Hé toi,
ÊTRE EN SAVOIR!

35,000 infections ransomware par mois et vous croyez toujours que vous êtes protégé?

Inscrivez-vous pour recevoir:

  • alertes
  • nouvelles
  • gratuit comment-remove-guides

des menaces les plus récentes en ligne - directement à votre boîte de réception:


.WNCRY .WCRY Virus - Essayez de déchiffrer les fichiers (Mise à jour, 2017)

Mise à jour, 2017! Cet article a pour but de fournir des instructions sur les différentes méthodes sur la façon d'essayer de restaurer .WNCRY fichiers cryptés par la deuxième version du ransomware WannaCry également connu sous le nom Wana Decrypt0r 2.0, WanaCrypt0r 2.0 et WCry.

« EternalBlue » et « DoublePulsare » sont les noms des exploits utilisés par l'organisation de propagation de l'infection fichier .WNCRY et ce qui est pire est qu'ils ont été divulgués en ligne quelque part autour des vacances de Pâques par une entité de piratage connu sous le nom « Les courtiers fantômes ». Cet exploit est principalement traite des questions dans les systèmes Windows afin que toute personne qui est toujours pas infecté par ce virus est fortement conseillé de sauvegarder votre système, puis le mettre à jour.

Dans le cas où vous êtes devenu une victime de ce virus ransomware, nous avons créé plusieurs méthodes qui pourraient se révéler utiles pour vous aider à récupérer vos fichiers. Les méthodes ne sont pas garantis au travail, mais ils sont sûrement le plus proche, vous pouvez obtenir de restaurer vos fichiers, nous vous conseillons de les suivre et de nous poser des questions sur notre soutien du sujet A propos WannaCry ransomware.

Mise à jour, 2017: les chercheurs de logiciels malveillants sont en cours d'élaboration d'un décrypteur pour la WannaCry 2.0 virus ransomware. Nous avons créé des instructions de décryptage que nous mettrons à jour à mesure qu'ils progressent sur le développement. Jusqu'à présent, il existe une méthode pour localiser les clés privées RSA. Pour plus d'information, S'il vous plaît suivre l'article ci-dessous concernant:

en relation:Wana Decrypt0r 2.0 – Déchiffrer fichiers cryptés

Méthode 1: Utilisez Wireshark pour renifler déchiffrage clés

Il est très difficile de rester en avance sur ransomware, comme WannaCry, mais malgré tout, nous avons décidé de vous montrer comment utiliser Wireshark à votre avantage et nous espérons intercepter le trafic HTTP dans le bon moment. Cependant, garder à l'esprit que ces instructions sont THÉORIQUE, et il y a beaucoup de facteurs qui peuvent les empêcher de travailler dans une situation réelle. Encore, il vaut mieux que de ne pas essayer avant de payer la rançon, droite?

Avant de télécharger et d'utiliser Wireshark - l'un des réseaux le plus largement utilisé renifleurs là-bas, vous devriez avoir l'exécutable du malware en veille et infecter votre ordinateur une fois de plus. Cependant, garder à l'esprit que certains virus ransomware effectuer nouvelle chiffrement chaque fois qu'un ordinateur est redémarré ainsi, de sorte que vous devez également configurer Wireshark pour exécuter automatiquement au démarrage. Commençons!

Étape 1: Télécharger Wireshark sur votre ordinateur en cliquant sur les boutons suivants( pour votre version de Windows)

Télécharger

Wireshark

Étape 2: Courir, configurer et apprendre à renifler des paquets avec Wireshark. Pour apprendre comment démarrer l'analyse de paquets et de vérifier où vos paquets enregistrent les données, vous devez ouvrir Wireshark d'abord et ensuite choisir votre interface réseau actif pour analyser les paquets. Pour la plupart des utilisateurs, ce serait l'interface avec le trafic sautiller sur son droit. Vous devez choisir et cliquer deux fois rapidement pour commencer à renifler:

1-décrypter des fichiers-wireshark-sensorstechforum

Étape 3: Renifler paquets. Depuis virus ransomware communiquent via le trafic HTTP, vous devez filtrer tous les paquets première. Voici comment les paquets regardent d'abord après avoir choisi votre interface et renifler le trafic de celui-ci:

