.WNCRY .WCRY Virus - Prøv at dekryptere filer (Opdatering juli 2017)

.WNCRY .WCRY Virus - Prøv at dekryptere filer (Opdatering August 2017)

Denne artikel har til formål at give anvisninger på forskellige metoder til, hvordan at forsøge at gendanne .WNCRY filer krypteret af den anden version af WannaCry ransomware også kendt som Wana Decrypt0r 2.0, WanaCrypt0r 2.0 og WCry.

”EternalBlue” og ”DoublePulsare” er navnene på de bedrifter, der bruges af den organisation, spreder .WNCRY fil infektion og hvad værre det er, at de blev lækket online et eller andet sted omkring påskeferien med en hacking enhed kaldet ”The Shadow Ejendomsmæglere”. Denne exploit er primært behandler spørgsmål i Windows-systemer, så enhver, der stadig ikke er inficeret med denne virus er stærkt anbefales at sikkerhedskopiere systemet og derefter opdatere den.

Hvis du er blevet et offer for denne ransomware virus, Vi har oprettet flere metoder, der kan vise sig at være nyttige i at hjælpe dig med at genoprette dine filer. Metoderne er ikke garanteret at arbejde, men de er helt sikkert det tætteste man kan komme til at genoprette dine filer, så vi råde dig til at følge dem og bede os spørgsmål på vores Support Topic om WannaCry ransomware.

Opdatering maj 2017: Malware forskere er i gang med at udvikle en Decrypter for WannaCry 2.0 ransomware virus. Vi har skabt dekryptering instruktioner, som vi vil opdatere som de fremskridt på udviklingen. Indtil videre er der en metode til at finde de private RSA-nøgler. For mere information, Følg den relaterede artiklen nedenfor:

Relaterede:Wana Decrypt0r 2.0 – Dekryptér krypterede filer

Metode 1: Brug Wireshark at snuse dekrypteringsnøgler

Det er meget svært at være på forkant med ransomware, ligesom WannaCry, men trods alt, Vi har besluttet at vise dig, hvordan du bruger Wireshark til din fordel og forhåbentlig opsnappe HTTP-trafik i det rigtige tidspunkt. Men, huske på, at disse instruktioner er TEORETISK, og der er en masse faktorer, der kan forhindre dem i at arbejde i en aktuelle situation. Stadig, det er bedre end ikke at forsøge før betale løsesummen, højre?

Inden du downloader og bruger Wireshark - en af ​​de mest udbredte netværk sniffere derude, du skal have malware eksekverbare på standby og inficere din computer igen. Men, huske på, at nogle ransomware vira udføre nye kryptering, hver gang en computer genstartes så godt, så du skal også konfigurere Wireshark til at køre automatisk ved opstart. Lad os begynde!

Trin 1: Hent Wireshark på din computer ved at klikke på følgende knapper( til din version af Windows)

Hent

Wireshark

Trin 2: Løbe, konfigurere og lære at sniffe pakker med Wireshark. At lære at begynde at analysere pakker og tjek, hvor dine pakker gemme dataene, du skal åbne Wireshark først og derefter vælge dit aktive netværk interface til at analysere pakker. For de fleste brugere, det ville være grænsefladen med trafik hoppen op og ned på det er det rigtige. Du bør vælge den og klikke to gange hurtigt at begynde at snuse:

1-dekryptere-filer-wireshark-sensorstechforum

Trin 3: sniffing pakker. Da ransomware vira kommunikerer via HTTP trafik, du skal filtrere alle pakkerne først. Her er, hvordan pakkerne ser oprindeligt efter du vælger dit interface og sniffe trafik fra det:

2-ransomware-dekryptering-nøgler-mixed-sensorstechforum

For at opfange kun HTTP-trafik, du skal skrive følgende ind i skærmen filter bar:

http.request - At opfange den ønskede trafik

Når filtreret det skal se sådan ud:

http-trafik-sensorstechforum-filtreret

Du kan også filtrere kilde- og destination IP-adresser ved at rulle op og ned og vælge en adresse, derefter til højre klikke på det og navigere til følgende funktion:

filter-host-til-sensorstechforum

Trin 4: Konfigurer Wireshark til at køre automatisk. For at gøre dette, først, du skal gå til kommandoprompten på din computer ved at skrive cmd på din Windows-søgning og kører det. Derfra, skrive følgende kommando med kapital "-D" for at få det unikke nøgle til din grænseflade. Tasterne skal se ud som følgende:

wireshark-nøgler-sensorstechforum

Trin 5: Kopier nøgle til din aktive forbindelse og skabe et nyt tekstdokument og i den skrive følgende kode:

→ Wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

Man kan desuden ændre kommandoen ved at tilføje -w brev og skabe et navn for den fil, der vil spare det på din computer, så du kan analysere pakkerne. Resultatet bør se på samme måde som denne ene:

Wireshark-sensorstechforum-tekst-fil

Trin 6: Gem nyoprettede tekstdokument som en bat fil, ved at gå til Filer> Gem som ... og vælge Alle filer, hvorefter skrive .BAT som en fil extension, som på billedet nedenfor viser. Sørg for, at navnet på filen, og det sted, hvor du gemmer det er let at finde:

sensorstechforum-pic-wireshark-gem-som-alle-filer

Trin 7: Indsæt bat filen i start mappen Windows. Den oprindelige placering af mappen er:

→ C:\Brugere brugernavn AppData Roaming Microsoft Windows Start Menu Programs Startup,/p>

For nemt at få adgang til det, presse Windows-knap + R tastekombination og i Window box type - shell:start op, som på billedet nedenfor viser, og klik på OK:

shell-startup-bat-fil-sensorstechforum
Wireshark-startup-sensorstechforum

Når computeren er genstartet, hvis ransomware virus krypterer dine filer efter som genererer en nøgle og sender den til de cyber-kriminelle’ servere, du bør være i stand til at opsnappe kommunikationen pakker og analysere dem.

Trin 8: Hvordan til at analysere trafikken?

For at analysere trafikken af ​​en given pakke, simpelthen højreklikke på den og derefter klikke på den følgende for at opsnappe trafikken:

opsnappe-trafik-sensorstechforum-ransomware

Efter at gøre dette, Et vindue vises med oplysningerne. Sørg for at inspicere information grundigt og kigge efter søgeord, der giver væk krypteringsnøgler, lignende krypteret, RSA, AES, etc. Tag din tid og tjek pakkerne 'størrelse, sikre, at de svarer til størrelsen af ​​en nøglefil.

opsnappe-stream-sensorstechforum-opfanget

Metode 2: Brug Python i Ubuntu

Den anden metode, som du måske ønsker at forsøge at gendanne dine filer er heller ikke garanteret at arbejde, men du kan lykkes i tilfælde af, at denne WannaCry ransomware variant bruger RSA (Rivest-Shamir-Adleman) kryptering til at generere unikke nøgler til filerne. Den faktorisering script blev oprindeligt designet til CryptoWall ransomware, men det kan være nyttigt for denne infektion samt. Enten måde, opfordrer vi dig til at være forsigtige og skabe kopier af de krypterede filer, når du følger instruktionerne herunder:

For denne særlige tutorial, vi har brugt udvidelse filer fra en anden virus, kaldet Bitcrypt. Vi har også brugt Ubuntu-version 14.04 som hjalp os i at bruge speciel software passende for denne fordeling. Du kan få det fra deres hjemmeside download side, og du kan enten:

  • Installer det sammen med dit operativsystem ved at starte en live USB-drev.
  • Installere det på et virtuelt drev (Anbefalede).

Her har vi korte tutorials til både:

Installation af Ubuntu på din maskine:

Trin 1: Få en USB-flash-drev, der har over 2 GB plads.

Trin 2: Downloade den gratis software, kaldet Rufus fra her og installere det på dine vinduer.

