Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Ici nous parlons des attaques virales auxquelles nous avons été confrontés, les problèmes rencontrés, les solutions trouvées…
Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 04 sept. 2018 08:33

Check Point vient de publier un outil permettant la récupération des données chiffrées par le rançongiciel Ransom Warrior.

L'outil Ransom Warrior Decryption Tool est téléchargeable ici : https://research.checkpoint.com/wp-cont ... n_Tool.zip

Pour plus d'infos : https://research.checkpoint.com/ransom- ... tion-tool/

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 17 déc. 2018 22:21

Bleeping Computers vient de publier un outil de récupération des données chiffrées par différentes variantes du rançongiciel chiffrant Hidden Tear. Cette outil a été réalisé par Michael Gillespie, le créateur du site https://id-ransomware.malwarehunterteam.com/.

Les variantes supportées par l'outil sont :

Code : Tout sélectionner

8lock8, AnonCrack, Assembly, Balbaz, BankAccountSummary, Bansomqare Wanna, Blank, BloodJaws, Boris, CerberTear, CryptConsole2, CryptoKill, CyberResearcher, Data_Locker, Dev-Nightmare 2xx9, Diamond, Domino, Donut, dotRansom, Executioner, Executioner2, Executioner3, Explerer, FlatChestWare, Frog, Fuck_You, Gendarmerie, Horros, JobCrypter, Jodis, J-Ransomware, J-Want-To-Cry, Karmen, Kraken 2.0, Kratos, LanRan, Lime, Lime-HT, Luv, Matroska, MireWare, MoonCrypter, MTC, Nobug, Nulltica, onion3cry, OpsVenezuela, Paul, PayOrDie, Pedo, PGPSnippet, Poolezoor, Pransomware, Predator, Qwerty, Random6, Random6 2, Randion, RansomMine, Rootabx, Saramat, Shrug, ShutUpAndDance, Sorry, Symbiom, TearDr0p, Technicy, The Brotherhood, TheZone, tlar, TotalWipeOut, TQV, Ton, VideoBelle, WhiteRose, WhiteRose2, Zalupaid, ZenCrypt, Zenis, ZeroRansom, Zorro
Infos et téléchargement : https://www.bleepingcomputer.com/downlo ... decrypter/

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 18 déc. 2018 08:20

Michael Gillespie (ID-Ransomware) et Maxime Meignan ont réalisé un outil permettant de récupérer les données chiffrées par plusieurs versions des rançongiciels InsaneCrypt et the Everbe 1.0.
Les extensions supportées sont :

Code : Tout sélectionner

.[email].insane
.[email].DEUSCRYPT
.[email].deuscrypt
.[email].Tornado
.[email].twist
.[email].everbe
.[email].embrace
.[email].pain
.[email].volcano
L'outil est disponible sur Bleeping Computers : https://www.bleepingcomputer.com/downlo ... decrypter/

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 27 déc. 2018 17:13

Michael Gillespie (ID-Ransomware), encore et toujours, vient de publier un outils pour les rançongiciels de la famille "Stupid Ransomware".
Il permet de déchiffrer les fichiers avec les extensions suivantes :

Code : Tout sélectionner

.666
.adam
.alosia
.android
.ANNABELLE
.anon
.bycicle
.corrupted
.crypted
.CYRON
.deria
.devil
.Doxes
.encrypt
.eTeRnItY
.FailedAccess
.fucked
.fucking
.fun
.H34rtBl33d
.Harzhuangzi
.haters
.iGotYou
.jeepers
.jigsaw
.killedXXX
.lock
.malki
.Malki
.MIKOYAN
.Nazi
.powned
.purge
.slvpawned
.SnakeEye
.Tesla
.whycry
.WINDIE
.XmdXtazX
.xncrypt
_crypt0
_nullbyte
Disponible sur le site de Bleeping Computers : https://www.bleepingcomputer.com/downlo ... decryptor/

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 20 févr. 2019 18:33

Bitdefender propose un outil de récupération des données chiffrées par le rançongiciel GrandCrab :

Version 1 : extension .GDCB
Version 2 : extension .GDCB
Version 3 : extension .CRAB
Version 4 : extension .KRAB
Version 5.0.X : extension .UKCZA, .YIAQDG, .CQXGPMKNR, .HHFEHIOL, .BYACZCZI, .KZZXVWMLI
Version 5.1 : extension .IJDHRQJD

Notice d'utilisation : https://www.nomoreransom.org/uploads/GA ... 20TOOL.pdf
Lien de téléchargement : http://download.bitdefender.com/am/malw ... ptTool.exe

