens au cours des derniers jours.
Le ransomware cible les fichiers suivants :
docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb
avec une clé RSA-2048.
Le décrypteur est proposé en téléchargement gratuit sur le site Web d'Avast et peut aider les Ukrainiens à restaurer leurs données rapidement et de manière fiable.
Les premiers signes de la distribution d'HermeticRansom ont été observés par les chercheurs d'ESET le 23 février, quelques heures seulement avant le début de l'invasion des troupes russes en Ukraine.
Lien de téléchargement et instructions : https://decoded.avast.io/threatresearch ... are/#howto
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Au sujet de la récupération des données chiffrées par le rançongiciel Hive
Je donne juste les liens pour information et pour voir (suivi) sur quoi cela va déboucher, car pour l'instant ce ne sont que des méthodes décrites avec 2 impératifs
- Il s'agit visiblement d'une ancienne version de HIVE
- Cela nécessite des CENTAINES de paires de fichiers cryptés / originaux (ou alors un très gros fichier avec son équivalent non crypté)
https://arxiv.org/abs/2202.08477
https://therecord.media/academics-publi ... ansomware/
https://thehackernews.com/2022/02/maste ... mware.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Après que CyCraft a publié un décrypteur en août 2021, Avast a publié un nouveau décrypteur gratuit pour le rançongiciel Prometheus
Prometheus est une souche de rançongiciel écrite en C# qui a hérité de beaucoup de code d'une souche plus ancienne appelée Thanos.
Instructions et lien de téléchargement : https://decoded.avast.io/threatresearch ... ansomware/
Prometheus est une souche de rançongiciel écrite en C# qui a hérité de beaucoup de code d'une souche plus ancienne appelée Thanos.
Instructions et lien de téléchargement : https://decoded.avast.io/threatresearch ... ansomware/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur EMISOFT pour Diavol
Bien que présent depuis au moins juin 2021, le rançongiciel Diavol n'a jamais été très actif
Téléchargement direct : https://www.emsisoft.com/ransomware-dec ... oad/diavol
Utilisation ; https://www.emsisoft.com/ransomware-dec ... diavol.pdf
""Le décrypteur nécessite l'accès à une paire de fichiers composée d'un fichier crypté et de la version originale non cryptée du fichier crypté pour reconstruire les clés de cryptage nécessaires pour décrypter le reste de vos données", explique Emsisoft.
"Par défaut, le décrypteur pré-remplira les emplacements à décrypter avec les lecteurs et lecteurs réseau actuellement connectés."
Cet outil de décryptage du rançongiciel Diavol conservera les fichiers cryptés lors de l'attaque en tant que sécurité intégrée si les fichiers décryptés ne sont pas identiques aux documents originaux.
De plus, il est livré avec un "Autoriser le décryptage partiel des fichiers volumineux", nécessaire pour récupérer partiellement certains fichiers plus volumineux que la paire de fichiers fournie pour reconstruire les clés de cryptage. Ceci est nécessaire car le décrypteur peut ne pas réussir à récupérer ces fichiers en raison de limitations techniques."
Bien que présent depuis au moins juin 2021, le rançongiciel Diavol n'a jamais été très actif
Téléchargement direct : https://www.emsisoft.com/ransomware-dec ... oad/diavol
Utilisation ; https://www.emsisoft.com/ransomware-dec ... diavol.pdf
""Le décrypteur nécessite l'accès à une paire de fichiers composée d'un fichier crypté et de la version originale non cryptée du fichier crypté pour reconstruire les clés de cryptage nécessaires pour décrypter le reste de vos données", explique Emsisoft.
"Par défaut, le décrypteur pré-remplira les emplacements à décrypter avec les lecteurs et lecteurs réseau actuellement connectés."
Cet outil de décryptage du rançongiciel Diavol conservera les fichiers cryptés lors de l'attaque en tant que sécurité intégrée si les fichiers décryptés ne sont pas identiques aux documents originaux.
De plus, il est livré avec un "Autoriser le décryptage partiel des fichiers volumineux", nécessaire pour récupérer partiellement certains fichiers plus volumineux que la paire de fichiers fournie pour reconstruire les clés de cryptage. Ceci est nécessaire car le décrypteur peut ne pas réussir à récupérer ces fichiers en raison de limitations techniques."