Trin 3: Konfigurer Rufus ved at vælge NTFS som et system og vælge USB-drevet som den, der skal oprettes som en bootbar USB. Efter at boot Linux billede fra følgende knap:

Rufus

Sørg for, at du finder den og vælge det fra, hvor du har hentet det.

Step4: Efter flashdrevet er klar, genstarte computeren, og det bør køre Ubuntu installationen. Hvis den ikke gør det, du skal gå til BIOS-menuen ved at trykke på BIOS genvejstast ved opstart til din pc (Normalt er det F1) og derfra vælge den første boot mulighed for at være den bootbar USB-drev eller CD / DVD, hvis du har brændt Ubuntu på en sådan.

Installation af Ubuntu på din virtuelle drev

Til denne installation, skal du downloade VMware Workstation fra deres downloadsiden eller andre Virtual Drive Management-program. Efter installeret bør du:

Trin 1: Opret en ny virtuel drev.

Trin 2: Indstille drevet størrelse. Sørg for at have et minimum af 20 gigabyte ledig plads did Ubuntu på computeren. Også vælge 'Kør som et enkelt drev'.

Trin 3: Vælg ISO-billedet. For denne mulighed, du skal vide, hvor det er.

Trin 4: Derefter spille Virtual Machine og det vil installere automatisk.

Fil Dekryptering

Når du har Ubuntu eller en anden Linux-distribution på computeren åbne terminalen ved at gøre følgende:

Open-terminal

Så opdatere din Linux og installere større udgave end Python 3.2 ved at skrive følgende i terminalen:

→sudo apt-get update
sudo apt-get install python3.2

Også, Hvis din Linux ikke har sqlite3 modul, installere det ved at skrive:

→sudo apt-get install sqlite3 libsqlite3-dev
sudo perle installere sqlite3-rubin

Nu efter at vi har Python installeret, vi nødt til at hente et script oprettet af 2014 Airbus Defence and Space cybersikkerhed. For at gøre dette klik på denne link. Hent filen i dit 'Home’ mappe, efter at den beder dig hvor du vil gemme det. Holde dette som decrypt.py, hvis det ikke er gemt i dette format.

Nu hvor vi har Python og scriptet, er det tid at finde ud af nøglen til .bytrcypt krypterede fil. For at gøre dette skridt dine krypterede filer ot hjemmemappen ved at bruge filhåndteringen:

Fil-leder

Når du placeret alle de krypterede filer der sammen med "decrypt.py" fil skrive følgende i terminalen at indlede scriptet:

→python ./decrypt.py "Your_Encrypted_Document_Name_and_Format"

Det vil vise en fejl, og det er helt normalt, så længe du ser denne kode:

kode

Dette er RSA-koden for denne fil. Nu, vi nødt til at dekryptere det, og vi er halvvejs der. For at gøre dette downloade et program kaldet Cado-nfs2.0.tar.gz fra deres downloadsiden her. Vi anbefaler 2.0 udgave. Men, den nyeste version er også på et godt niveau.

Det vil hente en tar arkivfil (.tar-filer er meget lig Rar eller .zip filer). Du skal blot åbne den og klik på Uddrag knappen på toppen og vælg "Home’ folder. Det skal se sådan ud:

Uddrag

Efter vi har alle de filer, der udvindes i 'Home’ folder, vi nødt til at kompilere CADO-nfs. For at gøre dette, åbne en anden terminal og skriv:

→cd Cado-nfs-2.0
lave

Når dette er indstillet, det er tid til at køre nøglen krakker. Vigtigt - denne proces kan tage fra flere timer til dage at være færdig. Til at begynde processen indtast din cd Cado-nfs terminal:

→./factor.sh YOUR_UNIQUE_KEY_WHICH_IS_LETTERS_OR_NUMBERS_HERE -s 4 -t 6

Når processen er færdig, skal du se følgende:

→Info:Komplet Faktorisering: Samlet cpu / real-tid til alt: hhhh / dddd
LongNumber1 LongNumber2