2-ransomware-décryptage-clés-mixed-sensorstechforum

Pour intercepter uniquement le trafic HTTP, vous devez taper le texte suivant dans la barre de filtre d'affichage:

http.request - Pour intercepter le trafic demandé

Une fois filtrée, il devrait ressembler à ceci:

http-trafic-sensorstechforum filtré

Vous pouvez également filtrer les adresses IP source et destination en faisant défiler vers le haut et vers le bas et le choix d'une adresse, puis à droite cliquant dessus et en accédant à la fonction suivante:

filtre-hôte à sensorstechforum

Étape 4: Configurer Wireshark pour exécuter automatiquement. Faire ça, premier, vous devriez aller à l'invite de commande de votre ordinateur en tapant cmd sur votre recherche Windows et l'exécuter. De là, tapez la commande suivante avec le capital "-RÉ" réglage pour obtenir la clé unique pour votre interface. Les touches doivent ressembler à ce qui suit:

wireshark-clés-sensorstechforum

Étape 5: Copiez la clé pour votre connexion active et de créer un nouveau document texte et il écrire le code suivant:

→ wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

Vous pouvez en outre modifier la commande en ajoutant le -w lettre et la création d'un nom pour le fichier qui va l'enregistrer sur votre ordinateur, vous permettant d'analyser les paquets. Le résultat devrait ressembler similaire à celui-ci:

wireshark-sensorstechforum-fichier texte

Étape 6: Enregistrez le document texte nouvellement créé comme un fichier .bat, en allant à Fichier> Enregistrer sous ... et en choisissant tous les fichiers après quoi taper .BAT comme une extension de fichier, comme l'image ci-dessous montre. Assurez-vous que le nom du fichier et l'emplacement où vous l'enregistrez sont faciles à trouver:

sensorstechforum-pic-wireshark-save-as-all-files

Étape 7: Collez le fichier .bat dans le dossier de démarrage de Windows. L'emplacement original du dossier est:

→ C:\Users Nom d'utilisateur AppData Roaming Menu Microsoft Windows Démarrer Programmes Démarrage,/p>

Pour accéder facilement à ce, presse Bouton windows + R combinaison de touches et dans le type de boîte de fenêtre - shell:Commencez, comme l'image ci-dessous montre, puis cliquez sur OK:

shell-démarrage-bat-file-sensorstechforum
wireshark-startup-sensorstechforum

Une fois l'ordinateur redémarré, si le virus ransomware crypte vos fichiers après ce qui génère une clé et l'envoie aux cyber-criminels’ serveurs, vous devriez être en mesure d'intercepter les paquets de communication et de les analyser.

Étape 8: La façon d'analyser le trafic?

Afin d'analyser le trafic d'un paquet donné, simplement faites un clic droit puis cliquez sur les points suivants pour intercepter le trafic:

interception du trafic sensorstechforum-ransomware

Après avoir fait cela, une fenêtre apparaîtra avec les informations. Assurez-vous d'inspecter soigneusement l'information et rechercher des mots-clés qui donnent loin les clés de chiffrement, comme crypté, RSA, AES, etc. Prenez votre temps et vérifier la taille des paquets, assurez-vous qu'ils sont semblables à la taille d'un fichier de clé.

intercept-stream-sensorstechforum-intercepté

Méthode 2: En utilisant Python dans Ubuntu

La deuxième méthode par laquelle vous pouvez essayer de récupérer vos fichiers est également pas garanti, mais vous pouvez réussir dans le cas où cette variante de ransomware de WannaCry utilise le RSA (Rivest-Shamir-Adleman) chiffrement pour générer des clés uniques pour les fichiers. Le script de factorisation a été conçu à l'origine pour CryptoWall ransomware, mais il peut être utile pour cette infection et. D'une manière ou d'une autre, nous vous invitons à faire attention et de créer des copies des fichiers cryptés en suivant les instructions ci-dessous:

Pour ce tutoriel notamment, nous avons utilisé les fichiers d'extension d'un autre virus, appelé BitCrypt. Nous avons également utilisé la version Ubuntu 14.04 qui nous a aidés dans l'utilisation appropriée d'un logiciel spécial pour cette distribution. Vous pouvez l'obtenir à partir de la page de téléchargement de leur site Web et vous pouvez soit:

  • Installez-le avec votre système d'exploitation en démarrant une clé USB en direct.
  • Installez-le sur un lecteur virtuel (conseillé).

Ici, nous avons à la fois pour de brefs tutoriels:

Installation d'Ubuntu sur votre machine:

Étape 1: Obtenez une clé usb qui a au-dessus de 2 Go d'espace.

