Zoek Decryption Key voor bestanden versleuteld met Ransomware

Zoek Decryption Key voor bestanden versleuteld met Ransomware

fix-your-malware-probleem-sensorstechforumCrypto-virussen zijn een toenemende bedreiging die gericht is op de dag draaien de andere kant op, waardoor je betalen om cyber-criminelen voor sleutels die werden gecodeerd. En wat erger is, is dat cybercriminelen voortdurend blijven ontwikkelen van nieuwe en meer geavanceerde manieren om de verdediging van hun virussen te verhogen, uitvoering gecombineerd encryptiesleutels die veilig reizen naar hun servers. Echter, zijn er nog steeds mensen ransomware virussen die niet-versleutelde informatie te sturen, zodat u, de gebruiker te ruiken verkeer vanaf uw computer en met een beetje geluk de decryptie sleutel voor uw bestanden te krijgen. We hebben ontworpen om een ​​tutorial die is zo eenvoudig mogelijk om in theorie uitleggen hoe kunt u uw decryptie sleutel te detecteren door snuiven van uw webverkeer met behulp van Wireshark maken.

Nuttig advies: Voordat daadwerkelijk betrokken zijn bij een netwerk snuiven of andere methoden hebben we hieronder voorgesteld, Het is dringend aan te raden om het te doen vanuit een veilige en betrouwbare computer systeem niet beïnvloed door elke vorm van malware. Wilt u ervoor zorgen dat uw computer systeem 100% veilig terwijl u naar aanleiding van deze instructies, deskundigen adviseren vaak downloaden van een geavanceerde anti-malware tool die regelmatig wordt bijgewerkt en is voorzien van next-gen actieve bescherming tegen virussen om te zien of uw pc veilig is:

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Hoe het werkt - Korte Uitleg

Houd in gedachten dat deze oplossing is slechts theoretisch omdat verschillende ransomware virussen uit te voeren verschillende activiteiten op de gebruiker PC's. Om zo goed mogelijk duidelijk te maken dat, de meeste ransomware virussen gebruiken encryptie-algoritme - een cryptische taal vervanging van de oorspronkelijke taal code van de bestanden, waardoor ze ontoegankelijk. De twee meest gebruikte encryptie-algoritmen zijn RSA en AES encryptie-algoritmen. Beiden zijn extreem sterk en ondoordringbaar. In het verleden, de meeste schrijvers van malware gebruikt slechts één encryptie cipher op een bijzondere wijze. De standaard actie voor het ransomware virus was in de volgende consequentie:

  • Drop is het laadvermogen.
  • Wijzig de Windows Register-editor om te draaien bij het opstarten of na de specifieke actie wordt gedaan.
  • Verwijder back-ups en het uitvoeren van andere activiteiten.
  • Versleutelen van de bestanden.
  • Stuur de decryptie sleutel in een bestand of als communicatiemiddel rechtstreeks naar de command and control (C&C) midden van de cyber-criminelen.
  • Drop het losgeld nota en andere ondersteunende bestanden die de gebruiker van deze "complicatie" melden.

Echter, aangezien malware onderzoekers hun middelen hebben zich verenigd en zet een veel moeite om codes in de fout of capture decryptie sleutels op te sporen en de ontwikkeling van vrije decrypters, malware schrijvers hebben ook heel de verbeteringen zelf. Een van die verbeteringen is de implementatie van een two-way encryptie, een combinatie van RSA en AES encryptie-algoritmen.

In het kort, ze niet alleen uw bestanden te versleutelen met een van de cijfers, maar nu zij gebruiken een tweede encryptie-algoritme om de decryptie sleutel in een speciaal bestand dat dan op hun servers verzonden versleutelen. Deze bestanden zijn onmogelijk te decoderen, en de gebruikers zijn hopeloos op zoek naar alternatieve methoden om ze te decoderen.

Voor meer informatie over deze encryptiemethode, bezoek alstublieft:

Ransomware Encryption Explained - Waarom is het zo effectief?

Een andere tactiek de cyber-oplichter "devs" begon te gebruiken, is een zogenaamde cipher block chaining. Dit is een modus die kort uitgelegd, breekt het bestand als je probeert te knoeien met haar, die elke vorm van nuttige totaal onmogelijk.

Dus, hier is waar we zijn. Op dit punt, er zijn zelfs nieuwe ontwikkelingen in de wereld van ransomware, die nog niet onthuld.

Het is zeer moeilijk te voren ransomware verblijven, maar ondanks alle, we hebben besloten om te laten zien hoe je Wireshark gebruiken om uw voordeel en hopelijk onderscheppen HTTP-verkeer op het juiste moment. Echter, in gedachten houden dat deze instructies zijn theoretisch, en er zijn veel factoren die hen kunnen verhinderen van het werken in een concrete situatie. Nog steeds, het is beter dan niet te proberen alvorens te betalen het losgeld, rechts?

