Finden Decryption Key für verschlüsselte Dateien von Ransom

Fix-your-Malware-Problem-sensorstechforumCrypto-Viren sind eine zunehmende Bedrohung, die Ihren Tag in die andere Richtung drehen soll um, so dass Sie für die Schlüssel zu Cyber-Kriminellen zahlen, die verschlüsselt wurden. Und was noch schlimmer ist, dass Cyber-Gauner ständig weiterentwickelt immer neue und komplexere Möglichkeiten, um die Verteidigung ihrer Viren zu erhöhen, Implementierung kombiniert Verschlüsselungsschlüssel, die sicher auf ihre Server reisen. Jedoch, es gibt immer noch jene Ransomware-Viren, die unverschlüsselte Informationen senden, so dass Sie, der Benutzer Datenverkehr von Ihrem Computer zu erschnüffeln und mit etwas Glück den Entschlüsselungsschlüssel für Ihre Dateien zu erhalten. Wir haben entworfen ein Tutorial zu machen, die so einfach wie möglich ist, um theoretisch erklären, wie Sie durch erschnüffeln erkennen könnte Ihre Web-Traffic Ihre Entschlüsselungsschlüssel Wireshark.

Wie es funktioniert - Kurze Erklärung

Beachten Sie, dass diese Lösung nur theoretischer Natur ist, da verschiedene Ransomware Viren verschiedene Aktivitäten auf Benutzer-PCs durchführen. Um am besten klarstellen, dass, die meisten Ransomware Viren verwenden Verschlüsselungsalgorithmus - eine kryptische Sprache die Originalsprache Code der Dateien ersetzen, so dass sie nicht zugänglich. Die beiden am häufigsten verwendeten Verschlüsselungsalgorithmen sind RSA und AES-Verschlüsselungsalgorithmus. Beide sind extrem stark und undurchdringlich. In der Vergangenheit, die meisten Malware-Autoren verwendet nur eine Verschlüsselung Chiffre in besonderer Weise. Die Standardaktion für die Ransomware-Virus wurde in der folgenden Folge:

  • Lassen Sie es Nutzlast.
  • Ändern Sie den Windows-Registrierungs-Editor beim Start ausgeführt wird oder nachdem die spezifische Aktion getan.
  • Lösche Backups und führen auch andere Aktivitäten.
  • Verschlüsseln der Dateien.
  • Senden des Entschlüsselungsschlüssels in einer Datei oder als Kommunikations direkt an die Steuerung und Kontrolle (C&C) Zentrum der Cyber-Kriminellen.
  • Lassen Sie es Erpresserbrief und andere Support-Dateien, die den Benutzer über diese "Komplikation" notify.

Jedoch, da Malware-Forscher haben ihre Ressourcen vereint und viel Mühe gegeben, um Codes in den Fehler oder Capture-Dekodierungsschlüssel erkennen und frei decrypters entwickeln, Malware-Autoren haben auch ganz die Verbesserungen selbst. Eine dieser Verbesserungen ist die Implementierung eines Zweiwege-Verschlüsselungs, Verwendung einer Kombination aus RSA und AES Verschlüsselungsalgorithmen.

In Kürze, sie einfach nicht Ihre Dateien mit einer der Chiffren verschlüsseln, aber jetzt verwenden sie auch einen zweiten Verschlüsselungsalgorithmus den Entschlüsselungsschlüssel in einer speziellen Datei zu verschlüsseln, die dann auf ihren Servern gesendet wird. Diese Dateien sind nicht zu entschlüsseln, und Benutzer suchen hoffnungslos nach alternativen Methoden, um sie zu entschlüsseln.

Weitere Informationen zu dieser Verschlüsselungsmethode, bitte besuche:

Ransomware Encryption erklärt - Warum ist es so effektiv?

Eine andere Taktik die Cyber-Gauner "Devs" begann, ist zu verwenden, eine sogenannte Cipher Block Chaining. Dies ist ein Modus, der kurz erklärt, wenn Sie bricht die Datei versuchen, mit ihm zu manipulieren, jede Form der Verwertung zu machen völlig unmöglich.

So, Hier ist, wo wir sind. An dieser Stelle, es gibt sogar neue Entwicklungen in der Welt der Ransomware, die sind noch enthüllt werden.

