Find dekrypteringsnøgle for filer krypteret af Ransomware

Find dekrypteringsnøgle for filer krypteret af Ransomware

fix-din-malware-problem-sensorstechforumCrypto-virus er en stigende trussel, der har til formål at slå din dag den anden vej rundt, gør du betale for at cyber-kriminelle til nøgler, der blev krypteret. Og hvad værre er, at cyber-kriminelle hele tiden holde udvikle nye og mere avancerede måder at øge forsvaret af deres virus, gennemføre kombineret krypteringsnøgler, der rejser sikkert til deres servere. Men, der stadig er de ransomware virus, der sender ukrypteret information, så du, brugeren til at opsnuse trafik fra din computer og med held at få dekryptering nøgle til dine filer. Vi har designet til at gøre en tutorial, der er så enkel som muligt for teoretisk forklare, hvordan kunne du registrere din dekrypteringsnøgle ved sniffing ud din web trafik ved hjælp Wireshark.

nyttige råd: Før faktisk at engagere sig i noget netværk sniffing eller andre metoder har vi foreslået nedenfor, det er presserende tilrådeligt at gøre det fra et sikkert computersystem upåvirket af enhver type malware. Hvis du vil være sikker på, at din computer er 100% sikker, mens du følger disse instruktioner, eksperter ofte rådgive downloade en avanceret anti-malware værktøj, som opdateres jævnligt og har næste generations aktiv beskyttelse mod virus for at se, om din pc er sikker:

Hent

Værktøj til fjernelse af malware


Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter

Sådan fungerer det - Kort forklaring

Huske på, at denne løsning er kun teoretisk, da forskellige ransomware virus udføre forskellige aktiviteter på brugernes pc'er. For bedst præcisere, at, fleste ransomware vira bruge kryptering algoritme - en kryptisk sprog erstatte det oprindelige sprogkode af filerne, hvilket gør dem utilgængelige. De to mest udbredte krypteringsalgoritmer er RSA og AES krypteringsalgoritmer. Begge er særdeles stærk og uigennemtrængelig. I fortiden, de fleste malware forfattere kun anvendes én kryptering ciffer i en særlig måde. Standarden aktion for ransomware virus var i den følgende konsekvens:

  • Drop det nyttelast.
  • Ændre Windows Registry Editor til at køre på opstart eller efter den specifikke handling er udført.
  • Slet backups og udføre andre aktiviteter.
  • Krypter filer.
  • Send dekryptering nøgle i en fil eller som en meddelelse direkte til kommando og kontrol (C&C) midten af ​​cyber-kriminelle.
  • Drop det løsesum note og andre supportfiler, der underretter brugeren af ​​denne "komplikation".

Men, da malware forskere har forenet deres ressourcer og sætte en stor indsats for at opdage koder i fejlen eller indfange dekrypteringsnøgler og udvikle frie decrypters, malware forfattere har også gjort helt de forbedringer selv. En af disse forbedringer er ved at gennemføre en to-vejs-kryptering, ved anvendelse af en kombination af RSA og AES krypteringsalgoritmer.

Kort om, de ikke bare kryptere dine filer med en af ​​ciphers, men nu bruger også en anden krypteringsalgoritme til kryptering af dekrypteringsnøglen i en særlig fil, som derefter sendes til deres servere. Disse filer er umulige at dekryptere, og brugere er håbløst på udkig efter alternative metoder til at dekryptere dem.

For mere information om denne krypteringsmetode, besøg:

Ransomware Kryptering Forklaret - hvorfor er det så effektiv?

En anden taktik de cyber-crook "udviklere" begyndte at bruge en såkaldt blokkædnings. Dette er en tilstand, der kort forklaret, bryder filen, hvis du forsøger at manipulere med det, gør enhver form for inddrivelse helt umuligt.

Så, her er, hvor vi er. På dette tidspunkt, der er endda nye udviklinger i verden af ​​ransomware, der er endnu ikke afsløret.

Det er meget svært at være på forkant med ransomware, men trods alt, Vi har besluttet at vise dig, hvordan du bruger Wireshark til din fordel og forhåbentlig opsnappe HTTP-trafik i det rigtige tidspunkt. Men, huske på, at disse instruktioner er TEORETISK, og der er en masse faktorer, der kan forhindre dem i at arbejde i en aktuelle situation. Stadig, det er bedre end ikke at forsøge før betale løsesummen, højre?

Brug Wireshark til Find krypteringsnøgle

Inden du downloader og bruger Wireshark - en af ​​de mest udbredte netværk sniffere derude, du skal have malware eksekverbare på standby og inficere din computer igen. Men, huske på, at nogle ransomware vira udføre nye kryptering, hver gang en computer genstartes så godt, så du skal også konfigurere Wireshark til at køre automatisk ved opstart. Lad os begynde!