Étape 2: Téléchargez gratuitement le logiciel, Rufus appelé à partir ici et l'installer sur vos fenêtres.

Etape 3: Configurez Rufus en choisissant NTFS comme un système et en sélectionnant le lecteur USB que celui qui doit être créé comme un USB bootable. Après que l'image boot Linux à partir du bouton ci-dessous:

rufus

Assurez-vous de le localiser et de le sélectionner à partir de là où vous l'avez téléchargé.

Étape 4: Après le lecteur flash est prêt, redémarrez votre ordinateur, et il doit exécuter l'installation Ubuntu. Dans le cas contraire, vous devez aller dans le menu du BIOS en appuyant sur la touche du BIOS au démarrage de votre PC (Habituellement, il est F1) et de là, sélectionnez la première option de démarrage pour être le disque de démarrage USB ou un CD / DVD dans le cas où vous avez brûlé Ubuntu sur telle.

Installation d'Ubuntu sur votre lecteur virtuel

Pour cette installation, vous devez télécharger VMware Workstation de leur page de téléchargement ou tout autre programme de gestion de Virtual Drive. Après avoir installé devrait:

Étape 1: Créer un nouveau lecteur virtuel.

Étape 2: Définissez la taille d'entraînement. Assurez-vous que vous avez un minimum de 20 gigaoctets d'espace libre BOF Ubuntu sur votre ordinateur. Également choisir "Exécuter comme un seul disque '.

Étape 3: Sélectionnez l'image ISO. Pour cette option, vous devez savoir où il est.

Étape 4: Après que jouer à la machine virtuelle et l'installer automatiquement.

Décryptage de fichier

Une fois que vous avez Ubuntu ou toute autre distribution Linux sur votre ordinateur Ouvrez le terminal en procédant comme suit:

Ouvrez-terminal

Puis mettre à jour votre Linux et installer la version plus grande de Python 3.2 en tapant la suivante dans le terminal:

→sudo apt-get update
sudo apt-get install python3.2

Aussi, si votre Linux n'a pas sqlite3 module, installer en tapant:

→sudo apt-get install sqlite3 libsqlite3-dev
sudo gem install sqlite3-ruby

Maintenant, après nous avons installé Python, nous avons besoin de télécharger un script créé par 2014 Airbus Defence and Space cybersécurité. Pour ce faire, cliquez sur ce lien. Téléchargez le fichier dans votre 'Home’ dossier après il vous invite où l'enregistrer. Gardez ce que decrypt.py au cas où il est pas enregistré dans ce format.

Maintenant que nous avons Python et le script, il est temps de trouver la clé du fichier crypté .bytrcypt. Pour ce faire, déplacer vos fichiers cryptés Ancien Testament, le dossier de la maison en utilisant le gestionnaire de fichiers:

Gestionnaire de fichiers

Une fois que vous trouvez tous les fichiers cryptés là avec le fichier "decrypt.py" tapez la commande suivante dans le terminal de lancer le script:

→«La Your_Encrypted_Document_Name_and_Format" python

Il montrera une erreur, et cela est tout à fait normal aussi longtemps que vous voyez ce code:

code

Ceci est le code RSA pour ce fichier. Maintenant, nous avons besoin de le décrypter, et nous sommes à mi-chemin. Pour ce faire, télécharger un programme appelé cado-nfs2.0.tar.gz de leur page de téléchargement ici. Nous recommandons la 2.0 version. Cependant, la nouvelle version est également à un bon niveau.

Il va télécharger un fichier d'archive .tar (.fichiers bitumineux sont très semblables à .rar ou .zip). Il suffit de l'ouvrir et cliquez sur le bouton Extraire sur le dessus et choisir le 'Home’ dossier. Il devrait ressembler à ceci:

Extrait

Après la nous avons tous les fichiers extraits dans le 'Home’ dossier, nous avons besoin de compiler Cado-nfs. Faire ça, ouvrir un autre terminal et tapez:

→cd cado-nfs-2.0
faire

Après cela, est réglé, il est temps de lancer le cracker la clé. Important - Ce processus peut prendre de quelques heures à quelques jours d'être terminé. Pour commencer le type de processus dans votre terminal de cado-nfs cd:

→./factor.sh YOUR_UNIQUE_KEY_WHICH_IS_LETTERS_OR_NUMBERS_HERE -s 4 -t 6

Après la fin du processus, vous devriez voir ce qui suit:

→Info:Factorisation complète: Cpu total / temps réel pour tout: hhhh / dddd
LongNumber1 LongNumber2

Après nous avons la clé décrypté, nous avons besoin d'insérer dans le script "decrypt.py". Pour ce faire, en ouvrant decrypt.py dans un éditeur de texte et de trouver cette partie de celui-ci:

→known_keys = { de nombreux numéros longs }

Nous devons ajouter avant la deuxième tranche ("}") ces lignes:

La touche Précédent, une colonne, parenthèse ouverte, LongNumber1, Virgule, LongNumber2, parenthèse fermée. Il devrait ressembler à ceci:

→La touche Précédent:(LongNumber1, LongNumber2)

Soyez avisé que vous devriez le faire une seule fois. Après cela, il est temps pour décoder les fichiers. Pour faire ce type:

→python ./decrypt.py “Your_Encrypted_Document.docx.bitcrypt”

L'exécution de cette commande va créer un fichier qui est appelé “Your_Encrypted_Document.docx.bitcrypt.CLEAR”

Juste renommer le fichier en supprimant l'extension .clear et vous devriez être tous ensemble. Répétez le processus pour vos autres fichiers ainsi. Mais rappelez-vous que le premier, vous devriez trouver leurs clés initiales de les décrypter. Vous devriez être capable de les ouvrir maintenant. Nous espérons que ce qui fonctionne pour vous.

Méthode 3: En utilisant .VHD Types de fichiers et de logiciels de récupération de données

Cette méthode est susceptible de ramener les fichiers les plus des méthodes illustrées ci-dessus, tout simplement parce qu'il ne cherche pas une solution directe pour déchiffrer les fichiers chiffrés qui est impossible si vous n'avez pas les clés. Au contraire, il utilise des algorithmes différents pour récupérer les fichiers, les traiter comme si elles sont supprimées. L'un des nombreux algorithmes utilisés par les différents programmes de récupération de données est connu pour être basé sur prédicteurs de branche.

La raison pour laquelle nous avons décidé de mettre en place cette méthode est que de nombreuses victimes de récente épidémie de ransomware du Dharma ransomware, un autre virus undecryptable, étaient effectivement en mesure de restaurer sur 90% de leurs fichiers en utilisant cette méthode.

Ses compétences de base principale est qu'il profite en convertissant les fichiers dans un type de fichier .VHD qui est essentiellement une partition de disque virtuel sur votre PC. Donc, il traite votre fichier crypté comme une partition. Puis, ce disque peut être démarré et vous pouvez essayer de scanner la partition elle-même en utilisant un logiciel de récupération de données. La méthode ne peut pas être 100% une garantie, mais certains utilisateurs ont signalé que ce soit la plus réussie de celles ci-dessus. Voici les instructions pour ce:

Étape 1: Assurez-vous de faire des copies des fichiers cryptés .onion sur un autre lecteur ou PC:

Étape 2: Après avoir créé les copies, télécharger un outil qui permet de convertir des fichiers au format .VHD. Un bon outil est un logiciel de conversion de VHD de Microsoft. Vous pouvez le télécharger, en cliquant sur le bouton ci-dessous:


Télécharger

VHDTOOL


Étape 3: Maintenant, assurez-vous de renommer un fichier que vous souhaitez récupérer dans l'extension de fichier .VHD. Par exemple, si le fichier est test.onion, il devrait être test.vhd

Étape 4: Maintenant, vous devez exécuter le VHDTOOL vous avez précédemment téléchargé à partir invite de commande Windows. Faire ça, exécuter Windows Invite de commande en tant qu'administrateur en tapant « cmd » dans Windows Search et un clic droit puis choisir « Exécuter en tant qu'administrateur ».

