Decrypt Tools ou Decrypter de Ransomware

[Parisien_entraide]

2023-01-17_182524.jpg

Décrypteur pour BianLian


BIANLIAN (fiche wikipedia)

Le Bianlian « visage changeant » ou « visage changeant de l'opéra du Sichuan » est un art vivant lié à l'opéra du Sichuan en République populaire de Chine, dans laquelle l'artiste change de masques à plusieurs reprises et doit, selon les règles, être imperceptible au spectateur. Dans les faits le changement se fait en une fraction de seconde et le même masque peut aller jusqu'à changer plusieurs dizaines de fois de motif. Ce type de spectacle mêle la gestuelle, la danse, l'illusion et la prestidigitation.

Outre le langage de programmation ( langage de programmation Go (alias Golang).) cela peut donner une idée de l'origine de ce ransomware, bien que jamais revendiqué par un groupe
Cela pourrait indiquer des Nord Coréens ou la Chine
Je doute que des particuliers soient touchés et en plus en France
Ce ransomware ciblait plutôt le monde industriel et les pays anglo saxons


C'est AVAST qui s'y colle cette fois en publiant un décrypteur "gratuit" pour ce ransomware


Source : https://www.bleepingcomputer.com/news/s ... decryptor/

Il est précisé que :

L'outil de décryptage d'Avast ne peut aider que les victimes attaquées par une variante connue du rançongiciel BianLian.
Si les pirates utilisent une nouvelle version du logiciel malveillant que les chercheurs n'ont pas encore détectée, l'outil n'est d'aucune utilité pour le moment.

Cependant, Avast dit que le décrypteur BianLian est un travail en cours, et la possibilité de débloquer plus de souches sera ajoutée sous peu.
https://decoded.avast.io/threatresearch ... ansomware/

BianLian (à ne pas confondre avec le cheval de Troie bancaire Android du même nom ) est une souche de ransomware basée sur Go ciblant les systèmes Windows.

Il utilise l'algorithme symétrique AES-256 avec le mode de chiffrement CBC pour chiffrer plus de 1013 extensions de fichiers sur tous les lecteurs accessibles.

Le logiciel malveillant effectue un chiffrement intermittent sur les fichiers de la victime, une tactique qui permet d'accélérer les attaques au détriment de la force de verrouillage des données.

Les fichiers cryptés reçoivent l'extension ".bianlian", tandis que la note de rançon générée avertit les victimes qu'elles ont dix jours pour répondre aux demandes du pirate ou leurs données privées seront publiées sur le site de fuite de données du gang.

Pour plus de détails sur le fonctionnement du rançongiciel BianLian, consultez ce rapport SecurityScoreCard sur la souche publié en décembre 2022.



Le décrypteur d'Avast

Le décrypteur de ransomware BianLian est disponible gratuitement et le programme est un exécutable autonome qui ne nécessite pas d'installation.
Les utilisateurs peuvent sélectionner l'emplacement qu'ils souhaitent décrypter et fournir au logiciel une paire de fichiers originaux/cryptés.

2023-01-17_181136.jpg

Il existe également une option pour les utilisateurs disposant d'un mot de passe de déchiffrement valide, mais si la victime n'en a pas, le logiciel peut toujours tenter de le découvrir en parcourant tous les mots de passe BianLian connus.

Le décrypteur offre également une option de sauvegarde des fichiers cryptés pour éviter une perte irréversible de données en cas de problème pendant le processus.

Les personnes attaquées par les nouvelles versions du ransomware BianLian devront localiser le binaire du ransomware sur le disque dur, qui pourrait contenir des données pouvant être utilisées pour déchiffrer les fichiers verrouillés.


Avast indique que certains noms de fichiers et emplacements courants pour BianLian sont :

C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Users\%username%\Pictures\windows.exe
anabolic.exe
Cependant, étant donné que le logiciel malveillant se supprime après la phase de cryptage des fichiers, il est peu probable que les victimes trouvent ces fichiers binaires sur leurs systèmes.