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur pour le ransomware Yanluowang
Téléchargement de l'outil et explications ; https://support.kaspersky.com/8547
Cette souche de ransomware crypte les fichiers de plus de 3 Go et ceux de moins de 3 Go en utilisant différentes méthodes : les plus gros sont partiellement cryptés en bandes de 5 Mo tous les 200 Mo, tandis que les plus petits sont entièrement cryptés du début à la fin.
Pour cette raison, "si le fichier d'origine est supérieur à 3 Go, il est possible de déchiffrer tous les fichiers du système infecté, petits et grands. Mais s'il existe un fichier d'origine inférieur à 3 Go, seuls les petits fichiers peuvent être déchiffré."
Pour déchiffrer vos fichiers, vous avez besoin d'au moins un des fichiers originaux :
- Pour décrypter de petits fichiers (inférieurs ou égaux à 3 Go), vous avez besoin d'une paire de fichiers d'une taille de 1024 octets ou plus. Cela suffit pour décrypter tous les autres petits fichiers.
- Pour décrypter de gros fichiers (plus de 3 Go), vous avez besoin d'une paire de fichiers (cryptés et originaux) d'au moins 3 Go chacun. Cela suffira à décrypter les gros et les petits fichiers.
Kaspersky RannohDecryptor est un outil gratuit pour décrypter les fichiers affectés par le Trojan-Ransom.Win32.Rannoh.
L'outil RannohDecryptor est conçu pour décrypter les fichiers cryptés par les rançongiciels suivants :
Trojan-Ransom.Win32.Rannoh
Cheval de Troie-Rançon.Win32.AutoIt
Trojan-Ransom.Win32.Cryakl
Trojan-Ransom.Win32.CryptXXX versions 1, 2 et 3
Trojan-Ransom.Win32.Crybola
Trojan-Ransom.Win32.Polyglot
Cheval de Troie-Rançon.Win32.Fury
Cheval de Troie-Rançon.Win32.Yanluowang
Téléchargement de l'outil et explications ; https://support.kaspersky.com/8547
Cette souche de ransomware crypte les fichiers de plus de 3 Go et ceux de moins de 3 Go en utilisant différentes méthodes : les plus gros sont partiellement cryptés en bandes de 5 Mo tous les 200 Mo, tandis que les plus petits sont entièrement cryptés du début à la fin.
Pour cette raison, "si le fichier d'origine est supérieur à 3 Go, il est possible de déchiffrer tous les fichiers du système infecté, petits et grands. Mais s'il existe un fichier d'origine inférieur à 3 Go, seuls les petits fichiers peuvent être déchiffré."
Pour déchiffrer vos fichiers, vous avez besoin d'au moins un des fichiers originaux :
- Pour décrypter de petits fichiers (inférieurs ou égaux à 3 Go), vous avez besoin d'une paire de fichiers d'une taille de 1024 octets ou plus. Cela suffit pour décrypter tous les autres petits fichiers.
- Pour décrypter de gros fichiers (plus de 3 Go), vous avez besoin d'une paire de fichiers (cryptés et originaux) d'au moins 3 Go chacun. Cela suffira à décrypter les gros et les petits fichiers.
Kaspersky RannohDecryptor est un outil gratuit pour décrypter les fichiers affectés par le Trojan-Ransom.Win32.Rannoh.
L'outil RannohDecryptor est conçu pour décrypter les fichiers cryptés par les rançongiciels suivants :
Trojan-Ransom.Win32.Rannoh
Cheval de Troie-Rançon.Win32.AutoIt
Trojan-Ransom.Win32.Cryakl
Trojan-Ransom.Win32.CryptXXX versions 1, 2 et 3
Trojan-Ransom.Win32.Crybola
Trojan-Ransom.Win32.Polyglot
Cheval de Troie-Rançon.Win32.Fury
Cheval de Troie-Rançon.Win32.Yanluowang
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur pour le ransomware HIVE (Versions 1 à 4)
Finalement ils y sont arrivés (voir la news du mois de mars 2021)
l'info est arrivée par le biais de la Korea Internet & Security Agency (KISA)
https://seed.kisa.or.kr/kisa/Board/133/detailView.do
Pour résumer :
"L'Agence coréenne de sécurité Internet et de sécurité (KISA) distribue l'outil de récupération intégré du ransomware Hive avec un .pdf explicatif.
Cet outil de récupération peut récupérer les fichiers cryptés de la version 1 à la version 4 généfés par ransomware Hive."
