Trova decrittografia chiave per i file crittografati da ransomware

Trova decrittografia chiave per i file crittografati da ransomware

fix-tuo-malware-problema-sensorstechforumCrypto-virus sono una minaccia crescente che mira a trasformare la giornata il contrario, facendo si paga per i cyber-criminali per le chiavi che sono stati crittografati. E ciò che è peggio è che i cyber criminali costantemente continuare a sviluppare nuovi e più sofisticati modi per aumentare la difesa dei loro virus, attuazione di chiavi di crittografia combinati che viaggiano in modo sicuro ai loro server. Tuttavia, ci sono ancora quei virus ransomware che inviano informazioni in chiaro, permettendo, l'utente a fiutare il traffico dal computer e con la fortuna per ottenere la chiave di decrittazione dei file. Abbiamo progettato di fare un tutorial, che è il più semplice possibile per spiegare teoricamente come si potrebbe rilevare la chiave di decrittazione per fiutare il traffico web utilizzando Wireshark.

Consigli utili: Prima di poter realmente impegnarsi in qualsiasi rete sniffing o altri metodi abbiamo suggerito qui di seguito, è urgentemente consiglia di farlo da un sistema informatico sicuro e protetto influenzato da qualsiasi tipo di minacce informatiche. Se si vuole fare in modo che il sistema informatico è 100% sicuro mentre si sta seguendo queste istruzioni, gli esperti consigliano spesso scaricare un avanzato strumento anti-malware che viene aggiornato di frequente e dispone di next-gen protezione attiva contro i virus per vedere se il vostro PC è al sicuro:

Scarica

Strumento di rimozione malware


Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter

Come funziona - Breve spiegazione

Tenete a mente che questa soluzione è solo teorica da diversi virus ransomware svolgono diverse attività sul PC degli utenti. Per chiarire meglio che, maggior parte dei virus ransomware usano algoritmo di crittografia - un linguaggio criptico sostituendo il codice della lingua originale dei file, rendendoli inaccessibili. I due algoritmi di crittografia più diffusi sono RSA e AES algoritmi di crittografia. Entrambi sono estremamente forti e impenetrabile. In passato, la maggior parte degli autori di malware utilizzato una sola cifra la crittografia in modo speciale. L'azione standard per il virus ransomware era il seguente risultato:

  • Goccia è payload.
  • Modificare l'editor del Registro di Windows per eseguire all'avvio o dopo l'azione specifica è fatta.
  • Eliminare i backup ed eseguire altre attività.
  • Crittografare i file.
  • Invia la chiave di decrittazione in un file o come una comunicazione direttamente al comando e controllo (C&C) centro dei cyber-criminali.
  • Goccia è Nota di riscatto e altri file di supporto che notificano l'utente di questo "complicazione".

Tuttavia, dal momento che i ricercatori di malware hanno unito le loro risorse e mettere un grande sforzo per rilevare i codici nelle chiavi di difetti o la cattura di decrittazione e sviluppare decrypters libere, gli autori di malware hanno anche fatto abbastanza i miglioramenti stessi. Uno di questi miglioramenti è l'implementazione di una crittografia a due vie, utilizzando una combinazione di RSA e AES algoritmi di crittografia.

In breve, essi non solo crittografare i file con una delle cifre, ma ora usano anche un secondo algoritmo di crittografia per cifrare la chiave di decrittazione in un file speciale che viene poi inviato ai server. Questi file sono impossibili da decifrare, e gli utenti sono irrimediabilmente alla ricerca di metodi alternativi per decifrarli.

Per ulteriori informazioni su questo metodo di crittografia, per favore visita:

Ransomware Encryption spiegato - perché è così efficace?

Un'altra tattica i cyber criminale "sviluppatori" ha iniziato da usare è un cosiddetto block chaining cifrario. Si tratta di una modalità che ha spiegato brevemente, rompe il file se si tenta di manometterlo, effettuare qualsiasi forma di recupero del tutto impossibile.

Così, qui è dove siamo. A questo punto, ci sono anche nuovi sviluppi nel mondo del ransomware, che devono ancora essere rivelata.

E 'molto difficile rimanere davanti ransomware, ma nonostante tutto, abbiamo deciso di mostrare come utilizzare Wireshark a vostro vantaggio e, auspicabilmente, intercettare il traffico HTTP nel momento giusto. Tuttavia, tenere a mente che queste istruzioni sono TEORICO, e ci sono molti fattori che possono impedire loro di lavorare in una situazione reale. Ancora, è meglio che non cercando prima di pagare il riscatto, destra?

Utilizzando Wireshark per trovare decrittografia chiave

Prima di scaricare e utilizzare Wireshark - uno dei network più usato sniffer là fuori, si dovrebbe avere eseguibile del malware sul standby e infettare il computer, ancora una volta. Tuttavia, tenere a mente che alcuni virus ransomware eseguire nuova crittografia ogni volta che un computer viene riavviato e, così si dovrebbe anche configurare Wireshark per l'esecuzione automatica all'avvio. Cominciamo!

