NemucodAES Ransome est décrypté avec Emsisoft décrypteur

Les chercheurs de laboratoire de emisoft a publié un décrypteur pour Nemucod AES Ransome. Il a été libéré par “FabianWosar” de emisoft et plus tard beaucoup d’autres chercheurs de sécurité l’ont confirmé. Nemucod AES Ransome utilisé pour répandre via spam e-mails qui prétendent à une notification de livraison de UPS. Lors de l’ouverture de l’e-mail, le fichier js va télécharger un script php. Ce script analyse le système et crypte les données. Fait intéressant, il ne modifie pas les extensions ou le nom des fichiers cryptés ciblés. Certaines des extensions de fichiers qu’il crypte sont:

.123, .602, .dif, .docb, .docm, .dot, .dotm, .dotx, .hwp, .mml, .odg, .odp, .ods, .otg, .otp, .ots, .ott, .pot, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .sxc, .sxd, .sxm, .sxw, .txt, .uop, .uot, .wb2, .wk1, .wks, .xlc, .xlm, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .xml, .asp, .bat, .brd, .c, .cmd, .dch, .dip, .jar, .js, .rb, .sch, .sh, .vbs, .3g2, .fla, .m4u, .swf, .bmp, .cgm, .djv, .gif, .nef, .png, .db, .dbf, .frm, .ibd, .ldf, .myd, .myi, .onenotec2, .sqlite3, .sqlitedb, .paq, .tbk, .tgz, .3dm, .asc, .lay, .lay6, .ms11, .ms11, .crt, .csr, .key, .p12, .pem, .qcow2, .vmx, .aes, .zip, .rar, .r00, .r01, .r02, .r03, .7z, .tar, .gz, .gzip, .arc, .arj, .bz, .bz2, .bza, .bzip, .bzip2, .ice, .xls, .xlsx, .doc, .docx, .pdf, .djvu, .fb2, .rtf, .ppt, .pptx, .pps, .sxi, .odm, .odt, .mpp, .ssh, .pub, .gpg, .pgp, .kdb, .kdbx, .als, .aup, .cpr, .npr, .cpp, .bas, .asm, .cs, .php, .pas, .class, .py, .pl, .h, .vb, .vcproj, .vbproj, .java, .bak, .backup, .mdb, .accdb, .mdf, .odb, .wdb, .csv, .tsv, .sql, .psd, .eps, .cdr, .cpt, .indd, .dwg, .ai, .svg, .max, .skp, .scad, .cad, .3ds, .blend, .lwo, .lws, .mb, .slddrw, .sldasm, .sldprt, .u3d, .jpg, .jpeg, .tiff, .tif, .raw, .avi, .mpg, .mp4, .m4v, .mpeg, .mpe, .wmf, .wmv, .veg, .mov, .3gp, .flv, .mkv, .vob, .rm, .mp3, .wav, .asf, .wma, .m3u, .midi, .ogg, .mid, .vdi, .vmdk, .vhd, .dsk, .img, .iso

Il stocke la note de rançon dans un fichier nommé comme URDecrypt.hta. qui contient tous les détails sur le montant de la rançon et l’instruction pour les paiements.

Comment décrypter NemucodAES Ransome

Comme emisoft a publié un décrypteur pour NemucodAES Ransome, il est préférable de download ici: https://decrypter.emsisoft.com/download/nemucodaes. Une fois téléchargé, double-cliquez sur le fichier exécutable pour télécharger le décrypteur. Le décrypteur va commencer à récupérer les fichiers cryptés et il peut prendre quelques heures si patient. Une fois le processus de récupération terminé, il affiche une notification indiquant que la base de données de fichiers Nemucod a été récupérée. Appuyez sur le bouton “OK” pour commencer le décryptage des fichiers à l’aide de la touche. L’écran principal de décryptage sera affiché où la liste des fichiers chiffrés sera affichée. Cliquez sur le bouton décrypter afin de commencer le décryptage du cryptage AES Nemucod. Le sera automatiquement décrypter les fichiers cryptés et le rend accessible pour vous.