Ripristinare i file crittografati con crittografia RSA. Rimuovere CryptoWall e altri ransomware manuale - Come, Tecnologia e Security Forum PC | SensorsTechForum.com
MINACCIA RIMOZIONE

Ripristinare i file crittografati con crittografia RSA. Rimuovere CryptoWall e altri ransomware manuale

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

password forza bruta-stforumCrittografie ransomware e le infezioni hanno creato il caos del valore di circa 18 milioni di USD. Questo tipo di attacchi proviene da cavalli di Troia con script preprogrammati che cifrano i file degli utenti in principalmente algoritmi di crittografia AES e RSA. Infezioni ransomware sono diventati un grave pericolo per gli utenti inesperti che allegati di posta elettronica di solito aperti senza pensare attentamente la loro legittimità. La minaccia in sé può essere rimosso con un particolare programma anti-malware, tuttavia, restano i file crittografati. Questo è un tutorial per aiutare gli utenti a decifrare RSA dati crittografati. I metodi di seguito sono stati consigliati da esperti e sono stati processati più volte dagli utenti con un buon risultato. Tuttavia ciò non garantisce che funzionerà per voi.

Che cosa è crittografia RSA Algorhytm?

Algoritmo di cifratura RSA è un tipo di linguaggio, in questo caso, cambia il codice normale del file con una chiave univoca. Questa chiave può essere decifrato tramite apposito software, ma richiede una macchina potente, in quanto si tratta di un processo time-costosa. Algoritmo RSA è stato impiegato dai virus ransomware più tradizionali che hanno provocato devastazioni enormi su scala globale - The CryptoWall Varianti(2.0, 3.0), BitCrypt e altri. In questo tutorial, vi mostriamo un possibile metodo per decifrare i file e il ripristino allo stato di lavoro precedente nel caso in cui si dispone di alcun backup del sistema operativo (OS). Dopo il tutorial, abbiamo fornito istruzioni su come attivare cronologia dei file di Windows in modo che i file possono essere salvati in modo è possibile proteggersi da attacchi futuri. Assicurati di prendere il vostro tempo e fare tutto da i passi in basso e le cose dovrebbero andare bene per voi.

Ransomware manuale di rimozione

Prima di fare questo, assicurarsi di eseguire il backup dati su una chiavetta USB o nulla di questa somiglianza. Dopo di che, assicuratevi di scaricare un software anti-malware stimabile che rileverà qualsiasi cosa fuori dal comune e vi assisterà con la rimozione della minaccia. Scaricalo ad un PC sicuro e metterlo sul vostro e avviare il computer in modalità provvisoria di Windows on-line utilizzando il seguente manuale:

1. Avviare il PC in modalità provvisoria per rimuovere ransomware
2. Rimuovere ransomware automaticamente con SpyHunter Removal Tool.

Ransomware file Restauro

Per questo particolare esercitazione, abbiamo utilizzato file di estensione .bitcrypt, crittografato ransomware, chiamato BitCrypt. Abbiamo utilizzato anche la versione di Ubuntu 14.04 che ci ha aiutato ad utilizzare uno speciale software appropriato per questa distribuzione. È possibile ottenere dalla pagina di download del loro sito web e È possibile:

-Installarlo con il sistema operativo per l'avvio di un drive USB in diretta.

-Installarlo su un drive virtuale (Raccomandato).

Qui abbiamo brevi tutorial sia per:

Installazione di Ubuntu sulla vostra macchina:

Passo 1: Ottenere un flash drive USB che ha sopra 2 GB di spazio.

Passo 2: Scarica il software gratuito, chiamato Rufus da qui e installarlo sul vostro Windows.

Step3: Configurare Rufus scegliendo NTFS come sistema e selezionare il drive USB come quello di essere creato come una USB avviabile. Dopo che l'immagine di boot di Linux dal seguente pulsante:

rufus

Assicurati di individuare e selezionare da dove è stato scaricato.