Source : https://labs.bitdefender.com/2018/10/ga ... -for-free/

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 18 juin 2019 00:06

Bitdefender a mis à disposition le 17/06/2019, une nouvelle version de son outil de récupération de fichiers chiffrés par les versions 1 à 5.5.2 du rançongiciel GrandCrab :


Version 1 : extension .GDCB
Version 2 : extension .GDCB
Version 3 : extension .CRAB
Version 4 : extension .KRAB
Version 5.0.X : extension .UKCZA, .YIAQDG, .CQXGPMKNR, .HHFEHIOL, .BYACZCZI, .KZZXVWMLI
Version 5.1 : extension .IJDHRQJD
Version 5.5.2 : extension .GDCB

Lien de téléchargement : http://download.bitdefender.com/am/malw ... ptTool.exe
Notice d'utilisation : https://www.nomoreransom.org/uploads/GA ... 0(002).pdf

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 18 juin 2019 00:08

Un outil de récupération de fichiers chiffrés par le rançongiciel PyLocky et mis à disposition le 11/06/2019 par le Ministère de l'intérieur :

viewtopic.php?f=5&t=1171&p=4857#p4857

Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Utilitaires de secours gratuits - Désinfection - Récupération de données [Liens dans le 1er message]

Message par charles » 07 oct. 2019 15:24

Après des remords peut-être, la personne à l'initiative du rançongiciel HildaCrypt a publié la clé maître permettant le déchiffrement des fichiers chiffrés.

https://pastebin.com/EDB0PSa9 [1]

Emsisoft propose un outil de déchiffrement pour les fichiers par HildaCrypt et dont les extensions connues sont : .HCY! et .mike :

https://www.emsisoft.com/ransomware-dec ... hildacrypt

[1] Contenu du Pastebin :

Code : Tout sélectionner

Greetings from j0hanna!
 
These are my private RSA-2048 keys, have fun!
 
HILDACRYPT 1.1: <RSAKeyValue><Modulus>28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==</Modulus><Exponent>AQAB</Exponent><P>+etE0HfgvrNJ8QPz/lwETfNHRk+tmshndN/bznik8Z3WMu/J3Y1ElE80uxRP3UUJ0df2ytLROSm8tji+nU+rPUboMGdYJ1toR5E7cI/wLq+JTbw7Uo97afGu/uAofJb+JCll91HNaRaTJqt/9rCvPJYRRDJUDNNdJksUR5kD+gs=</P><Q>4SEwaQZpgChIuQ9iQ+QqLoJylML8+elY1WX1ujRgdfE2gh17y/g2yP/qPeZZTkwZoF2tagySVDVFn1mKXpmxd9iDWHIliZwanbYgi3r7U9gOPiMAIKuD4Mhtxt1eLpUOZBbmWJvuEe/BBzl6zIkZbis7Mf3NSG8OyNTFvQfbw8c=</Q><DP>FZdr5I7WzeLzem0bAVi1zn48JCjyGLNDrOdCOD5YEb/PJ6trx0ZTLHUDWz5QAA/c31JHMhKwnL2sXhnc7f5aDvs3SCdFiHDvO2+isQDegUoNFLg0b9eRk/+bXM3E8a6h2kHxW0Kn+nJG2EpszcVJ/nQAneGzPUBthcdqwxzHKS0=</DP><DQ>ogzH0fGBo3Rb1InUS9ZC3rObUqWAf0uOXB1GYcAt5ve4KrSaVdnXZZuAuwnCIu/4Skzj9MAT3HV0Jh3H0gyDiCbbdKDFkGZDal6c0om1u0Z8ChIbl2ieRwE+s7TIhHNapoUtTX8AQPz5Tv/6+pt9KKYJuBRe3dLDK6CsrUKo2CU=</DQ><InverseQ>9JIrTVM8mA+ykXbBO8BEHLDioUNa3XFgOBdrfKctRY5Az4yy2AG6tZjOqVwvfitcJfUmrRTZ4e/QufLlTbC8rbBvC28ZW3Cn3RPMHfFOOuY5wJ5VN1etgXWb9cN7i36S5omx2qIjspoywRb2cHXVGiImiO82rghQ+/ljFWdWbXk=</InverseQ><D>Y1iBOpNf+YUE15aFgmK3HvM+GWRKbPQnfuTypxuSXBpLZlnOLgaoM/V/mnkcrDRwYdlLi6p+4Bzs1EMhb7p0sHCKmDtGE3GHrvGDCGvJq8krTpuq99/aNXU1vDB4/ua5XAS32Xn8Cu5m/QpJ8KNFWGfMt/jO9SjL+8cjqv6+ibUhd687PWBTKk6VRDgpZUpmL708SWcN8CMoJ2BWjE8wah0iRzH0TPjwlLxPM7LTPueYAlKHuxRjBNGIZyRonN0G6ujjgTOrLkTkQUnrexHs51SRonNdr9zRDm43s8rA4nNhuL7hVfvmheOmqUho7Sbz9Q7LXYvibv7CQ0DvCy+zIQ==</D></RSAKeyValue>
 
