.WNCRY .WCRY Virus - Prova per decodificare i file (Aggiornamento luglio 2017)

In questo articolo si propone di fornire le istruzioni su diversi metodi su come cercare di ripristinare la .WNCRY file crittografati dalla seconda versione del ransomware WannaCry noto anche come Wana Decrypt0r 2.0, WanaCrypt0r 2.0 e WCry.

“EternalBlue” e “DoublePulsare” sono i nomi degli exploit utilizzati dall'organizzazione diffondere l'infezione di file .WNCRY e quel che è peggio è che essi erano trapelate on-line da qualche parte in prossimità delle festività pasquali da un'entità hacker conosciuto come “l'ombra” Brokers. Questo exploit è principalmente affrontando i problemi in sistemi Windows in modo da chiunque che non è ancora stato infettato da questo virus è fortemente consigliato per il backup del sistema e poi aggiornarlo.

Nel caso in cui sei diventato una vittima di questo virus ransomware, abbiamo creato diversi metodi che potrebbero rivelarsi utili per aiutare a recuperare i file. I metodi non sono garantiti per funzionare, ma sono sicuramente il più vicino si può arrivare a ripristino dei file, quindi vi consigliamo di seguire noi e loro di fare tutte le domande sul nostro Supporto Discussione su WannaCry ransomware.

Aggiornamento maggio 2017: i ricercatori di malware sono in corso di sviluppo di un decrypter per la WannaCry 2.0 virus ransomware. Abbiamo creato le istruzioni di decrittazione che aggiorneremo man mano che avanzano sullo sviluppo. Finora non v'è un metodo per individuare le chiavi private RSA. Per maggiori informazioni, si prega di seguire il relativo articolo qui sotto:

Correlata:Wana Decrypt0r 2.0 – Decifrare i file cifrati

Metodo 1: Usare Wireshark ad annusare decrittografia Keys

E 'molto difficile rimanere davanti ransomware, come WannaCry, ma nonostante tutto, abbiamo deciso di mostrare come utilizzare Wireshark a vostro vantaggio e, auspicabilmente, intercettare il traffico HTTP nel momento giusto. Tuttavia, tenere a mente che queste istruzioni sono TEORICO, e ci sono molti fattori che possono impedire loro di lavorare in una situazione reale. Ancora, è meglio che non cercando prima di pagare il riscatto, destra?

Prima di scaricare e utilizzare Wireshark - uno dei network più usato sniffer là fuori, si dovrebbe avere eseguibile del malware sul standby e infettare il computer, ancora una volta. Tuttavia, tenere a mente che alcuni virus ransomware eseguire nuova crittografia ogni volta che un computer viene riavviato e, così si dovrebbe anche configurare Wireshark per l'esecuzione automatica all'avvio. Cominciamo!

Passo 1: Scarica Wireshark sul computer cliccando sui seguenti pulsanti( per la versione di Windows)

Scarica

Wireshark

Passo 2: Correre, configurare e imparare a fiutare i pacchetti con Wireshark. Per informazioni su come avviare l'analisi dei pacchetti e verificare dove i pacchetti di salvare i dati, si dovrebbe aprire Wireshark e poi scegliere la vostra interfaccia di rete attiva per l'analisi dei pacchetti. Per la maggior parte degli utenti, che sarebbe l'interfaccia con il traffico rimbalzare su e giù su di esso è giusto. Si consiglia di scegliere e fare clic due volte veloce per iniziare sniffing:

1-decriptare-files-Wireshark-sensorstechforum

Passo 3: sniffing di pacchetti. Poiché i virus ransomware comunicano tramite il traffico HTTP, si dovrebbe filtrare tutti i pacchetti prima. Ecco come i pacchetti appaiono inizialmente dopo aver scelto l'interfaccia e intercettare il traffico da esso:

2--chiavi di decrittazione ransomware-mixed-sensorstechforum

Per intercettare solo il traffico HTTP, si dovrebbe digitare quanto segue nella barra filtro di visualizzazione:

http.request - Intercettare il traffico richiesto

Una volta filtrato dovrebbe assomigliare a questo:

http-traffico-sensorstechforum filtrata

È inoltre possibile filtrare gli indirizzi IP di origine e destinazione scorrendo verso l'alto e verso il basso e la scelta di un indirizzo, poi a destra cliccando su di esso e la navigazione verso il seguente funzione:

Filtro-host-to-sensorstechforum

Passo 4: Configurare Wireshark per l'esecuzione automatica. Per farlo, primo, si dovrebbe andare al prompt dei comandi del computer digitando cmd sulla vostra ricerca di Windows ed eseguirlo. Da lì, digitare il seguente comando con il capitale "-D" l'impostazione per ottenere la chiave univoca per l'interfaccia. Le chiavi dovrebbe essere simile alla seguente:

Wireshark-keys-sensorstechforum

Passo 5: Copiare la chiave per la connessione attiva e creare un nuovo documento di testo e in essa scrivere il seguente codice:

→ Wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

È possibile inoltre modificare il comando con l'aggiunta del -w lettera e la creazione di un nome per il file che verrà salvarlo sul vostro computer, consentendo di analizzare i pacchetti. Il risultato dovrebbe essere simile a questa:

Wireshark-sensorstechforum-file di testo

Passo 6: Salvare il documento di testo appena creato in un file .bat, andando a File> Salva con nome ... e scegliendo Tutti i file dopo il quale la digitazione bat come estensione di file, come l'immagine qui sotto mostra. Assicurarsi che il nome del file e la posizione in cui si salva sono facili da trovare:

sensorstechforum-pic-Wireshark-save-as-tutti-files

Passo 7: Incollare il file .bat nella cartella di avvio di Windows. La posizione originale della cartella è:

→ C:\Utenti nome utente AppData Roaming Menu Microsoft Windows Start Programmi Esecuzione automatica,/p>

Per accedere facilmente, stampa Pulsante Windows + R combinazione di tasti e nel tipo di dialogo Window - shell:avviare, come l'immagine qui sotto mostra e fare clic su OK:

shell-startup-bat-file-sensorstechforum
Wireshark-startup-sensorstechforum

Dopo che il computer viene riavviato, se il virus ransomware crittografia dei file dopo che genera una chiave e lo invia ai cyber-criminali’ server, si dovrebbe essere in grado di intercettare i pacchetti di comunicazione e analizzarli.

Passo 8: Come analizzare il traffico?

Per analizzare il traffico di un dato pacchetto, semplicemente il tasto destro del mouse e poi clicca sul seguente per intercettare il traffico:

intercetta-traffico-sensorstechforum-ransomware

Dopo aver fatto questo, Apparirà una finestra con le informazioni. Assicurati di controllare con attenzione le informazioni e cercare le parole chiave che danno via le chiavi di crittografia, come criptato, RSA, AES, etc. Prendete il vostro tempo e verificare le dimensioni dei pacchetti ', assicurarsi che essi sono simili alle dimensioni di un file di chiave.

intercetta-stream-sensorstechforum-intercettate

Metodo 2: Utilizzando Python in Ubuntu

Il secondo metodo con cui si consiglia di cercare di recuperare i vostri file non è garantita anche al lavoro, ma si può avere successo nel caso in cui questa variante WannaCry ransomware utilizza la RSA (Rivest-Shamir-Adleman) crittografia per generare chiavi univoche per i file. Lo script di fattorizzazione stato originariamente progettato per CryptoWall ransomware, ma può essere utile per questa infezione nonché. In entrambi i casi, vi invitiamo a fare attenzione e di creare copie dei file crittografati quando seguendo le istruzioni riportate di seguito:

Per questo particolare esercitazione, abbiamo utilizzato file di estensione da un altro virus, chiamato BitCrypt. Abbiamo utilizzato anche la versione di Ubuntu 14.04 che ci ha aiutato ad utilizzare uno speciale software appropriato per questa distribuzione. È possibile ottenere dalla pagina di download del loro sito web e È possibile:

  • Installarlo con il sistema operativo per l'avvio di un drive USB in diretta.
  • Installarlo su un drive virtuale (Raccomandato).

Qui abbiamo brevi tutorial sia per:

Installazione di Ubuntu sulla vostra macchina:

Passo 1: Ottenere un flash drive USB che ha sopra 2 GB di spazio.

Passo 2: Scarica il software gratuito, chiamato Rufus da qui e installarlo sul vostro Windows.