Met behulp van Wireshark te vinden Decryption Key

Voor het downloaden en gebruiken van Wireshark - een van de meest gebruikte netwerk sniffers die er zijn, moet je executable van de malware hebben op stand-by en uw computer infecteren nogmaals. Echter, in gedachten houden dat sommige ransomware virussen uit te voeren nieuwe encryptie elke keer dat een computer wordt ook hernieuwd, dus je moet ook Wireshark configureren automatisch worden uitgevoerd bij het opstarten. Laten we beginnen!

Stap 1: Download Wireshark op uw computer door te klikken op de volgende knoppen( voor uw versie van Windows)

Download

Wireshark

Stap 2: Rennen, configureren en te leren hoe je pakketjes snuiven met Wireshark. Om te leren hoe om te beginnen met het analyseren van pakketten en controleren waar uw pakketten van de gegevens op te slaan, je moet Wireshark eerst te openen en kies vervolgens uw actieve netwerk-interface voor het analyseren van pakketten. Voor de meeste gebruikers, dat zou de interface met het verkeer naar beneden stuiteren op en op het juiste. Je moet het kiezen en klik twee keer snel om te beginnen snuiven:

1-decoderen-files-wireshark-sensorstechforum

Stap 3: snuiven pakketten. Sinds ransomware virussen communiceren via HTTP-verkeer, je moet filteren alle pakketten eerst. Hier is hoe de pakketten kijken in eerste instantie nadat u de interface kiezen en te ruiken het verkeer ervan:

2-ransomware-decryptie-keys-mixed-sensorstechforum

Als u alleen HTTP-verkeer te onderscheppen, moet u het volgende in het display filter typt:

http.request - De gevraagde verkeer te onderscheppen

Eenmaal gefilterd moet er als volgt uitzien:

http-verkeer--sensorstechforum gefilterd

U kunt ook de bron en de bestemming IP-adressen filteren door te bladeren op en neer en het kiezen van een adres, klik met de rechtermuisknop er op te klikken en het navigeren naar de volgende functie:

filter-host-to-sensorstechforum

Stap 4: Configureren Wireshark automatisch worden uitgevoerd. Om dit te doen, eerste, je moet gaan naar de opdrachtprompt van uw computer door het intikken van cmd op uw Windows-zoekopdracht en het runnen van het. Vanaf daar, Typ de volgende opdracht met een hoofdletter "-D" het instellen van de unieke sleutel te krijgen voor de interface. De toetsen moeten kijken als het volgende:

wireshark-keys-sensorstechforum

Stap 5: Kopieer de sleutel voor uw actieve verbinding en maak een nieuw tekstdocument en in te schrijven de volgende code:

→ wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

U kunt de opdracht extra te wijzigen door toevoeging van de -w letter en het creëren van een naam voor het bestand dat het zal opslaan op uw computer, Zodat u de pakketten te analyseren. Het resultaat moet op dezelfde manier kijken naar deze ene:

wireshark-sensorstechforum-text-file

Stap 6: Sla de nieuw gecreëerde tekstdocument als een .bat file, door te gaan naar Bestand> Opslaan als ... en het kiezen van alle bestanden, waarna het typen van BAT als een extensie, zoals op de foto hieronder laat zien. Zorg ervoor dat de naam van het bestand en de locatie waar u op te slaan zijn gemakkelijk te vinden:

sensorstechforum-pic-wireshark-save-as-all-bestanden

Stap 7: Plak het .bat bestand in de map Opstarten van Windows. De oorspronkelijke locatie van de map is:

→ C:\Users gebruikersnaam AppData Roaming Menu Microsoft Windows Start Programs Startup,/p>

Om gemakkelijk toegang te krijgen, pers Windows Button + R toetscombinatie en in het Venster doostype - shell:beginnen, zoals op de foto hieronder laat zien en klik op OK:

shell-startup-bat-file-sensorstechforum
wireshark-startup-sensorstechforum

Nadat uw computer opnieuw is opgestart, als de ransomware virus versleutelt uw bestanden waarna genereert een sleutel en stuurt dit naar de cyber-criminelen’ servers, je moet in staat zijn om de communicatie pakketten te onderscheppen en analyseren.

Stap 8: Hoe om het verkeer te analyseren?

Om het verkeer van een bepaald pakket te analyseren, eenvoudig klik met de rechtermuisknop en klik vervolgens op de volgende om het verkeer te onderscheppen:

onderscheppen-traffic-sensorstechforum-ransomware

Na dit te doen, Er verschijnt een venster met de informatie. Zorg ervoor dat u de informatie zorgvuldig te inspecteren en te zoeken naar trefwoorden die weg te geven de encryptiesleutels, zoals versleutelde, RSA, AES, etc. Neem de tijd en laat de grootte van de pakketten ', ervoor zorgen dat ze vergelijkbaar met de grootte van een sleutelbestand.

-As-stream-sensorstechforum onderschept

Snuiven Ransomware decryptie sleutel - dingen die je moet weten

Zoals eerder vermeld, deze tutorial is volledig theoretisch en in het geval je kan niet omgaan met het en ruiken de sleutels, raden wij u sterk aan de ransomware die u heeft besmet te verwijderen en probeer het herstellen van uw bestanden met behulp van de onderstaande instructies stap-voor-stap. Ook, als je gaat om deze methode te proberen, Wij adviseren u om het uit de eerste testen op uw computer en bekijk het verkeer. Een voorbeeld van hoe onderzoekers hebben geïdentificeerd verkeer door ransomware is de onderzoek, uitgevoerd door Paloalto netwerk van experts op Locky ransomware, die wij u adviseren ook om te controleren.