Il faut savoir que le décrypteur a pu voir le jour du fait d'une faillé révélée (malheureusement) en février dernier par des chercheurs de l'Université Kookmin (Corée du Sud)
Les auteurs du ransomware qui sont toujours au courant de ce qui se passe ont comblé la faille
De plus la version Linux d Hive a vu son son encodeur écrit en Rust, et non en Go, comme auparavant. Cette innovation améliore la vitesse, l'efficacité et la stabilité du code malveillant.
Pour en revenir au décrypteur :
Le seuls soucis pour l'instant c'est que tout est en Koréen (dont le PDF sur leur site : Hive_랜섬웨어_통합_복구도구_사용_매뉴얼.pdf qui fournit des instructions étape par étape pour récupérer gratuitement les données cryptées)
En traduisant la page viewtopic.php?t=68785
on peut avoir accès à l'outil (j'ai testé à la fois pour le programme qui télécharge un fichier .zip du nom de " Hive_Ransomware_Integrated_Decryption_Tool.zip" et le PDF (nom déjà cité)
Cependant on devrait le voir prochainement sur NoMoreRansom (il n'y est pas à ce jour)
METHODE DE HIVE
Le cybergroupe derrière Hive, dont les attaques ont commencé en juin 2021, utilise des serveurs RDP vulnérables, des identifiants VPN compromis et des e-mails de phishing avec des pièces jointes malveillantes pour pénétrer le réseau de la victime.
De plus, les attaquants utilisent le système dit de double extorsion, dans lequel des fichiers importants sont non seulement cryptés, mais également téléchargés sur un serveur appartenant aux criminels avant de crypter le tout chez la victime
Par la suite, les "extorqueurs" menacent de divulguer les informations privilégiées à moins que l'entreprise ou le particulier (car il y en a eu) ne paie la rançon.
Le ransomware Hive est l'une des 10 principales souches de ransomwares en termes de revenus en 2021.
PARTIE TECHNIQUE
"En février, une équipe de chercheurs de l'Université Kookmin (Corée du Sud) a découvert une faille dans l'algorithme de chiffrement utilisé par le rançongiciel Hive qui leur permettait de déchiffrer des données sans connaître la clé privée utilisée par le gang pour chiffrer les fichiers."
Les experts ont détaillé le processus utilisé par le rançongiciel Hive pour générer et stocker la clé principale des fichiers des victimes. Le ransomware génère 10 Mo de données aléatoires et les utilise comme clé principale. Le malware est extrait d'un décalage spécifique de la clé principale 1MiB et 1KiB de données pour chaque fichier à chiffrer et utilise comme flux de clés. Le décalage est stocké dans le nom de fichier chiffré de chaque fichier. Cela signifie que les experts ont pu déterminer le décalage du flux de clés stocké dans le nom de fichier et décrypter le fichier.
Les résultats des tests ont démontré l'efficacité de la méthode, la clé maîtresse a récupéré 92% a réussi à déchiffrer environ 72% des fichiers, tandis que la clé maîtresse a restauré 96% a réussi à déchiffrer environ 82% des fichiers, et la clé maîtresse a restauré 98% ont réussi à décrypter environ 98% des fichiers."
Les découvertes des chercheurs ont probablement été le point de départ des travaux de l'agence KISA qui a finalement développé un décrypteur.
Cette possibilité est désormais fermée : le login et le mot de passe fournis à la victime ne sont plus stockés dans le code exécutable, mais lui sont passés au démarrage en argument de la ligne de commande.
La même technique est utilisée par un autre ransomware qui maîtrise Rust, BlackCat/ALPHV . La similitude a même induit en erreur les antivirus
https://arxiv.org/abs/2202.08477
Finalement ils y sont arrivés (voir la news du mois de mars 2021)
l'info est arrivée par le biais de la Korea Internet & Security Agency (KISA)
https://seed.kisa.or.kr/kisa/Board/133/detailView.do
Pour résumer :
"L'Agence coréenne de sécurité Internet et de sécurité (KISA) distribue l'outil de récupération intégré du ransomware Hive avec un .pdf explicatif.
Cet outil de récupération peut récupérer les fichiers cryptés de la version 1 à la version 4 généfés par ransomware Hive."
Il faut savoir que le décrypteur a pu voir le jour du fait d'une faillé révélée (malheureusement) en février dernier par des chercheurs de l'Université Kookmin (Corée du Sud)
Les auteurs du ransomware qui sont toujours au courant de ce qui se passe ont comblé la faille
De plus la version Linux d Hive a vu son son encodeur écrit en Rust, et non en Go, comme auparavant. Cette innovation améliore la vitesse, l'efficacité et la stabilité du code malveillant.