Step3: Configurare Rufus scegliendo NTFS come sistema e selezionare il drive USB come quello di essere creato come una USB avviabile. Dopo che l'immagine di boot di Linux dal seguente pulsante:

rufus

Assicurati di individuare e selezionare da dove è stato scaricato.

Step4: Dopo il flash drive è pronto, riavviare il computer, e dovrebbe eseguire l'installazione di Ubuntu. In caso contrario, si dovrebbe andare al menu BIOS premendo la combinazione di tasti BIOS all'avvio per il tuo PC (Di solito si tratta di F1) e da lì selezionare la prima opzione d'avvio per essere l'unità di avvio USB o un CD / DVD nel caso in cui avete bruciato Ubuntu su tale.

Installazione Di Ubuntu sul vostro Virtual Drive

Per questa installazione, è necessario scaricare VMware Workstation da loro pagina di download o qualsiasi altro programma Virtual Gestione unità. Dopo aver installato dovrebbe:

Passo 1: Creare una nuova unità virtuale.

Passo 2: Impostare le dimensioni dell'unità. Assicurarsi di avere un minimo di 20 gigabyte di spazio libero fro Ubuntu sul vostro computer. Anche scegliere 'Esegui come una singola unità'.

Passo 3: Selezionare l'immagine ISO. Per questa opzione, si deve sapere dove si trova.

Passo 4: Dopo di che giocare la macchina virtuale e installare automaticamente.

Decrittografia file

Una volta che avete Ubuntu o qualsiasi altra distribuzione Linux sul proprio computer aprire il terminale effettuando le seguenti:

Open-terminal

Quindi aggiornare il tuo Linux e installare la versione più grande di Python 3.2 digitando la seguente nel terminale:

→sudo apt-get update
sudo apt-get install python3.2

Anche, se il vostro Linux non ha sqlite3 modulo, installarlo digitando:

→sudo apt-get install sqlite3 libsqlite3-dev
sudo gem install sqlite3-ruby

Ora, dopo che abbiamo installato Python, abbiamo bisogno di scaricare uno script creato da 2014 Airbus Difesa e Spazio Cybersecurity. Per fare ciò cliccate su questo collegamento. Scarica il documento nella tua 'casa’ cartella dopo viene chiesto dove salvare esso. Tenere questo come decrypt.py nel caso in cui non viene salvata in questo formato.

Ora che abbiamo Python e lo script, è il momento di scoprire la chiave del file crittografato .bytrcypt. Per fare questa mossa i file crittografati ot cartella casa utilizzando il file manager:

File-manager

Dopo aver individuato tutti i file crittografati lì insieme al file "decrypt.py" digitare quanto segue nel terminale per avviare lo script:

→python ./decrypt.py "Your_Encrypted_Document_Name_and_Format"

Mostrerà un errore, e questo è del tutto normale fino a quando si vede questo codice:

codice

Questo è il codice RSA per questo file. Ora, abbiamo bisogno di decifrarlo, e siamo a metà strada. Per fare questo download un programma chiamato Cado-nfs2.0.tar.gz da loro pagina di download qui. Si consiglia la 2.0 versione. Tuttavia, la versione più recente è anche su un buon livello.

Verrà scaricato un file di archivio .tar (.file tar sono molto simili a .rar o .zip). Basta aprirlo e fare clic sul pulsante Estrai in alto e scegliere la 'Casa’ cartella. Dovrebbe sembrare come questo:

Estratto

Dopo l'abbiamo tutti i file estratti nella 'Home’ cartella, abbiamo bisogno di compilare Cado-NFS. Per farlo, aprire un altro terminale e digitate:

→cd cado-nfs-2.0
compiere

Dopo che questo è impostato, è il momento di eseguire il cracker chiave. Importante - questo processo può richiedere da alcune ore a giorni di essere finito. Per iniziare il tipo di processo nel vostro terminale cado-NFS cd:

→./factor.sh YOUR_UNIQUE_KEY_WHICH_IS_LETTERS_OR_NUMBERS_HERE -s 4 -t 6

Una volta completato il processo, si dovrebbe vedere la seguente:

→Informazioni:Fattorizzazione Complete: Cpu totale / real-time per ogni cosa: hhhh / dddd
LongNumber1 LongNumber2