Trin 1: Hent Wireshark på din computer ved at klikke på følgende knapper( til din version af Windows)

Hent

Wireshark

Trin 2: Løbe, konfigurere og lære at sniffe pakker med Wireshark. At lære at begynde at analysere pakker og tjek, hvor dine pakker gemme dataene, du skal åbne Wireshark først og derefter vælge dit aktive netværk interface til at analysere pakker. For de fleste brugere, det ville være grænsefladen med trafik hoppen op og ned på det er det rigtige. Du bør vælge den og klikke to gange hurtigt at begynde at snuse:

1-dekryptere-filer-wireshark-sensorstechforum

Trin 3: sniffing pakker. Da ransomware vira kommunikerer via HTTP trafik, du skal filtrere alle pakkerne først. Her er, hvordan pakkerne ser oprindeligt efter du vælger dit interface og sniffe trafik fra det:

2-ransomware-dekryptering-nøgler-mixed-sensorstechforum

For at opfange kun HTTP-trafik, du skal skrive følgende ind i skærmen filter bar:

http.request - At opfange den ønskede trafik

Når filtreret det skal se sådan ud:

http-trafik-sensorstechforum-filtreret

Du kan også filtrere kilde- og destination IP-adresser ved at rulle op og ned og vælge en adresse, derefter til højre klikke på det og navigere til følgende funktion:

filter-host-til-sensorstechforum

Trin 4: Konfigurer Wireshark til at køre automatisk. For at gøre dette, først, du skal gå til kommandoprompten på din computer ved at skrive cmd på din Windows-søgning og kører det. Derfra, skrive følgende kommando med kapital "-D" for at få det unikke nøgle til din grænseflade. Tasterne skal se ud som følgende:

wireshark-nøgler-sensorstechforum

Trin 5: Kopier nøgle til din aktive forbindelse og skabe et nyt tekstdokument og i den skrive følgende kode:

→ Wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

Man kan desuden ændre kommandoen ved at tilføje -w brev og skabe et navn for den fil, der vil spare det på din computer, så du kan analysere pakkerne. Resultatet bør se på samme måde som denne ene:

Wireshark-sensorstechforum-tekst-fil

Trin 6: Gem nyoprettede tekstdokument som en bat fil, ved at gå til Filer> Gem som ... og vælge Alle filer, hvorefter skrive .BAT som en fil extension, som på billedet nedenfor viser. Sørg for, at navnet på filen, og det sted, hvor du gemmer det er let at finde:

sensorstechforum-pic-wireshark-gem-som-alle-filer

Trin 7: Indsæt bat filen i start mappen Windows. Den oprindelige placering af mappen er:

→ C:\Brugere brugernavn AppData Roaming Microsoft Windows Start Menu Programs Startup,/p>

For nemt at få adgang til det, presse Windows-knap + R tastekombination og i Window box type - shell:start op, som på billedet nedenfor viser, og klik på OK:

shell-startup-bat-fil-sensorstechforum
Wireshark-startup-sensorstechforum

Når computeren er genstartet, hvis ransomware virus krypterer dine filer efter som genererer en nøgle og sender den til de cyber-kriminelle’ servere, du bør være i stand til at opsnappe kommunikationen pakker og analysere dem.

Trin 8: Hvordan til at analysere trafikken?

For at analysere trafikken af ​​en given pakke, simpelthen højreklikke på den og derefter klikke på den følgende for at opsnappe trafikken:

opsnappe-trafik-sensorstechforum-ransomware

Efter at gøre dette, Et vindue vises med oplysningerne. Sørg for at inspicere information grundigt og kigge efter søgeord, der giver væk krypteringsnøgler, lignende krypteret, RSA, AES, etc. Tag din tid og tjek pakkerne 'størrelse, sikre, at de svarer til størrelsen af ​​en nøglefil.

opsnappe-stream-sensorstechforum-opfanget

Sniffing ransomware dekrypteringsnøgler - Ting du behøver at vide

Ligesom nævnt før, denne tutorial er fuldt teoretisk og i tilfælde af at du ikke klare det og opsnuse tasterne, vi på det kraftigste råde dig til at fjerne det ransomware, der har inficeret dig og forsøge at gendanne dine filer ved hjælp af trin-for-trin instruktionerne nedenfor. Også, hvis du vil forsøge denne metode, vi på det kraftigste råde dig til at prøve det af først på din computer og se trafikken. Et eksempel på, hvordan forskere har identificeret trafik ved ransomware er forskning, udført af Paloalto netværk eksperter på Locky ransomware, som vi også råde dig til at tjekke.