Pour en revenir au décrypteur :
Le seuls soucis pour l'instant c'est que tout est en Koréen (dont le PDF sur leur site : Hive_랜섬웨어_통합_복구도구_사용_매뉴얼.pdf qui fournit des instructions étape par étape pour récupérer gratuitement les données cryptées)
En traduisant la page viewtopic.php?t=68785
on peut avoir accès à l'outil (j'ai testé à la fois pour le programme qui télécharge un fichier .zip du nom de " Hive_Ransomware_Integrated_Decryption_Tool.zip" et le PDF (nom déjà cité)
Cependant on devrait le voir prochainement sur NoMoreRansom (il n'y est pas à ce jour)
METHODE DE HIVE
Le cybergroupe derrière Hive, dont les attaques ont commencé en juin 2021, utilise des serveurs RDP vulnérables, des identifiants VPN compromis et des e-mails de phishing avec des pièces jointes malveillantes pour pénétrer le réseau de la victime.
De plus, les attaquants utilisent le système dit de double extorsion, dans lequel des fichiers importants sont non seulement cryptés, mais également téléchargés sur un serveur appartenant aux criminels avant de crypter le tout chez la victime
Par la suite, les "extorqueurs" menacent de divulguer les informations privilégiées à moins que l'entreprise ou le particulier (car il y en a eu) ne paie la rançon.
Le ransomware Hive est l'une des 10 principales souches de ransomwares en termes de revenus en 2021.
PARTIE TECHNIQUE
"En février, une équipe de chercheurs de l'Université Kookmin (Corée du Sud) a découvert une faille dans l'algorithme de chiffrement utilisé par le rançongiciel Hive qui leur permettait de déchiffrer des données sans connaître la clé privée utilisée par le gang pour chiffrer les fichiers."
"La technique mise au point par l'équipe d'universitaires a permis de récupérer plus de 95 % des clés utilisées"Le rançongiciel Hive utilise un schéma de chiffrement hybride, mais utilise son propre chiffrement symétrique pour chiffrer les fichiers. Nous avons pu récupérer la clé principale pour générer la clé de chiffrement du fichier sans la clé privée de l'attaquant, en utilisant une vulnérabilité cryptographique identifiée par analyse. À la suite de nos expériences, les fichiers cryptés ont été décryptés avec succès à l'aide de la clé principale récupérée basée sur notre mécanisme. lit l' article publié par des chercheurs de l'Université Kookmin (Corée du Sud). « À notre connaissance, il s'agit de la première tentative réussie de décryptage du rançongiciel Hive. Nous avons démontré expérimentalement que plus de 95 % des clés utilisées pour le chiffrement pouvaient être récupérées en utilisant la méthode que nous avons suggérée."
Les experts ont détaillé le processus utilisé par le rançongiciel Hive pour générer et stocker la clé principale des fichiers des victimes. Le ransomware génère 10 Mo de données aléatoires et les utilise comme clé principale. Le malware est extrait d'un décalage spécifique de la clé principale 1MiB et 1KiB de données pour chaque fichier à chiffrer et utilise comme flux de clés. Le décalage est stocké dans le nom de fichier chiffré de chaque fichier. Cela signifie que les experts ont pu déterminer le décalage du flux de clés stocké dans le nom de fichier et décrypter le fichier.
Les résultats des tests ont démontré l'efficacité de la méthode, la clé maîtresse a récupéré 92% a réussi à déchiffrer environ 72% des fichiers, tandis que la clé maîtresse a restauré 96% a réussi à déchiffrer environ 82% des fichiers, et la clé maîtresse a restauré 98% ont réussi à décrypter environ 98% des fichiers."
Les découvertes des chercheurs ont probablement été le point de départ des travaux de l'agence KISA qui a finalement développé un décrypteur.
Cette possibilité est désormais fermée : le login et le mot de passe fournis à la victime ne sont plus stockés dans le code exécutable, mais lui sont passés au démarrage en argument de la ligne de commande.
La même technique est utilisée par un autre ransomware qui maîtrise Rust, BlackCat/ALPHV . La similitude a même induit en erreur les antivirus
https://arxiv.org/abs/2202.08477
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Decrypteur (à venir) pour le ransomware ASTRALOCKER
Edit du 10/07/2022 : C'est fait Emisoft le propose (voir plus bas)
Le groupe à l'origine des attaques de ransomware AstraLocker a annoncé l'arrêt des activités de ransomware.
Désormais, les cybercriminels veulent passer au cryptojacking.