Passo 1: Scarica Wireshark sul computer cliccando sui seguenti pulsanti( per la versione di Windows)

Scarica

Wireshark

Passo 2: Correre, configurare e imparare a fiutare i pacchetti con Wireshark. Per informazioni su come avviare l'analisi dei pacchetti e verificare dove i pacchetti di salvare i dati, si dovrebbe aprire Wireshark e poi scegliere la vostra interfaccia di rete attiva per l'analisi dei pacchetti. Per la maggior parte degli utenti, che sarebbe l'interfaccia con il traffico rimbalzare su e giù su di esso è giusto. Si consiglia di scegliere e fare clic due volte veloce per iniziare sniffing:

1-decriptare-files-Wireshark-sensorstechforum

Passo 3: sniffing di pacchetti. Poiché i virus ransomware comunicano tramite il traffico HTTP, si dovrebbe filtrare tutti i pacchetti prima. Ecco come i pacchetti appaiono inizialmente dopo aver scelto l'interfaccia e intercettare il traffico da esso:

2--chiavi di decrittazione ransomware-mixed-sensorstechforum

Per intercettare solo il traffico HTTP, si dovrebbe digitare quanto segue nella barra filtro di visualizzazione:

http.request - Intercettare il traffico richiesto

Una volta filtrato dovrebbe assomigliare a questo:

http-traffico-sensorstechforum filtrata

È inoltre possibile filtrare gli indirizzi IP di origine e destinazione scorrendo verso l'alto e verso il basso e la scelta di un indirizzo, poi a destra cliccando su di esso e la navigazione verso il seguente funzione:

Filtro-host-to-sensorstechforum

Passo 4: Configurare Wireshark per l'esecuzione automatica. Per farlo, primo, si dovrebbe andare al prompt dei comandi del computer digitando cmd sulla vostra ricerca di Windows ed eseguirlo. Da lì, digitare il seguente comando con il capitale "-D" l'impostazione per ottenere la chiave univoca per l'interfaccia. Le chiavi dovrebbe essere simile alla seguente:

Wireshark-keys-sensorstechforum

Passo 5: Copiare la chiave per la connessione attiva e creare un nuovo documento di testo e in essa scrivere il seguente codice:

→ Wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

È possibile inoltre modificare il comando con l'aggiunta del -w lettera e la creazione di un nome per il file che verrà salvarlo sul vostro computer, consentendo di analizzare i pacchetti. Il risultato dovrebbe essere simile a questa:

Wireshark-sensorstechforum-file di testo

Passo 6: Salvare il documento di testo appena creato in un file .bat, andando a File> Salva con nome ... e scegliendo Tutti i file dopo il quale la digitazione bat come estensione di file, come l'immagine qui sotto mostra. Assicurarsi che il nome del file e la posizione in cui si salva sono facili da trovare:

sensorstechforum-pic-Wireshark-save-as-tutti-files

Passo 7: Incollare il file .bat nella cartella di avvio di Windows. La posizione originale della cartella è:

→ C:\Utenti nome utente AppData Roaming Menu Microsoft Windows Start Programmi Esecuzione automatica,/p>

Per accedere facilmente, stampa Pulsante Windows + R combinazione di tasti e nel tipo di dialogo Window - shell:avviare, come l'immagine qui sotto mostra e fare clic su OK:

shell-startup-bat-file-sensorstechforum
Wireshark-startup-sensorstechforum

Dopo che il computer viene riavviato, se il virus ransomware crittografia dei file dopo che genera una chiave e lo invia ai cyber-criminali’ server, si dovrebbe essere in grado di intercettare i pacchetti di comunicazione e analizzarli.

Passo 8: Come analizzare il traffico?

Per analizzare il traffico di un dato pacchetto, semplicemente il tasto destro del mouse e poi clicca sul seguente per intercettare il traffico:

intercetta-traffico-sensorstechforum-ransomware

Dopo aver fatto questo, Apparirà una finestra con le informazioni. Assicurati di controllare con attenzione le informazioni e cercare le parole chiave che danno via le chiavi di crittografia, come criptato, RSA, AES, etc. Prendete il vostro tempo e verificare le dimensioni dei pacchetti ', assicurarsi che essi sono simili alle dimensioni di un file di chiave.

intercetta-stream-sensorstechforum-intercettate

Sniffing ransomware decifratura Keys - cose che dovete sapere

Come accennato prima, questo tutorial è completamente teorico e nel caso in cui non è possibile far fronte con esso e annusare le chiavi, Vi consigliamo vivamente di rimuovere il ransomware che ha infettato e tentare il ripristino dei file utilizzando le istruzioni passo-passo sotto. Anche, se avete intenzione di tentare questo metodo, abbiamo fortemente consigliamo di provarlo prima sul computer e vedere il traffico. Un esempio di come i ricercatori hanno identificato il traffico dal ransomware è il ricerca, eseguita da esperti di rete Paloalto su Locky ransomware, che abbiamo anche Ti consigliamo di controllare.