Step4: Dopo il flash drive è pronto, riavviare il computer, e dovrebbe eseguire l'installazione di Ubuntu. In caso contrario, si dovrebbe andare al menu BIOS premendo la combinazione di tasti BIOS all'avvio per il tuo PC (Di solito si tratta di F1) e da lì selezionare la prima opzione d'avvio per essere l'unità di avvio USB o un CD / DVD nel caso in cui avete bruciato Ubuntu su tale.

Installazione Di Ubuntu sul vostro Virtual Drive

Per questa installazione, è necessario scaricare VMware Workstation da loro pagina di download o qualsiasi altro programma Virtual Gestione unità. Dopo aver installato dovrebbe:

Passo 1: Creare una nuova unità virtuale.

Passo 2: Impostare le dimensioni dell'unità. Assicurarsi di avere un minimo di 20 gigabyte di spazio libero fro Ubuntu sul vostro computer. Anche scegliere 'Esegui come una singola unità'.

Passo 3: Selezionare l'immagine ISO. Per questa opzione, si deve sapere dove si trova.

Passo 4: Dopo di che giocare la macchina virtuale e installare automaticamente.

Decrittografia file

Una volta che avete Ubuntu o qualsiasi altra distribuzione Linux sul proprio computer aprire il terminale effettuando le seguenti:

Open-terminal

Quindi aggiornare il tuo Linux e installare la versione più grande di Python 3.2 digitando la seguente nel terminale:

→sudo apt-get update
sudo apt-get install python3.2

Anche, se il vostro Linux non ha sqlite3 modulo, installarlo digitando:

→sudo apt-get install sqlite3 libsqlite3-dev
sudo gem install sqlite3-ruby

Ora, dopo che abbiamo installato Python, abbiamo bisogno di scaricare uno script creato da 2014 Airbus Difesa e Spazio Cybersecurity. Per fare ciò cliccate su questo collegamento. Scarica il documento nella tua 'casa’ cartella dopo viene chiesto dove salvare esso. Tenere questo come decrypt.py nel caso in cui non viene salvata in questo formato.

Ora che abbiamo Python e lo script, è il momento di scoprire la chiave del file crittografato .bytrcypt. Per fare questa mossa i file crittografati ot cartella casa utilizzando il file manager:

File-manager

Dopo aver individuato tutti i file crittografati lì insieme al file "decrypt.py" digitare quanto segue nel terminale per avviare lo script:

→python ./decrypt.py "Your_Encrypted_Document_Name_and_Format"

Mostrerà un errore, e questo è del tutto normale fino a quando si vede questo codice:

codice

Questo è il codice RSA per questo file. Ora, abbiamo bisogno di decifrarlo, e siamo a metà strada. Per fare questo download un programma chiamato Cado-nfs2.0.tar.gz da loro pagina di download qui. Si consiglia la 2.0 versione. Tuttavia, la versione più recente è anche su un buon livello.

Verrà scaricato un file di archivio .tar (.file tar sono molto simili a .rar o .zip). Basta aprirlo e fare clic sul pulsante Estrai in alto e scegliere la 'Casa’ cartella. Dovrebbe sembrare come questo:

Estratto

Dopo l'abbiamo tutti i file estratti nella 'Home’ cartella, abbiamo bisogno di compilare Cado-NFS. Per farlo, aprire un altro terminale e digitate:

→cd cado-nfs-2.0
compiere

Dopo che questo è impostato, è il momento di eseguire il cracker chiave. Importante - questo processo può richiedere da alcune ore a giorni di essere finito. Per iniziare il tipo di processo nel vostro terminale cado-NFS cd:

→./factor.sh YOUR_UNIQUE_KEY_WHICH_IS_LETTERS_OR_NUMBERS_HERE -s 4 -t 6

Una volta completato il processo, si dovrebbe vedere la seguente:

→Informazioni:Fattorizzazione Complete: Cpu totale / real-time per ogni cosa: hhhh / dddd
LongNumber1 LongNumber2

Dopo abbiamo la chiave decodificata, abbiamo bisogno di inserire nello script "decrypt.py". A tale scopo, aprendo decrypt.py in un editor di testo e trovare questa parte di essa:

→known_keys = { molti numeri lunghi }

Abbiamo bisogno di aggiungere prima alla seconda fascia ("}") queste linee:

La chiave precedente, una colonna, parentesi aperta, LongNumber1, Virgola, LongNumber2, parentesi chiusa. Dovrebbe sembrare come questo:

→La chiave precedente:(LongNumber1, LongNumber2)

Sappiate che si dovrebbe fare una sola volta. Dopo questo è il momento di decodificare i file. Per fare questo tipo:

→pitone ./decrypt.py “Your_Encrypted_Document.docx.bitcrypt”

Eseguendo questo comando farà un file che si chiama “Your_Encrypted_Document.docx.bitcrypt.CLEAR”

Basta rinominare il file rimuovendo l'estensione .clear e si dovrebbe essere tutto a posto. Ripetere la procedura per gli altri file, nonché. Ma ricordate che prima si dovrebbe trovare le loro chiavi iniziali per decifrare loro. Dovreste essere in grado di aprirli ora. Ci auguriamo che questo funziona per voi.

Conclusione

La miglior difesa contro le minacce ransomware è sempre l'utente stesso. E 'fondamentale sapere quali file si apre e se le posizioni di questi file sono al sicuro o no. Tuttavia, se siete in un'organizzazione o da qualche parte in cui il computer si trova in un ambiente pubblico o di lavoro, apre sempre fino a un attacco diretto che è ancora più pericoloso. Un vero esperto dirà che il miglior computer è quella che viene spento, perché può avere le migliori difese, ma colui che fa gli errori non è la macchina, è l'uomo. È per questo che si dovrebbe sempre tenere abbastanza conoscenza e costruire il comportamento di utilizzo del PC che è orientata la sicurezza.

Scarica

Strumento di rimozione malware


Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter

Berta Bilbao

Berta è un ricercatore di malware dedicato, sognare per un cyber spazio più sicuro. Il suo fascino con la sicurezza IT ha iniziato alcuni anni fa, quando un suo di malware bloccato del proprio computer.

Altri messaggi

41 Commenti

  1. lucas va

    Buon pomeriggio,

    Ottengo l'errore : “[-] Piè di pagina del file Errore durante l'analisi” quando eseguo decrypt.py sul mio file crittografato …

    Replica
    1. BertaB (Autore Post)

      Ciao Lucas,

      Ciò può essere dovuto a uno dei seguenti motivi:

      1) Vecchia versione pitone.

      sudo apt-get update pitone

      2) Errore nel nome del file o il comando.

      Controllare il comando digitato con attenzione. Puoi dirmi qual è essa? Se è questo:

      pitone ./decrypt.py “MY CRIPTATO FILE.jpg.bitcrypt”

      va digitato con le staffe esattamente come visto sopra.

      3)Problemi con la 'decrypt.py’ file

      Nel caso in cui doesnt lavoro non dovreste provare a cercare il problema in quanto si rischia di perdere un sacco di tempo in questo modo.
      La cosa migliore è provare DecrypterFixer. Potete scaricarlo da qui:

      https://bitbucket.org/DecrypterFixer/malware_tools-1/get/fa4ec9df293b.zip

      Ha un 'decrypt.py ben fatto’ file e dovrebbe funzionare per voi.

      Nel caso il primo link web è rotto, prova questo:

      https://bitbucket.org/DecrypterFixer/malware_tools-1/get/fa4ec9df293b.zip

      Replica
      1. lucas va

        Ciao, Vi ringrazia per la risposta.
        Il mio file non è in estensione .bitcrypt perché mi è stato infettato da CryptoWall 3.0

        Cercherò vostre soluzioni, grazie.
        Io verrò a dare un feedback

        Replica
        1. John John

          Ciao ,, avete un po 'un'occhiata a questo,, recuperare i file? posso provare ,, Grazie

          Replica
  2. patrick

    Ciao,
    Ho lo stesso problema. I miei file sono anche infettati dal Cryptowall 3.0. E l'estensione è ccc. Posso usare questo script python per decifrare ? Ci sono altre soluzioni possibili ?
    grazie mille
    Patrick

    Replica
    1. BertaB (Autore Post)

      Ciao Patrick,

      Siamo spiacenti di apprendere i file sono stati crittografati da ransomware. L'estensione .ccc non può appartenere alla minaccia CryptoWall. Ci sono varianti di altri ransomware che pretendono di essere Cryptowall 3.0, forse perché è il più vizioso di tutti finora. C'è uno strumento che può aiutare, noto come Tesla decryptor. Maggiori informazioni nel link in basso.