Ceux qui parviennent à récupérer les binaires BinaLian sont priés de les envoyer à "[email protected]" pour aider Avast à améliorer son décrypteur.


Téléchargement https://files.avast.com/files/decryptor ... anlian.exe

Documentation :; https://decoded.avast.io/threatresearch ... to_decrypt

--------


Edit du 5/01/2023

Important ! : Il ne faut surtout pas utiliser le décrypteur avec la nouvelle version 2.0, l’outil risque de corrompre les fichiers piégés après août 2022.
Le pire c'est que ce sont ceux qui sont derrière ce ransomware qui donnent l'avertissement :-)

[Parisien_entraide]

2023-03-08_092914.jpg

Décrypteur pour MORTALKOMBAT


MortalKombat est un rançongiciel relativement nouveau qui est entré dans le paysage des cybermenaces en janvier 2023.
Il vise aussi bien les particuliers, que les petites entreprises ou de grandes organisations afin de voler tout ce qui est en lien avec la crypto monnaie
Cette famille de logiciels malveillants est basée sur Xorist , qui a été signalé pour la première fois en 2010.
Les attaquants pourraient utiliser Xorist comme générateur de rançongiciel, en l'utilisant pour créer leurs propres versions du logiciel malveillant.

"MortalKombat crypte un certain nombre de fichiers sur l'appareil de la victime, y compris les stockages distants. Les bases de données et les sauvegardes sont également attaquées "

, ont écrit des chercheurs de Cisco Talos


"MortalKombat crypte un certain nombre de fichiers sur l'appareil de la victime, y compris les stockages distants. Les bases de données et les sauvegardes sont également attaquées », ont écrit des chercheurs de Cisco Talos.

Mode opératoire :

Le vecteur d'infection initial est un e-mail de phishing dans lequel les attaquants se font passer pour CoinPayments, une passerelle de paiement mondiale légitime en crypto-monnaie.
De plus, les e-mails ont un e-mail d'expéditeur usurpé, "noreply[at]CoinPayments[.]net", et le sujet de l'e-mail "[CoinPayments[.]net] Payment Timed Out".
Un fichier ZIP malveillant est joint avec un nom de fichier ressemblant à un ID de transaction mentionné dans le corps de l'e-mail, incitant le destinataire à décompresser la pièce jointe malveillante et à afficher le contenu, qui est un chargeur BAT malveillant.

2023-03-08_093814.jpg

Plus de détail à https://blog.talosintelligence.com/new- ... e-threats/

Le décrypteur, avec le détail de son utilisation est à consulter sur le site de Bitdefender
https://www.bitdefender.com/blog/labs/b ... ansomware/

Téléchargment direct https://download.bitdefender.com/am/mal ... ptTool.exe

[Parisien_entraide]

2023-03-18_185041.jpg

Décrypteur pour CONTI


Source : https://usa.kaspersky.com/about/press-r ... ransomware


Kaspersky donne un déchiffreur pour une variante du célèbre Conti.
Celle-ci a infecté de dizaines d’entreprises et d’administration au cours du mois de décembre 2022.

L’éditeur ne nomme pas directement le groupe derrière cette déclinaison, mais les experts affirment qu’il s’agit du ransomware Meow, basé sur le code source de Conti.

Fin février 2023, les experts de Kaspersky ont découvert une partie des fuites de données publiées sur des forums
Après avoir analysé les données, qui contenaient 258 clés privées, le code source et certains déchiffreurs précompilés, Kaspersky a publié une nouvelle version du déchiffreur public pour aider les victimes de cette modification du ransomware Conti

Le décrypteur a été mis sur "No Ransom". et le décodage fonctionne à ledécrypteur, RakhniDecryptor .


https://noransom.kaspersky.com/#:~:text ... r,%20Conti

Fait amusant, le variant a du être utilisé par des pirates Ukrainiens contre la Russie, car les fichiers cryptés portaient l'extension

Code : Tout sélectionner

.
nom de fichier.KREMLIN
nom de fichier.RUSSIA .
nom de fichier.PUTIN