Vencislav Krústev

En netværksadministrator og malware forsker ved SensorsTechForum med passion for opdagelsen af ​​nye skift og innovationer i cybersikkerhed. Stærk tilhænger af grundlæggende uddannelse for alle brugere mod online sikkerhed.

Flere indlæg - Websted

5 Kommentarer

  1. WATERCHILD

    Jeg har forsøgt at følge dine anbefalinger om Wireshark og på en måde får jeg at finde flere linjer, der indeholder den følgende beskrivelse i “info”:

    “Server Hello, Certifikat, status certifikat, Server nøgleudveksling, Server Hej gjort”
    “Klient nøgleudveksling, Skift Cipher Spec, Krypteret Handshake besked”
    Så Application Data……

    Og det bliver ved og ved hele tiden mellem en kilde og en destination (altid den samme).

    Jeg kan gøre et højreklik på linjen, derefter “følge” og “TCP” : Det åbner et vindue med en dialog, men jeg ved ikke, om jeg kunne finde i det en “nøgle” og jeg ved det heller ikke, hvordan man kan genkende det. Det ligner ikke en almindelig tekst, men omfatter en blanding mellem ord, netto adresser, symboler…

    Lad os antage at det er muligt ang jeg finder det, hvordan så coul jeg bruger det? Jeg ville ikke vide, hvordan man bygge mit eget arbejdsmiljø decryptor.

    Er der nogen her, der ved mere om alt dette og forsøgte vejen for Wireshark sniffing og ville have nogle råd til at hjælpe mig bruge softwaren og få til at opdage min “nøgle”?

    Tak for din tid

    Svar
    1. Vencislav Krústev

      Hej, se følgende filtre som du kan bruge på filteret boksen oven på hvor pakkerne er af din Wireshark software:

      1. ip.addr == 10.0.0.1 [Sætter et filter for enhver pakke med 10.0.0.1, enten som
      kilde eller]

      2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [sæt
      en samtale filter mellem de to definerede IP-adresser]

      3. http eller dns [sæt
      et filter for at vise alle http og DNS]

      4. tcp.port == 4000
      [sætter et filter for enhver TCP-pakke med 4000 som kilde eller dest port]

      5. tcp.flags.reset == 1
      [viser alle TCP nulstiller]

      6. http.request
      [viser alle anmodninger HTTP GET]

      7. tCP indeholder
      trafik [viser alle TCP-pakker, der indeholder ordet 'trafik'.
      Fremragende, når du søger på en bestemt snor eller bruger-id]

      8. !(arp eller ICMP eller
      dns) [masker ud arp, ICMP, dns, eller hvad andre protokoller kan være
      baggrundsstøjen. Giver dig mulighed for at fokusere på trafikken af ​​interesse]

      9. udp indeholder
      33:27:58 [sætter et filter for HEX-værdier for 0x33 0x27 0x58 på ethvert
      offset]

      10. tcp.analysis.retransmission
      [viser alle retransmissioner i spor. Hjælper når opspore langsom
      anvendelse ydeevne og pakketab]

      Jeg har udvundet de nyttige filtre fra:

      http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html

      Du kan også finde andre nyttige anbefalinger der. Også, huske på, at du skal fokusere på POST trafikken, når en infektion finder sted. Hvis du har malware prøve, forsøge at reinfect en test computer, mens overvågning af pakker. Dette kan hjælpe dig med at få en dybere forståelse af, hvordan malware kommunikerer.

      Ud over dette, når du “Følg TCP Stream” af en given pakke, Wireshark har den såkaldte “SSL Dissector” som i nogle tilfælde kan anvendes til at dechifrere nogle af dataene i der og gøre følelse af det. Ransomware er under konstant udvikling, imidlertid og kan ikke også direkte sende dekrypteringsnøglen, men i stedet uploade en .key fil til cyber-kriminelle’ kommando servere som også krypteret med en stærk algoritme. Så hvis du bruger Wireshark, først sørge virussen ikke skaber en sådan fil og direkte sender oplysningerne via TCP eller anden form,.

      Svar
  2. Ariel santos

    Er det til at fungere med Cerber ransomware?

    Svar
  3. Calin

    Jeg er blevet inficeret af Spora. Jeg har den html-fil med mit ID og en masse af par med encripted og ikke encripted filer. Kan du udpakke encription nøgler fra alle disse for at decript resten af ​​mine filer? Eller kender du nogen, der kan gøre det? Tak.
    [email protected]

    Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.