      Abbiamo iniziato un nuovo argomento forum di sicurezza, con l'intenzione di aiutare il maggior numero possibile di utenti. Eccolo: http://sensorstechforum.com/forums/malware-removal-questions-and-guides/my-files-are-encrypted-with-the-ccc-extension-help!/

      Replica
      1. Parawi

        Ciao! Tutti i miei file sono stati crittografati per rsa4096, tutto ha l'estensione .mp3. Cosa dovrei fare? thks

        Replica
  3. Brently

    Ho un computer di mio VP alla mia scrivania in questo momento che ha il ransomware DecryptorMax. Ho rimosso il trojan e malware in modalità provvisoria, ma sto cercando un modo per decifrare i file. Questo ha le foto del bambino prima della neonata del mio VP dei primi due mesi della sua vita, così questi file sono molto importanti per lei. Essi non forniscono me il tempo di fare il decrypt Linux, così cercando uno strumento. Sperando Kaspersky esce con uno strumento per decifrare questi. Essi hanno l'estensione crinf. Ogni aiuto è apprezzato.

    Replica
    1. Milena Dimitrova

      Ciao Brently, stiamo per iniziare una discussione nel nostro forum su DecryptorMax, e stiamo anche andando alla ricerca in profondità. Potete per favore chiarire che cosa si intende dicendo 'Non stanno fornendo me il tempo di fare la decriptare Linux'?

      Grazie,

      il team STF

      Replica
  4. Gil

    Saluti,

    Sto ottenendo il seguente errore durante l'esecuzione decrypt.py

    python3.4 ./decrypt.py test.bitcrypt
    File “./decrypt.py”, linea 99
    stampare “uso: %s ” % sys.argv[0]
    ^
    SyntaxError: Parentesi a chiamata mancante 'stampa’

    Qualsiasi aiuto sarebbe grande.

    Grazie,

    Gil

    Replica
    1. Milena Dimitrova

      Ciao Gil,

      Cosa ransomware stai occupando?

      Si prega di unirsi al nostro forum e seguire l'argomento relativo SyntaxError: Parentesi mancante nella chiamata a 'print':

      http://sensorstechforum.com/forums/malware-removal-questions-and-guides/how-to-fix-decrypt-py-'syntaxerror-missing-parentheses-in-call-to-print/

      Replica
  5. Parlantina

    e allora… solo per ricontrollare se non c'è punto e nessuna copia shadow ripristino, non c'è modo per ottenere i file di ritorno da cryptowall 3.0 correggere?
    Saluti

    Replica
  6. Yohji

    avete un metodo per decodificare i file crittografati utilizzando cryptowall 4

    Replica
    1. Milena Dimitrova

      Ciao Yohji,

      Stai fare con CryptoWall 4.0?

      Replica
      1. Parlantina

        Vuoi aiutarmi con cryptowall 3.0 Per favore.
        Saluti

        Replica
        1. Milena Dimitrova

          Ciao Gab,

          Potete per favore iniziare una discussione qui: http://sensorstechforum.com/forums/malware-removal-questions-and-guides/

          grazie in anticipo :)

          Replica
      2. KJ

        Ciao,
        I miei file sono stati infettati da cryptowall 4.0 con '' help_your_files.
        Ho rimosso il cryptowall 4.0 utilizzando software anti-malware.
        Posso usare il “decrypt.py” script per scoprire la chiave dei file crittografati da cryptowall 4.0?
        Potrebbe dirmi se avete altre soluzioni possibili per il ripristino dei file crittografati?