Vencislav Krustev

Un amministratore di rete e ricercatore di malware presso SensorsTechForum con passione per la scoperta di nuovi cambiamenti e le innovazioni in materia di sicurezza informatica. Forte credente nella formazione di base di ogni utente verso la sicurezza on-line.

Altri messaggi - Sito web

5 Commenti

  1. WATERCHILD

    Ho cercato di seguire le vostre raccomandazioni circa Wireshark e in qualche modo mi arrivare a trovare diverse linee che contengono la seguente descrizione in “Informazioni”:

    “Server Ciao, Certificato, stato del certificato, scambio di chiavi Server, Ciao Server fatto”
    “scambio di chiavi client, Change Cipher Spec, Stretta di mano messaggio cifrato”
    Poi Dati applicazioni……

    E questo va avanti tutto il tempo tra una fonte e una destinazione (sempre la stessa).

    Posso fare un click destro sulla linea, poi “seguire” e “TCP” : si apre una finestra con un dialogo, ma non so se sono riuscito a trovare in esso una “chiave” e non so neanche come riconoscerlo. Non sembra come un testo comune, ma include un mix tra le parole, indirizzi netti, simboli…

    Supponiamo che sia possibile Ang trovo, come poi ho Coul uso? Non saprei come costruire la mia decryptor di lavoro.

    C'è qualcuno qui che ne sa più di tutto questo e ha cercato il modo di wireshark sniffing e avrebbe qualche consiglio per aiutarmi a utilizzare il software e arrivare a scoprire il mio “chiave”?

    Grazie per il tuo tempo

    Replica
    1. Vencislav Krustev

      Ciao, vedere i seguenti filtri che è possibile utilizzare sulla scatola del filtro sulla parte superiore dove i pacchetti sono del software Wireshark:

      1. ip.addr == 10.0.0.1 [Imposta un filtro per ogni pacchetto con 10.0.0.1, sia come
      sorgente o]

      2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [imposta
      un filtro conversazione tra i due indirizzi IP definiti]

      3. http o DNS [imposta
      un filtro per visualizzare tutte le HTTP e DNS]

      4. tcp.port == 4000
      [imposta un filtro per ogni pacchetto TCP con 4000 come sorgente o porta di destinazione]

      5. tcp.flags.reset == 1
      [visualizza tutte le reset TCP]

      6. http.request
      [visualizza tutte le richieste HTTP GET]

      7. tcp contiene
      traffico [visualizza tutti i pacchetti TCP che contengono la parola 'traffico'.
      Eccellente durante la ricerca su una stringa specifica o ID utente]

      8. !(ARP o ICMP o
      DNS) [maschere fuori arp, ICMP, DNS, o qualsiasi altri protocolli possono essere
      rumore di sottofondo. Permettendo di concentrarsi sul traffico di interesse]

      9. UDP contiene
      33:27:58 [imposta un filtro per i valori esadecimali di 0x33 0x27 0x58 in qualsiasi
      compensare]

      10. tcp.analysis.retransmission
      [visualizza tutte le ritrasmissioni nella traccia. Aiuta quando rintracciare lento
      le prestazioni delle applicazioni e la perdita di pacchetti]

      Ho estratto questi filtri utili da:

      http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html

      È inoltre possibile trovare altre raccomandazioni utili lì. Anche, tenere a mente che si dovrebbe concentrare sul traffico POST quando l'infezione ha luogo. Se avete il campione di malware, cercare di reinfect un computer di prova durante il monitoraggio dei pacchetti. Questo può aiutare a ottenere una comprensione più profonda su come il comunica di malware.

      In aggiunta a questo, quando tu “Segui TCP stream” di un dato pacchetto, Wireshark ha la cosiddetta “SSL Dissector” che in alcuni casi può essere utilizzato per decifrare alcuni dei dati in là e dare un senso di esso. Ransomware è in continua evoluzione, comunque e non può anche inviare direttamente la chiave di decrittazione, ma invece caricare un file .KEY ai cyber-criminali’ server di comando che è anche crittografati con una procedura forte. Quindi, se si sta utilizzando Wireshark, prima assicurarsi che il virus non crea un tale file e lo invia direttamente le informazioni tramite TCP o altra forma.

      Replica
  2. Santos Ariel

    E 'lavorare con Cerber ransomware?

    Replica
  3. Calin

    Sono stato infettato da spora. Ho il file html con il mio ID e un sacco di coppie con i file criptati criptati e non. Si può estrarre le chiavi encription da tutti questi, al fine di decript il resto dei miei file? O fai a sapere che qualcuno che può farlo? Grazie.
    [email protected]

    Replica

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...
Attendere prego...

Iscriviti alla nostra Newsletter

Vuoi essere avvisato quando il nostro articolo è pubblicato? Inserisci il tuo indirizzo e-mail e il nome sottostante per essere il primo a sapere.