Our priority
Your Security

Decrypt verwijderen

Security-onderzoeker Adrien Guinet(@adriengnt) meldde op Twitter dat een huidige Decryption proces is op weg naar de versleutelde bestanden. Zo ver, de onderzoeker heeft met succes in geslaagd om het verkrijgen van de private RSA-encryptie sleutel en post instructies voor het op github, die we hebben geplaatst in

BELANGRIJK: houd in gedachten dat voordat bedelen voor het uitvoeren van de instructies, moet u nog steeds de Wana Decrypt0r infectie op uw computer, omdat deze instructies voor het manipuleren van de wcry.exe proces voor het genereren van de RSA private key.

Maar voordat u begint uit te leggen de instructies om je, is het van cruciaal belang dat u begrijpt hoe de codering van de Wana Decrypt0r 2.0 is uitgevoerd. Het beste uit te leggen, zullen we gebruik maken van de onderstaande grafiek, die door Sheila A. Berta (@UnaPibaGeek):

Removal Tool downloadenom te verwijderen Decrypt

Als zichtbaar is vanaf de afbeelding hieronder, meerdere verschillende sleutels worden gegenereerd. Deze toetsen omvatten het genereren van een unieke AES-128-random-toets-wordt gebruikt voor de Decryption en encryptie van de bestanden. Maar deze sleutel die is toegevoegd op de versleutelde bestanden is gecodeerd door een andere Openbare RSA-sleutel (zie rechts onderaan de ballon). De truc met Rivest Shamir Adleman of RSA-algoritme is dat de kern van de constructie is gebaseerd op het feit dat het genereert ook een RSA-2048 private sleutel. Als u weet dat de publieke en de private RSA-sleutels, krijg je gemakkelijk aan de AES-128 willekeurige toets.

Maar er is een uitdaging, zoals Adrien Guinet vermeldt in zijn github Decryption instructies voor Wana Decrypt0r 2.0. Er zijn twee functies, benoemde CryptDestroyKey en CryptReleaseContext die verbonden zijn met de wcry.exe proces dat niet te verwijderen de belangrijkste nummers uit het geheugen van uw computer, als ze zijn ontworpen om te doen. Maar dit betekent niet dat de methode niet het proberen waard, want als je het geluk hebben dat deze geheugen snaren worden niet verwijderd, kunt u herstellen van de private sleutel, met de primaire getallen als ze niet worden verwijderd door deze functies. Dit is waar de tool van Adrien in het spel komt. Hier is hoe het te gebruiken:

Stap 1: Download de tools van GitHub, door te klikken op de “clone of download” knop in de volgende web link.

Stap 2: Zoek de “bin” map en open vervolgens de binaire programma binnen.

Stap 3: U moet het PID (Process ID) van de werkzame wcry.exe schadelijke proces. Om dit te doen, gebruik Kaspresky de gids op hoe te krijgen PID van een Windows process.

Removal Tool downloadenom te verwijderen Decrypt

Stap 4: Nadat u met succes hebben verkregen, de proces-ID van de schadelijke programma ‘ s, open Windows Opdrachtprompt als administrator en voer de volgende opdracht lijnen:

→CD {de locatie van de search_primes.exe uitvoerbaar bestand}

En zoek vervolgens het bestand met de naam 00000000.pky op uw computer. Een eenvoudiger methode om te kijken want het is de volgende in Windows Zoeken (voor nieuwere Windows versies):

Nadat u het .pky bestand ga terug naar de opdrachtprompt en typ de volgende opdracht na te gaan naar de locatie met de >CD commando:

→search_primes.exe
PID {C:location mappen0000000.pky}

…waar “locatie mappen” zijn de werkelijke pad naar het bestand als u nog steeds op uw systeem.

Als u succesvol geweest in het vinden van de prime van de RSA-sleutel na het gebruik van dit commando, wordt het een bestand met de naam “priv.toets” zal worden gemaakt in dezelfde map.

Laten we aannemen dat het tot dit punt waren succesvol in het vinden van de private sleutel. Op dit punt, kunt u gebruik maken van de “wannafork” tool te proberen en Decrypt de AES-128-gecodeerde bestanden.

De tool kan worden gedownload door te klikken op de volgende web link.

Omdat het gereedschap wordt ervan uitgegaan dat alle bestanden die nodig zijn voor de codering en Decryption processen zich in dezelfde map bevinden, is het aan te raden om de bestanden te zoeken die u wilt Decrypt.