Dopo abbiamo la chiave decodificata, abbiamo bisogno di inserire nello script "decrypt.py". A tale scopo, aprendo decrypt.py in un editor di testo e trovare questa parte di essa:

→known_keys = { molti numeri lunghi }

Abbiamo bisogno di aggiungere prima alla seconda fascia ("}") queste linee:

La chiave precedente, una colonna, parentesi aperta, LongNumber1, Virgola, LongNumber2, parentesi chiusa. Dovrebbe sembrare come questo:

→La chiave precedente:(LongNumber1, LongNumber2)

Sappiate che si dovrebbe fare una sola volta. Dopo questo è il momento di decodificare i file. Per fare questo tipo:

→pitone ./decrypt.py “Your_Encrypted_Document.docx.bitcrypt”

Eseguendo questo comando farà un file che si chiama “Your_Encrypted_Document.docx.bitcrypt.CLEAR”

Basta rinominare il file rimuovendo l'estensione .clear e si dovrebbe essere tutto a posto. Ripetere la procedura per gli altri file, nonché. Ma ricordate che prima si dovrebbe trovare le loro chiavi iniziali per decifrare loro. Dovreste essere in grado di aprirli ora. Ci auguriamo che questo funziona per voi.

Metodo 3: Utilizzo di tipi di file VHD e Data Recovery Software

Questo metodo è probabile che riportare i maggior parte dei file dei metodi sopra illustrate, puramente perché non cercare una soluzione diretta per decifrare i file crittografati che è impossibile se non si hanno le chiavi. Invece, utilizza diversi algoritmi per recuperare i file, trattandoli come se vengono cancellati. Uno dei tanti algoritmi utilizzati da diversi programmi di recupero dati è noto per essere basata su predizione delle diramazioni.

Il motivo per cui abbiamo deciso di far apparire questo metodo è che molte vittime di recente epidemia ransomware del Dharma ransomware, un altro virus undecryptable, erano in realtà in grado di ripristinare over 90% dei loro file utilizzando questo metodo.

La sua competenza principale principale è che sfrutta convertendo i file in un tipo di file VHD che è fondamentalmente una partizione del disco virtuale sul vostro PC. Quindi si tratta di file crittografato come divisorio. Poi, questa unità può essere avviato e si può tentare di eseguire la scansione la partizione stessa utilizzando software di recupero dati. Il metodo può non essere 100% garanzia, ma alcuni utenti hanno segnalato di essere di maggior successo di quelli di cui sopra. Qui ci sono le istruzioni per esso:

Passo 1: Assicuratevi di fare copie dei file crittografati .onion su un'altra unità o PC:

Passo 2: Dopo aver creato le copie, scaricare uno strumento che converte i file in formato VHD. Un buon strumento è un software di conversione VHD di Microsoft. Potete scaricarlo, cliccando sul pulsante qui sotto:


Scarica

VHDTOOL


Passo 3: Ora, assicurarsi di rinominare un file che si desidera recuperare nel estensione del file VHD. Per esempio, se il file è test.onion, dovrebbe essere test.vhd

Passo 4: Ora è necessario eseguire il VHDTOOL precedentemente scaricato da Command Prompt di Windows. Per farlo, eseguire dei comandi di Windows Prompt come amministratore digitando “cmd” in Windows Search e tasto destro del mouse dopo il quale la scelta di “Esegui come amministratore”.

Quindi digitare i seguenti comandi esattamente come sono:

→ CD {La posizione del file, per esempio C:\Users Lenovo Desktop}
vhdtool.exe / convert “{la posizione del file e il nome va qui}

Il risultato finale dovrebbe essere simile alla seguente immagine:

Passo 5: Dopo aver convertito l'unità in VHD, assicurarsi di montarlo sul vostro computer. Per farlo:

Fai clic destro su Il Mio Computer o Questo PC e quindi fare clic su “Gestire”

Quindi fare clic destro su Gestione disco dopo di che cliccare su Allega VHD

Quindi fare clic sul Navigare tasto per individuare e aprire la .file VHD

Dopodichè, per inizializzare il disco, tasto destro del mouse su di esso e fare clic su Nuovo volume semplice. Dopo questo clicca su Il Prossimo e configurarlo:

Alla fine, il volume dovrebbe apparire come la seguente:

Passo 6: Scaricare e ripristinare l'immagine VHD utilizzando software di recupero dati. Il software di recupero dati è necessario scaricare deve supportare l'opzione “Partition Recovery”. Ecco un elenco completo dei molteplici programmi di recupero dati in grado di recuperare partizioni:

IMPORTANTE! Se non si riesce a avviare il file come una partizione, si può anche fare una scansione diretta con il software di recupero dati per vedere se troverà uno qualsiasi dei tuoi file in questo modo.