Efter at vi har den dekrypterede nøgle, vi nødt til at indsætte i "decrypt.py" script. Gør dette ved at åbne decrypt.py i en teksteditor og finde denne del af det:

→known_keys = { mange lange numre }

Vi er nødt til at tilføje, før den anden konsol ("}") disse linjer:

Den Forrige Nøgle, en søjle, åbnede parentes, LongNumber1, Komma, LongNumber2, lukket parentes. Det skal se sådan ud:

→Den Forrige Nøgle:(LongNumber1, LongNumber2)

Vær opmærksom på, at du skal kun gøre dette én gang. Herefter er det tid at afkode filerne. For at gøre denne type:

→python ./decrypt.py “Your_Encrypted_Document.docx.bitcrypt”

Udfører denne kommando vil gøre en fil, der kaldes “Your_Encrypted_Document.docx.bitcrypt.CLEAR”

Bare omdøbe filen ved at fjerne .clear udvidelse, og du bør være klar. Gentag processen for dine andre filer samt. Men husk, at først skal du finde ud af deres oprindelige nøgler til at dekryptere dem. Du bør være i stand til at åbne dem nu. Vi håber, at dette virker for dig.

Metode 3: Brug .VHD filtyper og Data Recovery Software

Denne metode vil sandsynligvis bringe tilbage flest filer af de metoder, der er illustreret ovenfor, udelukkende fordi det ikke søger en direkte løsning til at dekryptere de krypterede filer, der er umuligt, hvis du ikke har nøglerne. I stedet bruger forskellige algoritmer til at gendanne filerne, behandle dem som om de er slettet. En af de mange algoritmer, der bruges af forskellige programmer data recovery er kendt for at være baseret på gren prædiktorer.

Grunden til at vi har besluttet at opdrage denne metode er, at mange ofre for nylig ransomware udbrud af Dharma ransomware, en anden undecryptable virus, var faktisk i stand til at genoprette løbet 90% af deres filer ved hjælp af denne metode.

Dens primære kernekompetence er, at det tager fordel ved at konvertere filerne til en .VHD filtype som er dybest set et virtuelt drev partition på din pc. Så det behandler dine krypterede fil som en partition. Derefter, dette drev kan startes op og du kan prøve at scanne den partition selv ved hjælp af data opsving programmel. Fremgangsmåden kan ikke være 100% garanti, men nogle brugere har rapporteret, at det er mest succesfulde af de ovenfor. Her er vejledningen til det:

Trin 1: Sørg for at lave kopier af de .onion krypterede filer på et andet drev eller pc:

Trin 2: Når du har oprettet kopierne, hente et værktøj, der konverterer filerne i .VHD format. Et godt værktøj er Microsofts VHD konvertering software. Du kan downloade det, ved at klikke på knappen nedenfor:


Hent

VHDTOOL


Trin 3: Nu, Sørg for at omdøbe en fil, som du vil gendanne i forlængelse af .VHD fil. For eksempel, hvis filen er test.onion, det skal test.vhd

Trin 4: Nu er du nødt til at køre VHDTOOL du tidligere har hentet fra Windows Kommandoprompt. For at gøre dette, køre Windows Kommandoprompt som administrator ved at skrive ”cmd” i Windows Search og højreklikke hvorefter vælge ”Kør som administrator”.

Skriv derefter følgende kommandoer nøjagtigt som det, de er:

→ cd {Placeringen af ​​filen, for eksempel C:\Brugere Lenovo Desktop}
vhdtool.exe / konvertere “{placeringen af ​​filen og navnet går her}

Det endelige resultat skal se ud som følgende billede:

Trin 5: Når du konverterer drevet i VHD, Sørg for at montere den på din computer. For at gøre dette:

Højreklik på Min Computer eller Denne computer og derefter klikke på “Styre”

Højreklik derefter på Diskhåndtering hvorefter klikke på Vedhæft VHD

Klik derefter på Gennemse knappen for at finde og åbne den .vhd fil

Efter dette, at initialisere disken, Højreklik på den og klik på Ny simpel diskenhed. Efter dette klik på Næste og sætte den op:

Ved udgangen, lydstyrken skal vises som følgende:

Trin 6: Hent og genvinde .VHD billedet ved hjælp af data opsving programmel. De data recovery software, du skal hente skal understøtte muligheden ”Partition Recovery”. Her er en omfattende liste af flere data recovery programmer, der er i stand til at inddrive partitioner:

VIGTIGT! Hvis du undlader at starte filen som en partition, du kan også gøre en direkte scanning med data recovery software til at se, om det vil finde nogen af ​​dine filer på denne måde.