De plus, les opérateurs d'AstraLocker ont même téléchargé une archive ZIP avec des décrypteurs sur VirusTotal , ce qui aidera à restaurer les fichiers affectés à leur état précédent. BleepingComputer a analysé l'archive et confirmé l'authenticité des outils de décryptage.
L'attaquant n'a pas révélé la raison de la fin des attaques, cependant, on pense que les campagnes AstraLocker pourraient attirer l'attention des forces de l'ordre. Cela s'est déjà produit auparavant, il convient de rappeler l'exemple du même BlackMatter, dont les opérateurs ont quitté le jeu sous la pression des forces de l'ordre .
Les spécialistes d'Emsisoft travaillent actuellement sur un décrypteur universel, et il sera bientôt disponible pour toutes les victimes du ransomware.
Soit dit en passant, les attaques AstraLocker se distinguent par la méthode inhabituelle de chiffrement des appareils des victimes.
Comme l'ont noté les chercheurs de ReversingLabs, au lieu de compromettre les appareils, les attaquants ont déployé des charges utiles directement à partir de pièces jointes à l'aide de documents Microsoft Word malveillants.
Avant le chiffrement, le logiciel malveillant vérifiait toujours s'il s'exécutait sur une machine virtuelle, mettait également fin aux processus antivirus et empêchait la création de sauvegardes.
______
Edit du 10/07/2022
Un décrypteur pour AstraLocker ou Yashma peut être téléchargé mainternant à partir du site Web d'Emsisoft
https://www.emsisoft.com/ransomware-dec ... stralocker
il y a aussi un lien vers le manuel d'utilisation (en PDF).
https://www.emsisoft.com/ransomware-dec ... locker.pdf
Les experts avertissent que le logiciel malveillant résident doit être mis en quarantaine avant le lancement de l'utilitaire, sinon il réactivera et annulera tous les efforts de retour de données.
Le décrypteur AstraLocker est pour celui basé sur Babuk utilisant l'extension .Astra ou .babyk, et ils ont publié un total de 8 clés", a ajouté Emsisoft .
"Le décrypteur Yashma est pour celui basé sur le Chaos utilisant .AstraLocker ou une extension aléatoire .[a-z0-9]{4}, et ils ont publié un total de 3 clés."
Emsisoft a également conseillé aux victimes d'AstraLocker et de Yashma dont les systèmes ont été compromis via Windows Remote Desktop de modifier les mots de passe de tous les comptes d'utilisateurs autorisés à se connecter à distance et de rechercher d'autres comptes locaux que les opérateurs de rançongiciels auraient pu ajouter.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur pour HIVE 5 (pour les autres versions voir la news précédente)
Un chercheur en sécurité italien connu sur Twitter sous le nom de @reecdeep a créé un décrypteur pour le flux de clés généré par la version 5 de Hive.
https://twitter.com/reecdeep/status/1546766063223857152
Un outil permettant de renvoyer les données cryptées par le malware réécrit en Rust est disponible gratuitement sur GitHub.
A la fin du mois dernier , un décrypteur gratuit pour les victimes de Hive est sorti , écrit en Go (versions 1 à 4 incluses). Les auteurs de l'utilitaire ont averti que si la dernière version du ransomware est infectée, elle est inutile. Cette limitation est désormais levée grâce à reecDeep. Un spécialiste de la rétro-ingénierie a étudié un encodeur Rust et créé un keygen PoC, puis un programme capable de générer des listes de clés sous le débogueur et de sélectionner celles dont vous avez besoin directement sur la machine infectée.
L'utilisateur a le choix entre trois opérations possibles :
Dans un commentaire pour Tech Monitor , https://techmonitor.ai/technology/cyber ... key-conti l'analyste a noté que l'impulsion pour la création du décrypteur PoC était la croissance de l'activité de Hive.
Les opérateurs de ransomwares se sont concentrés sur les installations médicales, et de telles attaques mettent en danger la santé et même la vie des patients.
Selon Recorded Future, que le journaliste a examiné, Hive occupe désormais la deuxième place avec BlackCat dans le classement des logiciels malveillants en termes de nombre de publications sur les sites de fuite de ransomwares.
LockBit est toujours en tête de la triste liste - les analystes du groupe NCC ont reçu des résultats similaires pour le mois de mai .