HILDACRYPT 1.2: <RSAKeyValue><Modulus>0DFRVFCWfbLeL/2mm0fbx985TmG9cRiwluT3YNNxmpZM9ZieYllp9NmjmcaN82Xpx1Z5ak/Pv558szc8ZoyqwmSxwe9po6VbSrCPAp+At81avXa6XnN11AcMDd7SRJjKQUpl4S3FSYl4FC7hYgPxotr9J4unmyH84Z3dypPY+m0kfkHoYKnkRNwING163IvRhX/Z4XAezp9cPXtK2qThpTK0u14NH969Txp9UWbAwVzHJAWvTAHwml6+8H96kNpqcm0gGiwVRhiVvjOU3ofT8d8hBkbgYfE0kDy1p5eL4DNZwEA2M/mLGx8QlfVYFSpaWAvBBop6sJmMtIGc76lF2w==</Modulus><Exponent>AQAB</Exponent><P>/2lg6MRGcWVymFt9sWBZ9GsshfypyWI3gEazjkfjN3sdr/HZVo/IU2oOhmEW84JNTS9fx9NWcbmB3c9z7I0ivVtWsrhA+9AktCPX2eSvhMLZzcbN0kkb99r53hGZLQKe9LHqVTlWFnELZwuKPFBkzuk4j83sHS2NgkaR+xWXBQc=</P><Q>0KwX2BwrRxFlFjnFv5H70qjOECrhvoBKACvf2SYrvVt7Xpq0jlkKpx9wSsDVGYvpgoNLh0lJYoN8660grEdpStiN90IdUDMVGFKbECk/pXcSBWKoFah/V6A79VIEPeRbD/k2nuRzyKD2Nro+YTQF6C9AQ4Q/zRQDyCljfBChN40=</Q><DP>XwiVr2ZAk7bckcYRGauxLNmn4l7lyfHKluc3riwfZihgHnRNmwC62BaxOtzrTkXgf2SuLcr78irFIIQtLQpCr9RJiQw32bpTvddMXF3T1QEvS3q6YJElX+7RZAiGRxIflQqSF43S81yykm/fyptbNwXeLtu/DAhEDAI4FQWugIc=</DP><DQ>siJW8IuLfk2hJ8oFv7XVbU3hKvgQYdmOUnshynPFXw6bUHVssR/d8jDqYUYgJIDFxD5k2YZ8ePaaS24tuCP2BIi9GFh+QZp55ZuO98repFfzMFm591Mx8hG9XXy4VkV8XzR1pkqLdLfDt5Bh9AS/DihYCcr51A3D9LkwTha8KXk=</DQ><InverseQ>Mk/rMTc82RGsVOFg6XdvrUrAxpjOOli9KGJ6wrO76ClNit8qYp8b3Y/eRThXlOsllp18FJIWHMrIlftEUeK2K0atqf1m7/Q7iplM/b0enE/IBwUKPuF89FKqvsweNxWTcjrmLpF3CpeQRGOlolFEt3NBULmhXf0d/yOZVg6FZkY=</InverseQ><D>gLetJ+r3UFnxY0x44JKKAMYzgRGO9cilDXYcuEGigEgi5sloSzgq+VZB/wYyp2TAKB1/zcnwkPFk+czRzDl2Ld/hwxzJfIL0sXX9xUpmY71UN8WbLmBGXkPJIR49dGneyoU7/f+1dWTH1/qwIFB96glo8TU3+AMIfVmEUgYc5Z7MPkj34h9YffRUkMKGBMdKp6sUF2+MHAnN5WJ/SphbI9T9WP4bjwT3dANubqB3T/DOTsfopgMLtHNqpzN2Q11XAoCOP9WUdIKXgYROV8+7Rt7nqfmNUK7ahqiN5idUkaHvx7JewqbQv4X0gV7WLj49qUWnL5gzxmIdzpGznxsC+Q==</D></RSAKeyValue>
 