Wana Decrypt0r 2.0 Konklusion og fjernelse

Whatever the case may be, Vi vil holde udkig i denne virus og opdatering med eventuelle nye instrukser, der er tilgængelige for det. Hold efter vores blogindlæg, Twitter og Google Plus for nye opdateringer om denne trussel. Også, Sørg for at fjerne denne virus, hvis du har prøvet de ovennævnte metoder til at gendanne filer krypteret af det. Du kan gøre dette ved at tjekke vores instruktionsvideo om, hvordan du fjerner WannaCry. De omfatter også nogle yderligere metoder til fil restaurering. Husk på, at disse ikke er direkte løsninger på problemet, og det er derfor, vi råde dig til at prøve alle de metoder, der er illustreret i denne artikel og video på egen risiko.

For de fleste effektiv fjernelse, malware forskere kraftigste råde ofre til at bruge et avanceret anti-malware-software. Det vil sikre, at Wana Decrypt0r 2.0 trussel er helt fjernet, og alle skaderne som følge af det vendt. Installation sådan software på computeren i høj grad øger real-time beskyttelse mod sådanne trusler i fremtiden.


Det anbefales stærkt at køre en scanning, før du køber den fulde version af softwaren for at sikre, at den nuværende version af malware kan påvises ved SpyHunter.

Opdatering juli 2017! WannaCry har fortsat med at inficere institutioner med mål i Australien og Europa samt. Mange medløbere af virus har kom ud, efterligne Det er løsesum notat. Virussen har også ramt et hospital, forsinke en operation på en patient.

Vencislav Krústev

En netværksadministrator og malware forsker ved SensorsTechForum med passion for opdagelsen af ​​nye skift og innovationer i cybersikkerhed. Stærk tilhænger af grundlæggende uddannelse for alle brugere mod online sikkerhed.

Flere indlæg - Websted

5 Kommentarer

  1. Idris Ezzy

    Sinffer vil ikke hjælpe, hvis malware bruger asymmetriske nøgler til at kryptere / dekryptere.

    Svar
  2. Andres Gonzalez

    først, u nødt til at placere dit hurtige på filer beholder mappe, anden… Jeg har ikke noget imod, hvis kommaer virkelig er brug for.
    dele dine erfaringer!

    Svar
  3. Vencislav Krústev

    i bund og grund, at aktivere python skal du placere softwaren og
    programmer i hjemmemappen, hvis du er ved at skrive kommandoen dette
    vej : )

    Svar
  4. Vencislav Krústev

    også, Jeg vil have du ved, at scriptet i denne artikel blev oprindeligt udviklet til andre virus ved hjælp af den samme RSA kombination, hvilket betyder at decrypt.py scriptet er designet til RSA kun. Så denne nøgle kan bruges til at forsøge at dekryptere AES-filer eller anden måde. Hvis du får nøglen, du svare tilbage, og vi vil forsøge at hjælpe den bedste måde, vi kan.

    PS: Google .decrypt.py scripts til python til dekryptering, there are a lot of scripts for different RSA strenghts. The RSA encryption used by this virus is in 2048 bit strenght which is unfortunately, the strongest stable 🙁

    Svar
  5. væsel

    Hej
    Thanks your article is excellent!
    I have tried to reproduce the Method 1 of your article but unfortunately I have only the encryption piece of the ransom or a variant. Would you mind to share it in some way I can test it? (I dont know how/where to contact you so I am posting here..) many thanks

    Svar

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.