Es ist sehr schwierig, vor Ransomware bleiben, aber trotz aller, haben wir beschlossen, Ihnen zu zeigen, wie Wireshark zu Ihrem Vorteil nutzen und hoffentlich abfangen HTTP-Datenverkehr im richtigen Moment. Jedoch, beachten Sie, dass diese Anweisungen sind THEORETISCHER, und es gibt viele Faktoren, die sie von der Arbeit in einer tatsächlichen Situation verhindern. Noch, es ist besser als nicht versuchen, bevor das Lösegeld zahlen, Recht?

Mit Wireshark Decryption Key finden

Vor dem Download und die Verwendung von Wireshark - eine der am weitesten verbreitete Netzwerk-Sniffer da draußen, Sie sollten die Malware ausführbare im Standby-Modus haben und Ihr Computer einmal infizieren wieder. Jedoch, beachten Sie, dass einige Ransomware Viren neue Verschlüsselung durchführen ein Computer jedes Mal, als auch neu gestartet wird, so sollten Sie auch Wireshark konfigurieren automatisch beim Start ausgeführt wird. Lass uns anfangen!

Schritt 1: Download von Wireshark auf Ihrem Computer auf den folgenden Schaltflächen klicken,( für Ihre Windows-Version)

Herunterladen

wireshark

Schritt 2: Lauf, konfigurieren und zu lernen, wie Packet Sniffing mit Wireshark. Um zu erfahren, wie Sie anfangen sollen Pakete zu analysieren und überprüfen, wo Sie Ihre Pakete, die Daten speichern, Sie sollten zuerst öffnen Wireshark und dann aktive Netzwerk-Schnittstelle wählen Pakete für die Analyse. Für die meisten Benutzer, das wäre die Schnittstelle mit dem Verkehr hüpfte auf und ab auf, es ist richtig. Sie sollten es wählen und zweimal schnell klicken beginnen Sniffing:

1-entschlüsseln-files-wireshark-sensorstechforum

Schritt 3: Sniffing-Pakete. Da die Kommunikation Ransomware Viren über HTTP-Datenverkehr, Sie sollten alle Pakete filtern zuerst. Hier ist, wie die Pakete zunächst aussehen, nachdem Sie Ihre Schnittstelle wählen und schnüffeln Verkehr von ihm:

2-Ransomware-Entschlüsselungs-Schlüssel-mixed-sensorstechforum

Abfangen nur HTTP-Datenverkehr, Sie sollten Folgendes in die Anzeigefilterzeile eingeben:

http.request - Den angeforderten Datenverkehr abzufangen

Sobald gefiltert sollte es so aussehen:

http-Traffic-sensorstechforum gefilterten

Sie können auch die Quell- und Ziel-IP-Adressen filtern, indem Sie nach oben scrollen und nach unten und eine Adresse der Wahl, dann nach rechts Klick darauf und auf die folgende Funktion Navigation:

Filter-Host-to-sensorstechforum

Schritt 4: Konfigurieren Sie Wireshark automatisch ausgeführt. Um dies zu tun, erste, Sie sollten durch Eingabe von cmd auf Ihrem Windows-Suche, um die Eingabeaufforderung des Computers gehen und es läuft. Von dort, Geben Sie den folgenden Befehl mit Kapital "-D" Einstellung der eindeutigen Schlüssel für Ihre Schnittstelle zu erhalten. Die Tasten sollten wie folgt aussehen:

wireshark-Tasten-sensorstechforum

Schritt 5: Kopieren Sie den Schlüssel für Ihre aktive Verbindung und erstellen Sie ein neues Textdokument und in es den folgenden Code schreiben:

→ wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

Sie können zusätzlich den Befehl ändern die durch Hinzufügen -w Brief und einen Namen für die Datei zu erstellen, die es auf dem Computer zu speichern wird, so dass Sie die Pakete zu analysieren. Das Ergebnis sollte so aussehen ähnlich:

wireshark-sensorstechforum-Text-Datei

Schritt 6: Speichern Sie die neu erstellte Textdokument als .bat Datei, indem Sie auf Datei> Speichern unter ... und die Auswahl aller Dateien nach dem .BAT als Dateierweiterung eingeben, wie das Bild unten zeigt,. Achten Sie darauf, den Namen der Datei und den Ort, an dem Sie es speichern sind leicht zu finden:

sensorstechforum-pic-wireshark-Save-as-alle-Dateien

Schritt 7: Fügen Sie die .bat-Datei im Windows-Autostart-Ordner. Der ursprüngliche Standort des Ordners:

→ C:\Users Benutzername AppData Roaming Microsoft Windows Startmenü Programme Autostart,/p>

Für den Zugriff auf diese leicht, Presse Windows-Taste + R Tastenkombination und im Fensterkasten Typ - Schale:Anfang, wie das Bild unten zeigt, und klicken Sie auf OK:

Shell-Startup-bat-Datei-sensorstechforum
wireshark-startup-sensorstechforum

Nachdem der Computer neu gestartet wird, wenn der Erpresser-Virus Ihre Dateien nach dem verschlüsselt generiert einen Schlüssel und sendet sie an den Cyber-Kriminellen’ Server, Sie sollten sie in der Lage, die Kommunikationspakete abzufangen und zu analysieren.

Schritt 8: Wie um den Verkehr zu analysieren?

Um den Datenverkehr eines bestimmten Pakets analysieren, einfach Sie mit der rechten Maustaste und dann auf der folgenden klicken Sie auf den Datenverkehr abzufangen:

Intercept-Verkehr-sensorstechforum-Ransomware

Nachdem Sie das getan, Es wird ein Fenster mit der Information angezeigt. Achten Sie darauf, die Informationen sorgfältig und suchen nach Schlüsselwörtern zu kontrollieren, die die Verschlüsselungsschlüssel zu verschenken, wie verschlüsselt, RSA, AES, etc. Nehmen Sie sich Zeit und überprüfen Sie die Größe 'Pakete, stellen Sie sicher, dass sie auf die Größe eines Schlüsseldatei ähnlich sind.

Intercept-stream-sensorstechforum-abgefangen

Sniffing Ransom Decryption Keys - Dinge, die Sie wissen müssen

Wie zuvor erwähnt,, Dieses Tutorial ist voll theoretischen und falls Sie nicht mit ihm fertig werden kann und die Schlüssel erschnüffeln, Wir empfehlen dringend, den Erpresser zu entfernen, die Sie und versuchen, die Wiederherstellung von Dateien durch die Schritt-für-Schritt-Anleitung unten infiziert. Auch, wenn Sie vorhaben, diese Methode zu versuchen,, Wir raten Ihnen dringend, es zunächst auf Ihrem Computer zu testen, und um den Verkehr zu sehen. Ein Beispiel dafür, wie die Forscher identifiziert Verkehr von Ransomware das ist Forschung, von Paloalto Netzwerk-Experten durchgeführt auf Locky Ransomware, die wir beraten Sie auch zu prüfen,.

Löschen Sie manuell Ransom von Ihrem Computer

Notiz! Erhebliche Benachrichtigung über die Ransomware Bedrohung: Manuelle Entfernung von Ransomware erfordert Eingriffe in Systemdateien und Registrierungsstellen. So, es kann zu Schäden an Ihrem PC führen. Auch wenn Ihr Computer Fähigkeiten nicht auf professionellem Niveau, mach dir keine Sorgen. Sie können die Entfernung selbst nur in zu tun 5 Minuten, Verwendung einer Malware Removal Tool.

1. Starten Sie Ihren PC im abgesicherten Modus zu isolieren und zu entfernen Ransomware-Dateien und Objekte
2. Finden schädliche Dateien von Ransomware auf Ihrem PC erstellt
3. Fix Registry-Einträge von Ransomware auf Ihrem PC erstellt

Automatisches Entfernen Ransom durch eine erweiterte Anti-Malware-Programm herunterzuladen

1. Entfernen Ransomware mit SpyHunter Anti-Malware-Tool
2. Sichern Sie Ihre Daten bis zu sichern gegen Infektionen und Dateiverschlüsselung von Ransomware in der Zukunft
3. Wiederherstellen von Dateien verschlüsselt von Ransom
Fakultativ: Mit Alternative Anti-Malware-Tools

Vencislav Krustev

Ein Netzwerk-Administrator und Malware-Forscher bei SensorsTechForum mit Leidenschaft für die Entdeckung neuer Verschiebungen und Innovationen im Bereich Cyber-Sicherheit. Glaubt fest an die Grundbildung von jedem Benutzer in Richtung Online-Sicherheit.

Mehr Beiträge - Webseite

  • WATERCHILD

    Ich habe versucht, Ihre Empfehlungen über wireshark zu folgen, und ich irgendwie mehrere Zeilen zu finden, erhalten, die die folgende Beschreibung enthalten in “Info”:

    “Server Hallo, Zertifikat, Zertifikatstatus, Server-Schlüsselaustausch, Server Hallo getan”
    “Client-Schlüsselaustausch, Ändern Cipher Spec, Verschlüsselte Handshake-Nachricht”
    Dann Anwendungsdaten……

    Und das geht weiter und die ganze Zeit zwischen einer Quelle und einem Ziel (immer gleich).