Wana Decrypt0r 2.0 Conclusione e rimozione

Qualunque sia il caso, Vi terremo esaminando questo virus e l'aggiornamento con eventuali nuove istruzioni che sono disponibili per esso. Continuate a seguire i nostri post sul blog, Twitter e Google Plus di nuovi aggiornamenti su questa minaccia. Anche, assicurarsi di rimuovere questo virus nel caso in cui avete provato i metodi di cui sopra per ripristinare i file crittografati da essa. È possibile farlo controllando il nostro video di istruzioni su come rimuovere WannaCry. Esse comprendono anche alcuni metodi aggiuntivi per il ripristino dei file. Tenete a mente che queste non sono soluzioni dirette al problema e questo è il motivo per cui vi consigliamo di provare tutte le modalità illustrate in questo articolo e il video a proprio rischio.

Per la rimozione più efficace, i ricercatori di malware consigliano fortemente vittime di utilizzare un software avanzato anti-malware. Si farà in modo che il Wana Decrypt0r 2.0 minaccia è completamente rimosso e tutto il danno fatto da esso viene ripristinato. Installazione di tale software sul computer aumenta notevolmente la protezione in tempo reale contro le minacce in futuro.


Si consiglia vivamente di eseguire una scansione prima di acquistare la versione completa del software per assicurarsi che la versione corrente del malware può essere rilevato da SpyHunter.

Aggiornamento luglio 2017! WannaCry ha continuato a infettare le istituzioni con gli obiettivi in ​​Australia e in Europa, così. Molte imitazioni del virus sono uscito, imitando è richiesta di riscatto. Il virus ha colpito anche un ospedale, ritardare un intervento di un paziente.

Vencislav Krustev

Un amministratore di rete e ricercatore di malware presso SensorsTechForum con passione per la scoperta di nuovi cambiamenti e le innovazioni in materia di sicurezza informatica. Forte credente nella formazione di base di ogni utente verso la sicurezza on-line.

Altri messaggi - Sito web

  • Idris Ezzy

    Sinffer non aiuterà se il malware utilizza chiavi asimmetriche per Encrypt / Decrypt.

  • Andres Gonzalez

    primo, u bisogno di inserire il vostro prompt cartella dei file contenitore, secondo… non mi dispiace se sono realmente necessari virgole.
    condividere la vostra esperienza!

  • fondamentalmente, per attivare python è necessario inserire il software e la
    programmi nella cartella casa se si è in procinto di digitare il comando questo
    modo : )

  • anche, ti faccio sapere che lo script in questo articolo è stato originariamente progettato per altri virus che utilizzano la stessa combinazione RSA, che significa lo script decrypt.py è stato progettato per RSA solo. Allora questa chiave può essere usata per cercare di decifrare i file AES in qualche modo. Se si ottiene la chiave, Si prega di rispondere indietro e cercheremo di aiutare il miglior modo possibile.

    PS: Google .decrypt.py scripts for python for decryption, there are a lot of scripts for different RSA strenghts. The RSA encryption used by this virus is in 2048 bit strenght which is unfortunately, the strongest stable 🙁

  • donnola

    Ciao
    Thanks your article is excellent!
    I have tried to reproduce the Method 1 of your article but unfortunately I have only the encryption piece of the ransom or a variant. Would you mind to share it in some way I can test it? (I dont know how/where to contact you so I am posting here..) many thanks

Attendere prego...

Iscriviti alla nostra Newsletter

Vuoi essere avvisato quando il nostro articolo è pubblicato? Inserisci il tuo indirizzo e-mail e il nome sottostante per essere il primo a sapere.