Wana Decrypt0r 2.0 - Decoderen van gecodeerde bestanden - Hoe, Technologie en PC Security Forum | SensorsTechForum.com

Wana Decrypt0r 2.0 – Decoderen van gecodeerde bestanden

Update Eind mei 2017! Dit artikel is bedoeld om u te laten zien een nieuwe methode om de sporen RSA gecodeerde bestanden op uw computer, waarna ontbinden en probeer decoderen van gecodeerde bestanden gratis.

Malware onderzoeker heeft het testen van een nieuwe methode beschreven waarmee de private RSA-sleutel behoren tot Wana Decrypt0r kan worden verkregen. Deze werkwijze kan worden gecombineerd met een andere methode die de private sleutels Factoriseert en geeft toegang tot AES-128 versleutelde bestanden door Wana Decrypt0r, WannaCry Ook bekend als WCry ransomware. Dit kan resulteren in de succesvolle ontcijfering van de bestanden. Het slechte nieuws in deze situatie is dat het testen wordt gedaan op een geïnfecteerde Windows XP-computer en de resultaten kunnen variëren. Niettemin, deze instructies kan leiden tot de succesvolle herstel van uw bestanden.

Hoe om te proberen en decoderen .WNCRY .WCRY Files gratis

Security-onderzoeker Adrien Guinet(@adriengnt) heeft gemeld op Twitter dat een huidig ​​lopende decryptie proces ligt op schema voor de versleutelde bestanden. Zover, de onderzoeker heeft met succes in geslaagd om de private verkrijgen RSA-encryptiesleutel en post-instructies voor het op github, die we hebben geplaatst in

BELANGRIJK: Houd in gedachten dat voordat beggining om de instructies te volgen, moet u nog steeds de Wana Decrypt0r infectie op uw computer, omdat deze instructies manipuleren van de wcry.exe proces dat de RSA-sleutel genereert.

Maar alvorens te beginnen met de instructies uit te leggen, is het cruciaal dat u begrijpt hoe de versleuteling van Wana Decrypt0r 2.0 is uitgevoerd. Om zo goed mogelijk uit te leggen, zullen we de onderstaande afbeelding gebruiken, door Sheila A. Bertha (@UnaPibaGeek):

Zoals zichtbaar uit onderstaande grafiek, meerdere verschillende sleutels gegenereerd. Deze toetsen omvatten het genereren van een unieke AES-128 willekeurige sleutel, gebruikt voor de decryptie en encryptie van de bestanden. Maar deze toets, die wordt toegevoegd aan de gecodeerde bestanden wordt ook gecodeerd door een andere openbare RSA-sleutels (zie rechtsonder ballon). De truc met Rivest Shamir Adleman of RSA-algoritme is dat de kern constructie is gebaseerd op het feit dat het genereert ook een RSA-2048 private key. Als u weet dat de publieke en de private RSA-sleutels, komt u al snel aan de AES-128 willekeurige sleutel.

Maar er is een uitdaging, als Adrien Guinet mentiones in zijn Github ontsleutelingsinstructies voor Wana Decrypt0r 2.0. Er zijn twee functies, vernoemd CryptDestroyKey en CryptReleaseContext die zijn verbonden met de wcry.exe proces dat niet de belangrijkste nummers uit het geheugen van uw computer niet te verwijderen, alsof ze zijn ontworpen om te doen. Maar dit betekent niet dat de methode niet het proberen waard, want als je geluk en deze geheugen strings worden niet verwijderd, kunt u de private key te herstellen met behulp van de primaire nummers, als ze niet worden gewist door deze functies. Dit is waar het instrument van Adrien in het spel komt. Hier is hoe het te gebruiken:

Stap 1: Download de gereedschappen uit GitHub, door te klikken op de “Kloon of download” knop in het volgende web link.

Stap 2: Zoek de “Bin” map en open dan de binaire programma daarbinnen.

Stap 3: U vindt de PID nodig (werkwijze ID) van de actieve wcry.exe kwaadaardige proces. Om dit te doen, Gebruik gids Kaspresky's over hoe om PID te krijgen van een Windows proces.

Stap 4:
Nadat u hebt verkregen van het proces ID van het schadelijke programma, Open Windows Command Prompt als administrator en typ de volgende opdracht regels:

→CD {de locatie van het search_primes.exe uitvoerbare bestand}

En zoek het bestand met de naam 00000000.PKY op uw computer. Een eenvoudiger methode om naar te kijken, want het is de volgende in Windows Search typt (voor nieuwere Windows-versies):

Nadat u hebt gevonden de .PKY bestand terug te gaan naar opdrachtprompt en typ de volgende opdracht na een bezoek aan de locatie met de> opdracht CD:

→search_primes.exe
PID {C:\locatie mappen 00000000.pky}

... waar “location mappen” zijn de werkelijke pad naar het bestand als je die nog hebt op uw systeem.

Als je succesvol zijn geweest in het vinden van de prime RSA-sleutel na het gebruik van deze opdracht, een bestand, vernoemd “Priv.key” zal worden gemaakt in dezelfde directory.

Ontsleutelingsinstructies Nadat u ligt de unieke RSA Private Key

Voor de volledige decryptie van uw bestanden, we aanraden u de instructies te volgen op dit artikel en gebruik de wanakiwi software om de gecodeerde gegevens te decoderen.

Na het decoderen van uw bestanden, verwijder de dreiging met behulp van een geavanceerde anti-malware programma:


Download

Malware Removal Tool

Het wordt sterk aanbevolen om een ​​scan uit te voeren vóór de aankoop van de volledige versie van de software om ervoor te zorgen dat de huidige versie van de malware kan worden gedetecteerd door SpyHunter.

Vencislav Krustev

Een netwerkbeheerder en malware onderzoeker bij SensorsTechForum met passie voor de ontdekking van nieuwe veranderingen en innovaties in cyber security. Geloof sterk in het basisonderwijs van elke gebruiker naar online veiligheid.

Meer berichten - Website

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...
Even geduld aub...

Abonneer u op onze nieuwsbrief

Wilt worden gewaarschuwd wanneer het artikel wordt gepubliceerd? Vul uw e-mailadres en naam onder de eerste op de hoogte te zijn.