Hé toi,
ÊTRE EN SAVOIR!

35,000 infections ransomware par mois et vous croyez toujours que vous êtes protégé?

Inscrivez-vous pour recevoir:

  • alertes
  • nouvelles
  • gratuit comment-remove-guides

des menaces les plus récentes en ligne - directement à votre boîte de réception:


Trouver Decryption Key pour les fichiers chiffrés par Ransomware

fix-votre-malware-problème-sensorstechforumCrypto-virus sont une menace croissante qui vise à transformer votre journée dans l'autre sens, vous faire payer aux cyber-criminels pour les clés qui ont été chiffrés. Et ce qui est pire est que les cyber-escrocs gardent constamment trouver des moyens nouveaux et plus sophistiqués pour augmenter la défense de leurs virus, la mise en œuvre des clés de chiffrement combinées qui voyagent en toute sécurité à leurs serveurs. Cependant, il y a encore ces virus ransomware qui envoient des informations non cryptées, vous permettant, l'utilisateur de flairer le trafic de votre ordinateur et avec de la chance d'obtenir la clé de décryptage pour vos fichiers. Nous avons conçu pour faire un tutoriel qui est aussi simple que possible pour expliquer théoriquement comment pourriez-vous détecter votre clé de décryptage en reniflant votre trafic web en utilisant Wireshark.

Comment ça marche? - Brève explication

Gardez à l'esprit que cette solution est seulement théorique, car les virus ransomware différents effectuent différentes activités sur les PC des utilisateurs. Pour mieux préciser que, la plupart des virus ransomware utilisent l'algorithme de chiffrement - un langage cryptique remplaçant le code de la langue d'origine des fichiers, ce qui les rend inaccessibles. Les deux algorithmes de chiffrement les plus utilisés sont RSA et AES algorithmes de chiffrement. Tous les deux sont extrêmement fort et impénétrable. Autrefois, la plupart des auteurs de logiciels malveillants utilisés un seul chiffrement de chiffrement d'une manière spéciale. L'action standard pour le virus ransomware était la conséquence suivante:

  • Laisse tomber est la charge utile.
  • Modifier l'éditeur de registre Windows pour exécuter au démarrage ou après l'action spécifique est fait.
  • Supprimer les sauvegardes et effectuer d'autres activités.
  • Crypter les fichiers.
  • Envoyer la clé de décryptage dans un fichier ou une communication directement à la commande et de contrôle (C&C) centre des cyber-criminels.
  • Déposez est de rançon et d'autres fichiers de support qui avertissent l'utilisateur de cette "complication".

Cependant, puisque les chercheurs de logiciels malveillants ont uni leurs ressources et de mettre beaucoup d'efforts pour détecter les codes dans les clés de défauts ou de capture de déchiffrement et de développer decrypters libres, auteurs de logiciels malveillants ont également fait tout à fait les améliorations elles-mêmes. Une de ces améliorations met en œuvre un chiffrement bidirectionnel, en utilisant une combinaison de RSA et AES Les algorithmes de chiffrement.

En bref, ils ne pas seulement crypter vos fichiers avec un des chiffrements, mais maintenant ils utilisent également un second algorithme de cryptage pour crypter la clé de décryptage dans un fichier spécial qui est ensuite envoyé à leurs serveurs. Ces fichiers sont impossibles à déchiffrer, et les utilisateurs sont désespérément à la recherche de méthodes alternatives pour les décrypter.

Pour plus d'informations sur cette méthode de chiffrement, veuillez visiter:

Expliqué Ransomware Encryption - Pourquoi est-il si efficace?

Une autre tactique les cyber-escroc "devs" ont commencé à utiliser est un soi-disant bloc de chaînage de chiffrement. Ceci est un mode qui explique brièvement, rompt le fichier si vous essayez d'y toucher, de prendre toute forme de récupération totalement impossible.