Ensuite, tapez les commandes suivantes exactement comme ils sont:

→ CD {L'emplacement du fichier, par exemple C:\Users Lenovo Desktop}
vhdtool.exe / convert “{l'emplacement de votre fichier et le nom va ici}

Le résultat final devrait ressembler à l'image suivante:

Étape 5: Après avoir converti le lecteur en VHD, assurez-vous de le monter sur votre ordinateur. Faire ça:

Faites un clic droit sur Mon Ordinateur ou ce PC puis cliquez sur “Gérer”

Ensuite, faites un clic droit sur Gestion de disque après quoi cliquer sur joindre VHD

Cliquez ensuite sur le Feuilleter bouton pour localiser et ouvrir la .fichier VHD

Après ça, pour initialiser le disque, clic-droit dessus et cliquez sur Nouveau volume simple. Après cela, cliquez sur Suivant et mettre en place:

À la fin, le volume devrait apparaître comme suit:

Étape 6: Télécharger et récupérer l'image .VHD en utilisant un logiciel de récupération de données. Le logiciel de récupération de données, vous devez télécharger doit prendre en charge l'option « Partition Recovery ». Voici une liste complète de plusieurs programmes de récupération de données qui sont en mesure de récupérer des partitions:

IMPORTANT! Si vous ne parvenez pas à démarrer le fichier en tant que partition, vous pouvez également faire un scan direct avec le logiciel de récupération de données pour voir s'il trouvera l'un de vos fichiers ainsi.

Wana Decrypt0r 2.0 Conclusion et enlèvement

Quel que soit le cas, nous allons continuer à regarder dans ce virus et la mise à jour avec les nouvelles instructions qui sont disponibles pour ce. Continuez à suivre nos messages de blog, Twitter et Google Plus pour les nouvelles mises à jour sur cette menace. Aussi, assurez-vous de supprimer ce virus dans le cas où vous avez essayé les méthodes ci-dessus pour restaurer les fichiers chiffrés par celui-ci. Vous pouvez le faire en consultant notre vidéo d'instructions sur la façon de supprimer WannaCry. Ils comprennent également des méthodes supplémentaires pour la restauration des fichiers. Gardez à l'esprit que ce ne sont pas des solutions directes à la question et c'est pourquoi nous vous conseillons d'essayer toutes les méthodes illustrées dans cet article et la vidéo à vos propres risques.

Pour le retrait le plus efficace, les chercheurs recommandent vivement aux logiciels malveillants victimes d'utiliser un logiciel anti-malware avancée. Il fera en sorte que la Wana Decrypt0r 2.0 la menace est complètement enlevée et tous les dommages causés par elle est revenue. Installation d'un tel logiciel sur votre ordinateur augmente considérablement la protection en temps réel contre de telles menaces à l'avenir.


Il est fortement recommandé pour lancer un balayage avant d'acheter la version complète du logiciel pour vous assurer que la version actuelle du logiciel malveillant peut être détectée par SpyHunter.

Vencislav Krústev

Un administrateur réseau et chercheur au malware SensorsTechForum avec passion pour la découverte de nouveaux changements et les innovations en matière de sécurité cybernétique. Forte croyant dans l'éducation de base de chaque utilisateur vers la sécurité en ligne.

Plus de messages - Site Internet

  • Idris Ezzy

    Sinffer ne sera pas utile si le programme malveillant utilise des clés asymétriques pour Crypter / Décrypter.

  • Andres Gonzalez

    premier, u besoin de placer votre message sur le dossier des fichiers de conteneur, seconde… Cela ne me dérange pas si des virgules sont vraiment nécessaires.
    partager votre expérience!

  • en gros, pour activer python vous devez placer le logiciel et le
    programmes dans le dossier d'accueil si vous êtes sur le point de taper la commande de cette
    façon : )

  • aussi, Je vous ferai savoir que le script dans cet article a été conçu à l'origine pour d'autres virus en utilisant la même combinaison RSA, ce qui signifie le script decrypt.py est conçu pour RSA uniquement. Ensuite, cette clé peut être utilisée pour essayer de décrypter les fichiers AES en quelque sorte. Si vous obtenez la clé, s'il vous plaît répondre en arrière et nous allons essayer d'aider la meilleure façon possible.

    PS: Les scripts de Google pour python pour le décryptage, il y a beaucoup de scripts pour différents RSA strenghts. Le cryptage RSA utilisé par ce virus est en 2048 bit strenght which is unfortunately, the strongest stable 🙁

  • belette

    Salut
    Thanks your article is excellent!
    I have tried to reproduce the Method 1 of your article but unfortunately I have only the encryption piece of the ransom or a variant. Would you mind to share it in some way I can test it? (I dont know how/where to contact you so I am posting here..) many thanks

S'il vous plaît, attendez...

Abonnez-vous à notre newsletter

Vous voulez être averti lorsque notre article est publié? Entrez votre adresse e-mail et le nom ci-dessous pour être le premier à savoir.