HILDACRYPT.STAHP: <RSAKeyValue><Modulus>01d81qPxdcbIVcYvoa5646Z5I3qKmEQ0pAEaMv5KznqQdt3cH4+dfgcJkVTDhDmvUQNjyqeaXPo/d5AwApLJpgul/XeKt+wtbo0ux7zHrHVi1iXi4TS0g1bn07/K7PKnzsPOwuHKSe10ACZ7cH5BXpJ0OUcC6VvI1j1whTULycmyaEKiePIcrIGcHBIN6gD0GDJFYtuaHFWmeSUu47VV0shYTBIM5bQOZtw7InjVMTgd31AlLI9i8yyc4HvFWyb4NARkZiRIgbVfCJZbquGhluppt/lJtrC/1cjekzYQEKNdcncphC46HfEuujJv40LxMDK33NQWIUrU6+eB769eew==</Modulus><Exponent>AQAB</Exponent><P>7/fXfEYkYZyYCIuWX3vHxaUrufTOK2faeY1iCR1ueVRkoIOJrkg5fwTJqFijwcocaiSleeZzTOJsdw+KV6OUWO0l12aNs8CmG7E1/PQrnxNbMRR5qpIq9r8vIdbkAT0Ym9+Eiix+paGjVw3r9zpOovfGfVQZZQ5foVcSzjqmg2c=</P><Q>4XYNBd81EDkqA/Q0Wyc4X25xHxSar4u67tCVvCseXZ9THHX6X6kUlwZVoNCRNKXkIOsJCCki/CX0j1R4o9QVyToskHnulwM5YZwALoVZwTNYzEuze2tdM3/ce2FCngJl4KNq/AXmCP5Zentl2uIyN2aukoIKPe1aKqBWpoN8k80=</Q><DP>io6vhJk3jokNm/mFVRKyseOCEPhSRuvLUV4aWir9S983zxrEV7ZqRHYuPh8YRt/9cihAx9cRgjZG7KQzfBD+qi4cKHiVn1HAV8MF6k3OFibmA7vP2HZXimuvujlLI4/0cqQn8mRoqBhhqPVn5zNqjlzE5j61/wzCmPUe7acd2Ec=</DP><DQ>sfLIyI+phAp6PPCruh40gi3bHtrWVCOHASKkbAXkS6SKpnX/jS0YUTLwtqKnWNRuQAUB9ezx7e3PHqlfJn8oStCdh9KVG5+x1HaaNh2N/80VEvnUyV6uCw2p6b+UIr5lxm107UGClCqcWO24MJBDbjKfKod0qfgCKI6wlXBGDSk=</DQ><InverseQ>kAByugng27Yb/nfVoSyRZVGO4Y/nm6kNv96HX4BNutzWDBMe8h0lKh1gaZrOrRw+Xc63sHJazf25k+n9cQIOh2Xv03IJGO+7zOwWf4noBRagpotLGlaWM96r7AwigxJtWREMrv+aunYaV0PQbwTqJcOlBt3W4d/tZldbMSTGIpc=</InverseQ><D>YMj3HeD0imhfhJB/bb7W/nxVi77py7Oom9b5ZZL5NTgCAr21uipuCLI2Wn0EEQDN3f78a2l4Es5z1FCO/A63FDjPapWdTH93iuJTIxu8Iamces/c6B/X7zIUdu+lgf/ag6E+hhcbKeH5trvo2eqoCyRs33I6zh2/iwWWCxrw7BaCXIZQrZgD3NbbcMllROYE6Gd5uDkJfCMWDiIs8+aGu6cCSrtGoCw2oeSUt/+x+rB1pmqypWkaymEz6Ir0gh7AdA3qxFbbqF1TxBjX2TMToiVaVpbhYUFJyD+ht48Jrm4CKQ/n5mOzYxpOtzyWZNir1J/TXETgZrrV7AnyBtfkKQ==</D></RSAKeyValue>
 
Shotout to: Man of chocolate, some disabled kid from the florida,
        A 20-something web dev who's tired of everyones shit,
        lil uzi vert, and all the russian skids out there.
 
 
P.S Also behind VIAGRA ransomware, BWALL is written by an autistic skid, VIAGRA
    is a parody of the VIATA name for his ransomware which was an earlier version
    of BWALL. Glad I took all the clout from his dumbass, lol
 
P.P.S Base58 decode the STAHP id string for a surprise!
 
 
HILDACRYPT
Happy decrypting!

Répondre

Retourner vers « Malware »