Comment restaurer les fichiers perdus de crypboss ransomware

Il y a de bonnes nouvelles pour les personnes touchées par le CrypBoss, HydraCrypt et UmbreCrypt ransomware. Fabian Wosar, chercheur à Emsisoft, a réussi à désosser les, et dans le processus a publié un programme qui est capable de décrypter des fichiers qui seraient autrement perdus.

Ces trois programmes malveillants sont très similaires. Voici ce que vous devez savoir sur eux, et comment vous pouvez récupérer vos fichiers.

Réunion La famille CrypBoss

la création des programmes malveillants a toujours été une industrie artisanale milliards de dollars. les développeurs de logiciels mal intentionnés écrire des programmes de logiciels malveillants nouveaux et les vendre aux enchères aux criminels organisés dans le cours de dingiest le web sombre.Voyage dans le Web Invisible: Un guide pour les nouveaux chercheursVoyage dans le Web Invisible: Un guide pour les nouveaux chercheursCe manuel vous guidera dans une tournée à travers les nombreux niveaux du Web profond: bases de données et des informations disponibles dans des revues académiques. Enfin, nous arrivons aux portes de Tor.Lire la suite

Ces criminels les distribuent ensuite loin, dans le processus d`infecter des milliers de machines et de faire un somme d`argent ungodly.

Il semble que ce qui est arrivé ici.

Les deux HydraCrypt et UmbreCrypt sont des variantes légèrement modifiées d`un autre programme malveillant appelé CrypBoss. En plus d`avoir une ascendance commune, ils sont aussi distribués par le pêcheur à la ligne Exploit Kit, qui utilise la méthode de téléchargements d`entraînement par infecter les victimes. Dann Albright a écrit sur l`exploitation des kits autrefois.Voilà comment ils vous Hack: Le Murky World of Exploit KitsVoilà comment ils vous Hack: Le Murky World of Exploit KitsScammers peuvent utiliser des suites logicielles pour exploiter les vulnérabilités et créer des logiciels malveillants. Mais quels sont ces kits exploitent? D`où viennent-ils? Et comment peuvent-ils être arrêtés?Lire la suite

Il y a eu beaucoup de recherches dans la famille CrypBoss par certains des plus grands noms de la recherche de la sécurité informatique. Le code source de CrypBoss a été divulgué l`an dernier sur Pastebin, et a été presque immédiatement dévoré par la communauté de la sécurité. La semaine dernière, McAfee a publié l`une des meilleures analyses de HydraCrypt, ce qui explique comment cela fonctionne à son plus bas niveau.

Video: Как удалить вымогатель RSA-4096 и восстановить файлы

Les différences entre HydraCrypt et UmbreCrypt

En termes de fonctionnalités essentielles, HydraCrypt et UmbreCrypt les deux font la même chose. Quand ils infectent d`abord un système, ils commencent à chiffrer les fichiers en fonction de leur extension de fichier, en utilisant une forme forte de chiffrement asymétrique.

Video: Comment décrypter les fichiers du ransomware TeslaCrypt

Ils ont aussi d`autres comportements non essentiels qui sont assez communs dans le logiciel de ransomware.

Par exemple, les deux permettent à l`attaquant de télécharger et d`exécuter des logiciels supplémentaires sur la machine infectée. Les deux supprimer les clichés instantanés des fichiers cryptés, ce qui rend impossible de les restaurer.

Peut-être la plus grande différence entre les deux programmes est la façon dont ils « rançon » les fichiers en arrière.

UmbreCrypt est très prosaïque. Il dit aux victimes qu`elles ont été infectées, et il n`y a aucune chance qu`ils vont obtenir leurs fichiers sans retour à coopérer. Pour la victime pour lancer le processus de déchiffrement, ils doivent envoyer un courriel à l`une des deux adresses. Ceux-ci sont hébergés sur « engineer.com » et « consultant.com » respectivement.

Peu de temps après, quelqu`un de UmbreCrypt répondra des informations de paiement. L`avis de ransomware ne dit pas la victime combien ils vont payer, même si elle ne dit la victime que les frais seront multipliés si elles ne paient pas dans les 72 heures.

Hilariously, les instructions fournies par UmbreCrypt disent la victime de ne pas les envoyer par courriel avec « les menaces et la grossièreté ». Ils fournissent même un format e-mail de l`échantillon pour les victimes à utiliser.

HydraCrypt diffère légèrement de la façon que leur demande de rançon est loin plus menaçant.

Ils disent que si la victime ne paie pas dans les 72 heures, ils vont émettre une sanction. Cela peut être une augmentation de la rançon, ou la destruction de la clé privée, ce qui rend impossible de décrypter les fichiers.