De software heeft de volgende bestanden:

  • wanafork.c – Decryption en encryptie tool.
  • rw_public.bin – toets die is gebruikt voor het genereren van unieke RSA-sleutels.
  • 00000000.pky – een openbare sleutel voor Wana Decrypt0r 2.0 – meestal gedumpt op de computer geïnfecteerd met Wana Decrypt0r 2.0
  • 00000000.dky – de private RSA key Decrypted.
  • 00000000.eky – gecodeerde RSA private key.

Op dit punt zouden we u adviseren om te stoppen en contact opnemen met de onderzoekers van de veiligheid, omdat Wannafork werkt niet direct onder Windows voor Wana Decrypt0r. Niet alleen dit, maar de methode is niet gebruiksvriendelijk en veel kan het niet nog steeds tot op dit punt.

Echter, het goede nieuws is dat onderzoekers werken aan het samenvatten van deze tools in Decryption software die zeer binnenkort beschikbaar. Dit is de reden waarom wij u adviseren om niets te doen op de geïnfecteerde computer en volg de Twitter van Adrien Guinet – @adriengnt die actief probeert te Decrypt bestanden op het moment van schrijven van dit.

Blijf op de hoogte van dit artikel, zijn we op zoek naar verdere ontwikkeling van deze situatie en zal de update zo snel als we zijn er zeker van dat u verder kunt gaan met het bestand Decryption. In de tussentijd adviseren wij u om een back-up van uw gegevens en de installatie van een geavanceerd anti-malware software in ter bescherming van de apparaten die nog niet zijn aangestoken door de Wana Decyrpt0r 2.0 ransomware. Voor de moment, de dreiging blijft actief te blijven.

De gids van de verwijdering van de handleiding Decrypt

Stap 1. Decrypt verwijderen en gerelateerde programma’s

Windows XP

  1. Open menu Start en klik op Control Panel
  2. Kies toevoegen of verwijderen van programma ‘s
  3. Selecteer de ongewenste toepassing
  4. Klik op verwijderen

Windows 7 en Vista

  1. Klik op Start en selecteer het Configuratiescherm
  2. Ga naar verwijderen van een programma
  3. Klik met de rechtermuisknop op de verdachte software
  4. Selecteer installatie ongedaan maken

Windows 8

  1. Cursor naar de bodem verlaten hoek
  2. Klik met de rechtermuisknop en open het Configuratiescherm
  3. Selecteer een programma verwijderen
  4. Ongewenste toepassing verwijderen

control-panel-uninstall Decrypt verwijderen

Stap 2. Decrypt verwijderen uit uw browsers

Decrypt verwijderen uit Internet Explorer

  1. Open Internet Explorer en klik op het pictogram Gear
    ie-settings Decrypt verwijderen
  2. Selecteer Invoegtoepassingen beheren
    ie-manage-addons Decrypt verwijderen
  3. Verwijderen van ongewenste extensies
  4. Uw startpagina wijzigen: Gear pictogram → Internet-opties (tabblad Algemeen)
    ie-internet-options Decrypt verwijderen
  5. Uw browser opnieuw instellen: Gear pictogram → Internet-opties (tabblad Geavanceerd)
  6. Klik op Reset, schakel het selectievakje en klikt u nogmaals op Reset
    ie-reset Decrypt verwijderen

Verwijderen Decrypt uit Mozilla Firefox

  1. Open Mozilla en klik op het menu
    ff-settings-menu Decrypt verwijderen
  2. Kies Add-ons en ga naar Extensions
  3. Selecteer ongewenste invoegtoepassing en klik op verwijderen
    ff-extensions Decrypt verwijderen
  4. Reset Mozilla: Alt + H → Probleemoplossingsinformatie
    ff-troubleshooting Decrypt verwijderen
  5. Klik op Reset Firefox, bevestig het en klik op Voltooien
    ff-troubleshooting Decrypt verwijderen

Decrypt Uninstall vanuit Google Chrome

  1. Open Google Chrome en klik op het menu
    chrome-menu-tools Decrypt verwijderen
  2. Selecteer Extra → extensies
  3. Kies de invoegtoepassing en klik op pictogram van prullenbak kan
    chrome-extensions Decrypt verwijderen
  4. Wijzigen van uw search engine: Menu → instellingen
  5. Klik op zoekmachines beheren onder zoeken
    chrome-manage-search Decrypt verwijderen
  6. Verwijderen van ongewenste zoekmachine
    chrome-search-engines Decrypt verwijderen
  7. Uw browser opnieuw instellen: Settings → Reset browserinstellingen
    chrome-reset Decrypt verwijderen
  8. Klik op opnieuw instellen om uw actie te bevestigen

Leave a comment

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

De volgende HTML tags en attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>