        Saluti

        Replica
      3. Mehmet

        Ciao,
        Ho anche la stessa problema con il virus muro di crittografia, ma non so esattamente,che è la versione.
        Ci sono in ogni cartella una foto con HELP_YOUR_FILES

        ei seguenti formati di file ; .DZ7 .O1R .7FT .1Q .7429D .0PQGL .BR4 .7UV .2PF Etc.…

        Potete per favore mi aiuti?
        Ho le foto molto wichige e documenti di testo.
        Mfg Mehmet

        Replica
        1. Fran

          Hola Mehmet, Sei riuscito a risolvere i file? Il mio virus era lo stesso file come la tua.

          Replica
        2. Effesse72

          Good morning, my problem is the same of your since 05/01/2016!

          Replica
  7. Vencislav Krustev

    Ciao, KJ per quanto ne sappiamo finora la maggior parte dei metodi per decifrare i file crittografati da cryptowall 4.0 hanno dimostrato di non avere successo anche da parte delle forze dell'ordine. Tuttavia ciò che si può provare è porre una domanda nel Cryptowall 4.0 topic nel nostro forum e aspettare di vedere se si ottiene alcun aiuto da altri utenti ed esperti interessati a questo argomento. Ecco il link tema, ci sono anche alcune istruzioni incluse:

    http://sensorstechforum.com/forums/malware-removal-questions-and-guides/how-to-remove-cryptowall-4-0-and-restore-your-data/

    Replica
  8. Marc

    Qualcuno è stato in grado di decifrare CryptoWall 3.0 file crittografati (2048 bit encryption) Utilizzando questo metodo?

    Replica
  9. Yannick

    Ciao,
    Essendo stati infettati con uno di questi virus, Mi chiedo che perché ha un gran numero di file crittografati con l'aggiunta di una proroga ogni volta vvv, che lo rende invisibile e mettendo in ogni sottodirectory diversi file denominati “how_recover” ? Così che cosa è questo virus e quale metodo per trovare i suoi file crypés lì ?
    Grazie mille.

    Cordialmente
    Yannick

    Replica
    1. Milena Dimitrova

      Ciao Yannick,

      Sfortunatamente, sei stato attaccato da TeslaCrypt. Maggiori informazioni sulla ransomware qui: http://sensorstechforum.com/remove-teslacrypt-and-restore-vvv-encrypted-files/.

      Replica
  10. Yannick

    Ciao,

    Grazie mille. Sì, quindi non c'è nulla da fare per recuperare i file….

    Replica
  11. Cornel Goran

    Ciao! Ho anche alcuni file crittografati che mi piacerebbe per decifrare. Ho 2 file “5k5m3y.1mm” e “8co7o3co.ze4ha” e sembrano come questo se provo a modificarli con il notepad: http://i.imgur.com/NIJozDk.png

    Per prima cosa, come faccio a sapere che cosa ha causato questo virus?

    Replica
    1. Vencislav Krustev

      Ciao @Corel Goran
      Questo è tipico per le infezioni, come ransomware CTB Locker e CryptoWall 4.0. Al fine per me essere in grado di fornire in modo adeguato con l'assistenza Vorrei a mandarmi un elemento di cattura o di uno screenshot di qualsiasi messaggio riscatto che si può vedere. Può essere un file txt sul desktop o una foto, chiamato come questo, per esempio:

      • Help_Decrypt_Your_Files
      • Help_Your_Files
      • HELP_DECRYPT

      Fissare le schermate nella risposta a questa discussione nel nostro forum in modo che i nostri esperti sono in grado di pertinenza si assistere il modo migliore possibile:

      Forum Argomento per collegare il Schermata

      Replica
  12. Carsten

    Ciao.
    Ha ottenuto lo stesso problema dal Giovedi di questa settimana. I file crittografati hanno estensione .micro. disco di ripristino Kaspersky riportato trojan-ransom.win32.bitman.fay di essere la minaccia.
    Funziona il procedimento sopra descritto per .micro file pure?
    Molte grazie per qualsiasi aiuto.

    Replica
    1. Carsten

      aggiunta:
      Ho trovato alcuni file nella cartella Documenti cartella denominata recover_file _ *** random_text ***. Txt che sembrano contenere chiavi. Può eventualmente essere queste le chiavi per essere recuperato utilizzando phyton come descritto in precedenza?