Ils menacent aussi libérer les informations privées, les fichiers et les documents des non-payeurs sur le web sombre. Cela en fait un peu d`une rareté parmi ransomware, car il a une conséquence qui est bien pire que de ne pas obtenir vos fichiers.Voici combien votre identité pourrait être utile sur le Dark WebVoici combien votre identité pourrait être utile sur le Dark WebIl est mal à l`aise de penser à vous-même comme une marchandise, mais toutes vos données personnelles, de nom et l`adresse aux détails de compte bancaire, sont quelque chose d`intéressant pour les criminels en ligne. Combien valez-vous?Lire la suite

Comment faire pour obtenir vos fichiers

Comme nous l`avons mentionné plus haut, Fabian Wosar de Emisoft a été en mesure de briser le cryptage utilisé, et a publié un outil pour récupérer vos fichiers, appelé DecryptHydraCrypt.

Pour que cela fonctionne, vous devez avoir deux fichiers à portée de main. Ceux-ci devraient être un fichier crypté, plus une copie non chiffrée de ce fichier. Si vous avez un document sur votre disque dur que vous avez sauvegardé sur Google Drive ou votre compte e-mail, utiliser.

Sinon, si vous ne l`avez pas, il suffit de regarder pour un fichier PNG crypté et utiliser tout autre fichier PNG aléatoire que vous soit créer vous-même, ou télécharger à partir d`Internet.

Ensuite, faites glisser et déposez-les dans l`application de décryptage. Il va ensuite un coup de pied dans l`action, et commencer à essayer de déterminer la clé privée.

Vous devez être averti que ce ne sera pas instantanée. Le décrypteur va faire un peu de mathématiques assez compliqué de travailler votre clé de déchiffrement, et ce processus pourrait prendre plusieurs jours, en fonction de votre CPU.

Une fois qu`il a travaillé sur la clé de déchiffrement, il va ouvrir une fenêtre et vous permet de sélectionner les dossiers dont le contenu que vous voulez décrypter. Cela fonctionne de manière récursive, donc si vous avez un dossier dans un dossier, vous ne devez sélectionner le dossier racine.

Il convient de noter que HydraCrypt et UmbreCrypt ont un défaut, dans lequel les 15 derniers octets de chaque fichier crypté sont endommagés irrémédiablement.

Cela ne devrait pas vous déranger trop, car ces octets sont généralement utilisés pour le remplissage ou les métadonnées non essentiels. Fluff, essentiellement. Mais si vous ne pouvez pas ouvrir vos fichiers décryptés, essayez de les ouvrir avec un fichier outil de restauration.

Pas de chance?

Il y a une chance que cela ne fonctionnera pas pour vous. Cela pourrait être un certain nombre de raisons. Le plus probable est que vous essayez de le lancer sur un programme ransomware qui ne HydraCrypt, CrypBoss ou UmbraCrypt.

Une autre possibilité est que les fabricants de logiciels malveillants modifiés pour utiliser un algorithme de chiffrement différent.

À ce stade, vous avez deux options.

Le pari le plus rapide et le plus prometteur est de payer la rançon. Cela varie un peu, mais en général oscille autour de la barre des 300 $, et voir vos fichiers restaurés en quelques heures.

Il va sans dire que vous avez affaire à des criminels organisés, donc il n`y a aucune garantie qu`ils vont décryptent réellement les fichiers, et si vous n`êtes pas heureux, vous avez aucune chance d`obtenir un remboursement.

Vous devriez également considérer l`argument selon lequel le paiement de ces rançons perpétue la propagation de ransomware, et continue de le rendre financièrement lucratif pour les développeurs d`écrire des programmes ransomware.

La deuxième option est d`attendre dans l`espoir que quelqu`un va sortir un outil de décryptage pour le logiciel malveillant que vous avez été frappé avec. Ce passé avec cryptolocker, lorsque les clés privées ont été divulgués à partir d`un serveur de commande et de contrôle. Ici, le programme de décryptage est le résultat du code source de fuite.Cryptolocker Is Dead: Voici comment vous pouvez obtenir vos fichiers!Cryptolocker Is Dead: Voici comment vous pouvez obtenir vos fichiers!Lire la suite

Il n`y a aucune garantie pour ce bien. Très souvent, il n`y a pas de solution technologique pour obtenir vos fichiers sans avoir à payer une rançon.

Video: How to Remove Ransomware Virus

Mieux vaut prévenir que guérir

Bien sûr, la façon la plus efficace de traiter les programmes ransomware est de vous assurer que vous n`êtes pas infecté en premier lieu. En prenant quelques précautions simples, comme l`exécution d`un antivirus entièrement mis à jour, et non le téléchargement de fichiers à partir des lieux suspects, vous pouvez réduire vos chances d`être infecté.

Avez-vous été affecté par HydraCrypt ou UmbreCrypt? Avez-vous réussi à récupérer vos fichiers? Faites-moi savoir dans les commentaires ci-dessous.