Si, voici où nous sommes. À ce point, il y a même des nouveaux développements dans le monde de ransomware, qui sont encore à être révélé.

Il est très difficile de rester en avance sur ransomware, mais malgré tout, nous avons décidé de vous montrer comment utiliser Wireshark à votre avantage et nous espérons intercepter le trafic HTTP dans le bon moment. Cependant, garder à l'esprit que ces instructions sont THÉORIQUE, et il y a beaucoup de facteurs qui peuvent les empêcher de travailler dans une situation réelle. Encore, il vaut mieux que de ne pas essayer avant de payer la rançon, droite?

Utilisation de Wireshark pour Trouver déchiffrage Clés

Avant de télécharger et d'utiliser Wireshark - l'un des réseaux le plus largement utilisé renifleurs là-bas, vous devriez avoir l'exécutable du malware en veille et infecter votre ordinateur une fois de plus. Cependant, garder à l'esprit que certains virus ransomware effectuer nouvelle chiffrement chaque fois qu'un ordinateur est redémarré ainsi, de sorte que vous devez également configurer Wireshark pour exécuter automatiquement au démarrage. Commençons!

Étape 1: Télécharger Wireshark sur votre ordinateur en cliquant sur les boutons suivants( pour votre version de Windows)

Télécharger

Wireshark

Étape 2: Courir, configurer et apprendre à renifler des paquets avec Wireshark. Pour apprendre comment démarrer l'analyse de paquets et de vérifier où vos paquets enregistrent les données, vous devez ouvrir Wireshark d'abord et ensuite choisir votre interface réseau actif pour analyser les paquets. Pour la plupart des utilisateurs, ce serait l'interface avec le trafic sautiller sur son droit. Vous devez choisir et cliquer deux fois rapidement pour commencer à renifler:

1-décrypter des fichiers-wireshark-sensorstechforum

Étape 3: Renifler paquets. Depuis virus ransomware communiquent via le trafic HTTP, vous devez filtrer tous les paquets première. Voici comment les paquets regardent d'abord après avoir choisi votre interface et renifler le trafic de celui-ci:

2-ransomware-décryptage-clés-mixed-sensorstechforum

Pour intercepter uniquement le trafic HTTP, vous devez taper le texte suivant dans la barre de filtre d'affichage:

http.request - Pour intercepter le trafic demandé

Une fois filtrée, il devrait ressembler à ceci:

http-trafic-sensorstechforum filtré

Vous pouvez également filtrer les adresses IP source et destination en faisant défiler vers le haut et vers le bas et le choix d'une adresse, puis à droite cliquant dessus et en accédant à la fonction suivante:

filtre-hôte à sensorstechforum

Étape 4: Configurer Wireshark pour exécuter automatiquement. Faire ça, premier, vous devriez aller à l'invite de commande de votre ordinateur en tapant cmd sur votre recherche Windows et l'exécuter. De là, tapez la commande suivante avec le capital "-RÉ" réglage pour obtenir la clé unique pour votre interface. Les touches doivent ressembler à ce qui suit:

wireshark-clés-sensorstechforum

Étape 5: Copiez la clé pour votre connexion active et de créer un nouveau document texte et il écrire le code suivant:

→ wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

Vous pouvez en outre modifier la commande en ajoutant le -w lettre et la création d'un nom pour le fichier qui va l'enregistrer sur votre ordinateur, vous permettant d'analyser les paquets. Le résultat devrait ressembler similaire à celui-ci:

wireshark-sensorstechforum-fichier texte

Étape 6: Enregistrez le document texte nouvellement créé comme un fichier .bat, en allant à Fichier> Enregistrer sous ... et en choisissant tous les fichiers après quoi taper .BAT comme une extension de fichier, comme l'image ci-dessous montre. Assurez-vous que le nom du fichier et l'emplacement où vous l'enregistrez sont faciles à trouver:

sensorstechforum-pic-wireshark-save-as-all-files

Étape 7: Collez le fichier .bat dans le dossier de démarrage de Windows. L'emplacement original du dossier est:

→ C:\Users Nom d'utilisateur AppData Roaming Menu Microsoft Windows Démarrer Programmes Démarrage,/p>

Pour accéder facilement à ce, presse Bouton windows + R combinaison de touches et dans le type de boîte de fenêtre - shell:Commencez, comme l'image ci-dessous montre, puis cliquez sur OK:

shell-démarrage-bat-file-sensorstechforum
wireshark-startup-sensorstechforum

Une fois l'ordinateur redémarré, si le virus ransomware crypte vos fichiers après ce qui génère une clé et l'envoie aux cyber-criminels’ serveurs, vous devriez être en mesure d'intercepter les paquets de communication et de les analyser.

Étape 8: La façon d'analyser le trafic?

Afin d'analyser le trafic d'un paquet donné, simplement faites un clic droit puis cliquez sur les points suivants pour intercepter le trafic:

interception du trafic sensorstechforum-ransomware

Après avoir fait cela, une fenêtre apparaîtra avec les informations. Assurez-vous d'inspecter soigneusement l'information et rechercher des mots-clés qui donnent loin les clés de chiffrement, comme crypté, RSA, AES, etc. Prenez votre temps et vérifier la taille des paquets, assurez-vous qu'ils sont semblables à la taille d'un fichier de clé.

intercept-stream-sensorstechforum-intercepté

Renifler Ransomware déchiffrage Keys - choses que vous devez savoir

Comme mentionné précédemment, ce tutoriel est entièrement théorique et dans le cas où vous ne pouvez pas faire face et flairer les clés, nous vous conseillons fortement de retirer le ransomware que vous a infecté et tenter de restaurer vos fichiers en utilisant les instructions étape par étape ci-dessous. Aussi, si vous allez essayer cette méthode, vous nous vous conseillons vivement de le tester d'abord sur votre ordinateur et de voir le trafic. Un exemple de la façon dont les chercheurs ont identifié le trafic par ransomware est le recherche, effectuée par des experts du réseau Paloalto sur Locky ransomware, que nous vous conseillons également de vérifier.

Supprimez manuellement Ransomware à partir de votre ordinateur

Note! Notification réel quant à la Ransomware menace: La suppression manuelle de Ransomware exige des interférences avec les fichiers et les répertoires système. Ainsi, il peut causer des dommages à votre PC. Même si vos compétences informatiques ne sont pas à un niveau professionnel, ne vous inquiétez pas. Vous pouvez le faire vous-même à l'élimination dans 5 procès-verbal, en utilisant un outil de suppression des logiciels malveillants.

1. Démarrez votre PC en mode sans échec pour isoler et supprimer les fichiers et les objets Ransomware
2. Trouver des fichiers malveillants créés par Ransomware sur votre PC
3. les entrées de registre Fix créées par Ransomware sur votre PC

Supprimer automatiquement Ransomware en téléchargeant un programme anti-malware avancée

1. Retirer Ransomware avec outil SpyHunter Anti-Malware
2. Sauvegardez vos données pour le sécuriser contre les infections et le cryptage des fichiers par Ransomware dans le futur
3. Restaurer les fichiers chiffrés par Ransomware
En option: Utilisation des outils Alternative Anti-Malware

Vencislav Krústev

Un administrateur réseau et chercheur au malware SensorsTechForum avec passion pour la découverte de nouveaux changements et les innovations en matière de sécurité cybernétique. Forte croyant dans l'éducation de base de chaque utilisateur vers la sécurité en ligne.

Plus de messages - Site Internet

  • WATERCHILD

    J'ai essayé de suivre vos recommandations sur wireshark et en quelque sorte j'obtenir de trouver plusieurs lignes qui contiennent la description suivante “infos”:

    “serveur Bonjour, Certificat, statut de certificat, échange de clés du serveur, Bonjour Server fait”
    “échange de clés client, Change Cipher Spec, un message Encrypted Handshake”
    Ensuite Application Data……

    Et cela se passe et sur tout le temps entre une source et une destination (toujours le même).