Lien du décrypteur :
https://github.com/reecdeep/HiveV5_keystream_decryptor
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur pour LockerGoga par Bitdefender
Téléchargement direct : https://download.bitdefender.com/am/mal ... ptTool.exe
instructions : https://www.nomoreransom.org/uploads/L ... pt-Doc.pdf
Les fichiers cryptés se présentent avec l'extension .locked
Source : https://www.bleepingcomputer.com/news/s ... ansomware/
Bitdefender affirme que le décrypteur a été développé en coopération avec les forces de l'ordre, notamment Europol, le projet NoMoreRansom, le parquet de Zürich et la police cantonale de Zürich.
Pour qu'un décrypteur fonctionnel soit créé, les chercheurs doivent généralement identifier une faille dans la cryptographie utilisée par le crypteur de ransomware.
Cependant, dans cette affaire, les opérateurs de LockerGoga ont été arrêtés en octobre 2021 , ce qui a peut-être permis aux forces de l'ordre d'accéder aux clés privées principales utilisées pour décrypter les clés de cryptage des victimes. (...)
Autres détails sur le lien source
Téléchargement direct : https://download.bitdefender.com/am/mal ... ptTool.exe
instructions : https://www.nomoreransom.org/uploads/L ... pt-Doc.pdf
Les fichiers cryptés se présentent avec l'extension .locked
Source : https://www.bleepingcomputer.com/news/s ... ansomware/
Bitdefender affirme que le décrypteur a été développé en coopération avec les forces de l'ordre, notamment Europol, le projet NoMoreRansom, le parquet de Zürich et la police cantonale de Zürich.
Pour qu'un décrypteur fonctionnel soit créé, les chercheurs doivent généralement identifier une faille dans la cryptographie utilisée par le crypteur de ransomware.
Cependant, dans cette affaire, les opérateurs de LockerGoga ont été arrêtés en octobre 2021 , ce qui a peut-être permis aux forces de l'ordre d'accéder aux clés privées principales utilisées pour décrypter les clés de cryptage des victimes. (...)
Autres détails sur le lien source
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19154
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Decrypt Tools ou Decrypter de Ransomware
Décrypteur pour MegaCortex
Bitdefender a publié un décrypteur gratuit pour les fichiers affectés par les attaques de ransomware MegaCortex.
Pour la première fois, la famille de rançongiciels MegaCortex a été remarquée en 2019.
Par exemple, le FBI a mis en garde contre les attaques de LockerGoga et MegaCortex contre le secteur privé.
Ces deux logiciels malveillants poursuivaient à peu près les mêmes objectifs.
Les experts ont souligné un fait intéressant : dans les réseaux d'entreprise où MegaCortex a été trouvé, ils ont également trouvé Emotet et Qbot .
Soit dit en passant, les opérateurs de MegaCortex ont utilisé presque dès le début la tactique de la double extorsion : ils ont non seulement chiffré des fichiers, mais ont également volé des données internes.
En règle générale, ils ont demandé un décrypteur de 20 000 à 5,8 millions de dollars. Avec le soutien d'Europol et des chercheurs du projet NoMoreRansom, les spécialistes de Bitdefender ont réussi à créer un décrypteur.
TELECHARGEMENT
https://www.bitdefender.com/blog/labs/b ... decryptor/
Direct : https://download.bitdefender.com/am/mal ... ptTool.exe
il s'agit d'un exécutable autonome qui ne nécessite pas d'installation
CONSEILS
L'instruction (PDF) vous recommande fortement de faire d'abord une copie de sauvegarde de tous les fichiers concernés, puis de procéder ensuite au décryptage.
http://www.nomoreransom.org/uploads/Use ... ryptor.pdf
même si le décrypteur peut sauvegarder les fichiers cryptés pour des raisons de sécurité en cas de problème dans le processus de décryptage qui pourrait corrompre les fichiers au-delà de la récupération.
Les journaux avec le décrypteur peuvent être trouvés sur %temp%\BitdefenderLog.txt .
Si vous êtes victime des versions 2-4 de MegaCortex, avant d'exécuter le décrypteur, vous devez vous assurer que le fichier "!!READ_ME!!!.TXT" ou "!-!README!-!.RTF" est présent dans le système (bien lire le .pdf)
FONCTIONNEMENT
Le décrypteur dispose d'un mode "Scan Entire System" qui permet aux utilisateurs de rechercher des fichiers corrompus dans tout le système.
En bref il se propose de localiser automatiquement les fichiers cryptés sur le système.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 15 Réponses
- 717 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 102 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 78 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 81 Vues
-
Dernier message par Parisien_entraide
-
- 12 Réponses
- 138 Vues
-
Dernier message par Parisien_entraide