      Replica
  13. Joel

    come Carsten, Ho lo stesso problema con la “.micro” file.
    E come lui, Ho qualche file di nome “recover_file….txt”. Qualche idea su come usarli e se questa soluzione funziona con file di .micro?
    Grazie

    Replica
  14. Mauzinh0

    Stesso problema con il file * .micro
    stesso recuperare…txt
    Qualche notizia?
    Grazie

    Replica
  15. nf

    Ciao, Ho anche il problema con l'estensione * .micro.

    Replica
  16. William

    I miei file sono stati registrato con l'estensione .locky, che il virus mi ha aggredito? e guide per recuperare me raccomandare

    Atte
    William

    Replica
  17. stef

    Ciao, Ho il file * .html HELP_FILE e PNG
    I miei file ora hanno nomi ed estensioni aelatoires.
    La pulizia viene effettuata senza problemi.
    Sul loro sito web in cui si deve pagare, Ho appena fatto un file di decrittazione 512 max ko gratis, Così ora ho il vecchio file crittografato 0sqn1xx.dh1w e lo stesso file decriptato : decifrati-File.jpg
    Non sarebbe dopo questi 2 file, ricostruire la chiave RSA di ?? per rendere tutti gli altri file.
    Grazie mille, Mi piace il tuo lavoro.
    stef

    Replica
    1. Berta Bilbao (Autore Post)

      Ciao, Questo sembra essere CryptoWall 4.0. Ha una forte crittografia, quindi senza la chiave che sta per essere molto difficile da decifrare i file. I due file non sono in possesso di una chiave di decrittazione in se stessi, ma potrebbe aiutare un programma di decrittografia per vedere una somiglianza nel suo database e trovare una password.

      Provare Rakhni Decryptor da Kaspersky – si tratta di uno strumento gratuito e con l'aiuto dei due file potrebbe trovare un file chiave sul computer, se non è eliminata. Anche, date un'occhiata al consigli su CryptoWall 4.0 nel nostro forum.

      Replica
  18. Vinny

    Ciao, Ho fatto i comandi e ho ricevuto l'errore footer della pagina… il file è crittografato con la “.locky” estensione. c'è qualcosa che potevo fare?

    Replica
  19. Oswaldo Leonett

    Ciao,
    Ho lo stesso problema. I miei file sono anche infettati da redshitline(a)india.com e l'estensione è xtbl- Posso usare questo script python per decifrare ? Ci sono altre soluzioni possibili ?

    Oswaldo

    Replica
  20. Marco

    Hy Berta,
    Ho infettato un mese fa da cryptowall 4.0, lo stesso di Oswaldo Leonett e dovrei sapere come fare… Le istruzioni contenute in questo articolo sono valide anche per cryptowall 4? Se corro .py sceneggiatura posso sperare di decifrare i miei file dello script funzionano fino alla versione 3.0 di cryptowall?
    Sono Ci alcune nuove informazioni su Cryptowall 4?

    Replica
  21. Marco

    Mi correggo, l'infezione contratta è lo stesso di Stef con qualche HELP_FILE * .html e PNG.

    Replica
  22. Karl Kristian dall

    Tutti i file sono criptati con RSA – 2048 e EAS -128 . INFORMAZIONI om SA kan ses på da.Wikipedia. org / wiki / RSA. E da.Wikipedia. org / wiki / Advanced Encryption Standard
    Decrittografia dei server del segreto sui link
    Hw5qrh6fxv2tnaqn.tor2web.org/17572E56401D80
    Non oso fare clic su di essi, Forse non vi è più il virus. Essi saranno probabilmente il pagamento per decifrare, e accedere alla mia carta di credito.

    qualcosa si può fare.
    Grazie in anticipo
    Mvh. Karl

    Replica
  23. KD Samir

    Ciao
    L'hacker crittografa tutti i file e mi ha chiesto di riscatto
    Non ho soldi.
    Potete aiutare?
    Se è così io mando i file (originale – coded) trovare il codice.
    tipo di crittografia :
    CryptoLocker
    chiave pubblica RSA-2048 ha generato

    Replica

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...