    Ich kann ein Rechtsklick auf die Linie tun, dann “Folgen” und “TCP” : es öffnet sich ein Fenster mit einem Dialog, aber ich weiß nicht, ob ich darin finden könnte ein “Taste” und ich weiß auch nicht, wie es zu erkennen. Es sieht nicht wie ein gewöhnlicher Text, sondern umfasst eine Mischung zwischen Worten, netto-Adressen, Symbole…

    Nehmen wir an, es ist möglich ANG ich es finden, wie dann coul ich es verwenden? Ich möchte nicht wissen, wie meine eigenen Arbeits decryptor zu bauen.

    Gibt es hier jemand, der mehr über all dies und versuchte, den Weg von wireshark weiß Sniffing und würde einige Ratschläge haben mir die Software verwenden, helfen und entdecken Sie erhalten, mein “Taste”?

    Danke für deine Zeit

    • Hallo, sehen Sie bitte die folgenden Filter, die Sie auf dem Filterkasten oben verwenden können, wo die Pakete Ihrer Software Wireshark:

      1. ip.addr == 10.0.0.1 [Setzt einen Filter für jedes Paket mit 10.0.0.1, entweder als
      Quelle oder]

      2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [Sets
      ein Gesprächs Filter zwischen den beiden definierten IP-Adressen]

      3. http oder dns [Sets
      ein Filter alle http und dns anzuzeigen]

      4. tcp.port == 4000
      [setzt einen Filter für jedes TCP-Paket mit 4000 als Quelle oder Dest Port]

      5. tcp.flags.reset == 1
      [zeigt alle TCP-Resets]

      6. http.request
      [zeigt alle HTTP-GET-Anfragen]

      7. tcp enthält
      Verkehr [zeigt alle TCP-Pakete, die das Wort "Verkehr" enthalten.
      Ausgezeichnet, wenn man auf eine bestimmte Zeichenfolge oder Benutzer-ID suchen]

      8. !(arp oder icmp oder
      dns) [Masken aus arp, icmp, dns, oder was auch immer andere Protokolle können
      Hintergrundgeräusche. So dass Sie auf den Verkehr von Interesse zu konzentrieren]

      9. udp enthält
      33:27:58 [stellt einen Filter für den HEX Werte 0x33 0x27 0x58 auf jeder
      ausgleichen]

      10. tcp.analysis.retransmission
      [zeigt alle erneute Übertragungen in der Spur. Hilft beim Aufspüren langsam
      Anwendungsleistung und Paketverlust]

      Ich habe diese nützliche Filter extrahiert aus:

      http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html

      Sie können auch andere nützliche Empfehlungen finden dort. Auch, beachten Sie, dass Sie auf der POST-Verkehr konzentrieren sollte, wenn eine Infektion stattfindet. Wenn Sie die Malware-Probe, versuchen, einen Testcomputer zu infizieren, während die Pakete Überwachung. Dies kann Ihnen ein tieferes Verständnis darüber, wie die Malware kommuniziert helfen gewinnen.

      Außerdem, wenn du “Folgen Sie TCP-Stream” eines gegebenen Paket, Wireshark hat die sogenannte “SSL Dissector” die in einigen Fällen verwendet werden, einen Teil der Daten zu entschlüsseln und es in einen Sinn es. Ransomware wird ständig weiterentwickelt, jedoch und auch nicht direkt den Entschlüsselungsschlüssel senden, sondern eine .KEY Datei auf die Cyber-Kriminellen laden’ Kommando-Server, die auch mit einem starken Algorithmus verschlüsselt ist. Also, wenn Sie mit wireshark, zuerst sicherstellen, dass das Virus nicht eine solche Datei nicht erstellt und sendet die Informationen direkt über TCP oder eine andere Form.

  • WATERCHILD
  • Ariel santos

    Ist es die Arbeit mit Cerber Ransomware?

  • Calin
Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...
Warten Sie mal...

Abonniere unseren Newsletter

Möchten Sie benachrichtigt werden, wenn unsere Artikel veröffentlicht? Geben Sie einfach Ihre E-Mail-Adresse und den Namen unter den ersten sein, wissen.