    Je peux faire un clic droit sur la ligne, puis “suivre” et “TCP” : il ouvre une fenêtre avec un dialogue, mais je ne sais pas si je pouvais trouver dans un “clé” et je ne sais pas non plus comment le reconnaître. Il ne ressemble pas à un texte commun, mais comprend un mélange entre les mots, net adresses, symboles…

    Supposons qu'il est possible ang Je trouve, comment alors coul Je l'utilise? Je ne sais pas comment construire ma propre décrypteur de travail.

    Y at-il quelqu'un ici qui sait plus sur tout cela et a essayé la voie de wireshark reniflant et aurait quelques conseils pour moi d'utiliser le logiciel et d'apprendre à découvrir mon “clé”?

    Merci pour votre temps

    • Bonjour, s'il vous plaît voir les filtres suivants que vous pouvez utiliser sur le boîtier de filtre sur le dessus de l'endroit où les paquets sont de votre logiciel Wireshark:

      1. ip.addr == 10.0.0.1 [Définit un filtre pour tout paquet avec 10.0.0.1, soit comme le
      la source ou]

      2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [ensembles
      un filtre de conversation entre les deux adresses IP définies]

      3. http ou dns [ensembles
      un filtre pour afficher tous les http et dns]

      4. tcp.port == 4000
      [définit un filtre pour tout paquet TCP avec 4000 comme une source ou un port dest]

      5. tcp.flags.reset == 1
      [affiche tous les réinitialisations TCP]

      6. http.request
      [affiche toutes les requêtes HTTP GET]

      7. tcp contient
      circulation [affiche tous les paquets TCP qui contiennent le mot «trafic».
      Excellente lors de la recherche sur une chaîne spécifique ou un ID utilisateur]

      8. !(arp ou ICMP ou
      dns) [masques sur arp, icmp, dns, ou quoi que d'autres protocoles peuvent être
      bruit de fond. Ce qui vous permet de se concentrer sur le trafic d'intérêt]

      9. udp contient
      33:27:58 [définit un filtre pour les valeurs HEX de 0x33 0x27 0x58 à tout
      offset]

      10. tcp.analysis.retransmission
      [affiche toutes les retransmissions dans la trace. Aide lors de la poursuite de ralentissement
      les performances des applications et la perte de paquets]

      J'ai extrait les filtres utiles à partir de:

      http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html

      Vous pouvez également trouver d'autres recommandations utiles il. Aussi, garder à l'esprit que vous devriez vous concentrer sur le trafic POST lorsqu'une infection a lieu. Si vous avez le malware, essayer de réinfecter un ordinateur de test tout en surveillant les paquets. Cela peut vous aider à acquérir une compréhension plus profonde sur la façon dont les logiciels malveillants communique.

      De plus, lorsque vous “Suivez flux TCP” d'un paquet donné, Wireshark le soi-disant “SSL Dissector” qui, dans certains cas, peut être utilisé pour déchiffrer certaines des données là-bas et donner un sens. Ransomware est en constante évolution, cependant, et ne peuvent également envoyer directement la clé de décryptage, mais au lieu de télécharger un fichier .KEY aux cyber-criminels’ serveurs de commande qui est également chiffrés avec un algorithme fort. Donc, si vous utilisez Wireshark, vérifiez d'abord que le virus ne crée pas un tel fichier et envoie directement l'information via TCP ou une autre forme.

  • WATERCHILD
  • santos Ariel

    Est-il travailler avec Cerber ransomware?

  • calin
Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...
S'il vous plaît, attendez...

Abonnez-vous à notre newsletter

Vous voulez être averti lorsque notre article est publié? Entrez votre adresse e-mail et le nom ci-dessous pour être le premier à savoir.