Vencislav Krustev

Een netwerkbeheerder en malware onderzoeker bij SensorsTechForum met passie voor de ontdekking van nieuwe veranderingen en innovaties in cyber security. Geloof sterk in het basisonderwijs van elke gebruiker naar online veiligheid.

Meer berichten - Website

5 Reacties

  1. WATERCHILD

    Ik heb geprobeerd om uw aanbevelingen over wireshark te volgen en een of andere manier krijg ik een aantal lijnen die de volgende beschrijving bevatten vinden “info”:

    “server Hallo, Certificaat, certificaatstatus, Server key exchange, Server Hallo gedaan”
    “Client key exchange, Change Cipher Spec, Gecodeerde Handshake bericht”
    Dan Application Data……

    En dat gaat maar door de hele tijd tussen de ene bron en één bestemming (altijd hetzelfde).

    Ik kan doen een klik met de rechtermuisknop op de lijn, dan “volgen” en “TCP” : opent een venster met een dialoog, maar ik weet niet of ik het een kon vinden “sleutel” en ik weet ook niet hoe het te herkennen. Het ziet er niet uit als een gewone tekst, maar omvat een mix van woorden, netto-adressen, symbolen…

    Laten we aannemen dat het mogelijk is ang ik vind het, hoe dan Coul ik het gebruiken? Ik zou niet weten hoe ik mijn eigen werken decryptor bouwen.

    Is er iemand hier die meer over dit alles weet en probeerde de weg van wireshark snuiven en zou wat advies om me te helpen de software te gebruiken en krijg om te ontdekken mijn “sleutel”?

    Bedankt voor je tijd

    1. Vencislav Krustev

      Hallo, raadpleegt u de volgende filters die je kunt gebruiken op de doos filter op de top van waar de pakketten van je Wireshark software:

      1. ip.addr == 10.0.0.1 [Hiermee wordt een filter voor een pakket met 10.0.0.1, als of
      source of]

      2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [sets
      een gesprek filter tussen de twee gedefinieerde IP-adressen]

      3. http of dns [sets
      een filter voor alle http en dns tonen]

      4. tcp.port == 4000
      [stelt een filter voor TCP pakket met 4000 als een bron of dest haven]

      5. tcp.flags.reset == 1
      [toont alle TCP resets]

      6. http.request
      [toont alle HTTP GET verzoeken]

      7. tcp bevat
      verkeer [toont alle TCP-pakketten die het woord 'verkeer' bevatten.
      Uitstekende bij het zoeken op een bepaalde tekenreeks of gebruikers-ID]

      8. !(arp of icmp of
      dns) [maskers arp, icmp, dns, of enig ander protocol kan
      achtergrondgeluid. Zodat u zich kunt concentreren op het verkeer van belang]

      9. udp bevat
      33:27:58 [zet een filter voor de HEX-waarden van 0x33 0x27 0x58 op elk gewenst
      compenseren]

      10. tcp.analysis.retransmission
      [toont alle heruitzendingen in het spoor. Helpt bij het opsporen van langzame
      applicatieprestaties en packet loss]

      Ik heb die nuttig filters onttrokken:

      http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html

      U vindt er ook andere nuttige aanbevelingen er. Ook, in gedachten houden dat je moet focussen op de post verkeer wanneer een infectie plaatsvindt. Als je de malware-monster, proberen om een ​​test computer infecteren, terwijl het toezicht op de pakketten. Dit kan u helpen om een ​​dieper begrip van hoe de malware communiceert krijgen.

      Naast deze, wanneer je “Volg TCP stream” van een gegeven pakket, Wireshark heeft de zogenaamde “SSL Dissector” die in sommige gevallen kan worden gebruikt om een ​​deel van de gegevens te ontcijferen daar en zin ervan. Ransomware is voortdurend in ontwikkeling, echter en kunnen ook niet rechtstreeks naar de decryptie sleutel, maar in plaats daarvan upload een .KEY bestand naar de cyber-criminelen’ command servers die ook wordt versleuteld met een sterk algoritme. Dus als u gebruik maakt van Wireshark, eerste zorg ervoor dat het virus niet een dergelijk bestand te maken en direct stuurt de informatie via TCP of een andere vorm.

  2. Ariel santos

    Is het werken met Cerber ransomware?

  3. Calin

    Ik ben besmet met Spora. Ik heb de html-bestand met mijn ID en veel paren met encripted en non encripted bestanden. Kunt u uittreksel de encription sleutels van al deze met het oog op de rest van mijn bestanden decript? Of ken je iemand die het kan doen? Dank.
    [email protected]

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...
Even geduld aub...

Abonneer u op onze nieuwsbrief

Wilt worden gewaarschuwd wanneer het artikel wordt gepubliceerd? Vul uw e-mailadres en naam onder de eerste op de hoogte te zijn.