Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: tutorial python  (gelezen 1398 keer)

Offline tommy

  • Lid
tutorial python
« Gepost op: 2016/03/03, 14:08:37 »
hallo,
ik probeer deze tutorial te volgen :

http://sensorstechforum.com/nl/restore-files-encrypted-via-rsa-encryption-remove-cryptowall-and-other-ransomware-manually/

wanneer ik het  script probeer te starten door dit in te geven: python ./decrypt.py "Your_Encrypted_Document_Name_and_Format"
krijg ik het volgende zie afbeelding wat gaat hier verkeerde en waarom ?


Re: tutorial python
« Reactie #1 Gepost op: 2016/03/03, 17:21:56 »
met "Your_Encrypted_Document_Name_and_Format" wordt bedoeld dat je daar de naam van de file en extensie invult die je decrypten.
Zelfbouw desktop: Behuizing CoolerMaster 130, MoBo MSI B85I, CPU: G3258, Vloeistof koeler Seidon 120V, Graf. kaart: GeForce GT610, 16GB Ram, SSD 250GB, HDD 3TB. OS: Ubuntu 17.10
Laptop Ubuntu 17.10 Artful Aardvark

Offline tommy

  • Lid
Re: tutorial python
« Reactie #2 Gepost op: 2016/03/04, 11:08:02 »
met "Your_Encrypted_Document_Name_and_Format" wordt bedoeld dat je daar de naam van de file en extensie invult die je decrypten.
hallo , wanneer ik deze commando ingeef krijg deze vermelding(zie foto):
sudo gem install sqlite3-ruby



ik heb ook geprobeert deze commando in te geven zonder bovenstaande te installeren
python ./decrypt.py "Your_Encrypted_Document_Name_and_Format"

De naam van de bestanden of formaat weet ik niet echt ik heb de naam ingegeven van het Encrypted berstand zie foto home map en terminal.



maar ik krijg deze fout error opening file( zie foto)

wat doe ik verkeerd ?




Re: tutorial python
« Reactie #3 Gepost op: 2016/03/04, 15:43:45 »
De aanhalingstekens (¨filenaam") rondom de naam van de file weghalen?
Zelfbouw desktop: Behuizing CoolerMaster 130, MoBo MSI B85I, CPU: G3258, Vloeistof koeler Seidon 120V, Graf. kaart: GeForce GT610, 16GB Ram, SSD 250GB, HDD 3TB. OS: Ubuntu 17.10
Laptop Ubuntu 17.10 Artful Aardvark

Re: tutorial python
« Reactie #4 Gepost op: 2016/03/04, 15:46:48 »
De aanhalingstekens (¨filenaam") rondom de naam van de file weghalen?
Dit is geen goede tip. Geen idee verder.
Zelfbouw desktop: Behuizing CoolerMaster 130, MoBo MSI B85I, CPU: G3258, Vloeistof koeler Seidon 120V, Graf. kaart: GeForce GT610, 16GB Ram, SSD 250GB, HDD 3TB. OS: Ubuntu 17.10
Laptop Ubuntu 17.10 Artful Aardvark

Re: tutorial python
« Reactie #5 Gepost op: 2016/03/04, 19:14:01 »
De aanhalingstekens (¨filenaam") rondom de naam van de file weghalen?
Dit is geen goede tip. Geen idee verder.


Lijkt me wel een goede tip hoor. tommy gebruikt geen normale double quotes (") maar left (“) en right (”) double quotes.

Dus:
 - of quotes weghalen
 - of normale double quotes gebruiken
 - of spaties escapen met een backwards slash (\)

Een ander probleem kan ook gewoon zijn dat het script het gekozen bestandstype niet kan lezen en een ietswaat vage foutboodschap geeft.

Offline tommy

  • Lid
Re: tutorial python
« Reactie #6 Gepost op: 2016/03/05, 12:23:08 »
De aanhalingstekens (¨filenaam") rondom de naam van de file weghalen?
Dit is geen goede tip. Geen idee verder.


Lijkt me wel een goede tip hoor. tommy gebruikt geen normale double quotes (") maar left (“) en right (”) double quotes.

Dus:
 - of quotes weghalen



 - of normale double quotes gebruiken
 - of spaties escapen met een backwards slash (\)

Een ander probleem kan ook gewoon zijn dat het script het gekozen bestandstype niet kan lezen en een ietswaat vage foutboodschap geeft.
hallo ,
ik heb dit even gedaan wat u zei ik kreeg het volgende bij de commando's(zie foto )
wat gaat hier nog fout ?

Offline koos4401

  • Lid
Re: tutorial python
« Reactie #7 Gepost op: 2016/03/05, 14:00:10 »
Gewoon lezen laat zien dat er een liggende streep aan de p van python is vastgeknoopt. (En de screenshots zijn óók niet mooi.)
Op 27-okt-2009 om 08.20 GMT geregistreerd als gebruiker nr.: 498523

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: tutorial python
« Reactie #8 Gepost op: 2016/03/05, 16:09:47 »
Je bent goed bezig tommy. Het decrypt.py programma doet het. :)

Uit de code van decrypt.py maak ik op dat deze foutmelding kan betekenen dat er geen sleutel wordt gevonden in het bestand.
try:
    pub_key = data.split("<IDPubKey++>")[1].split("<IDPubKey-->")[0]
    ciph_key = data.split("<AesRPass++>")[1].split("<AesRPass-->")[0]
    data_len = int(data.split("<cfg++0>")[1].split("<cfg--0>")[0])
except:
    print "[-] Error parsing file footer"

Als ik de code goed begrijp staat de sleutel achter de tekst IDPubKey. Je kan zoeken of deze tekst voorkomt in het bestand met de opdracht:
cat fqwce5.e153 | grep IDPubKey
Korte uitleg: cat toont het bestand, de verticale steep | stuurt de uitvoer naar de volgende opdracht te weten grep die naar de tekst IDPubKey zoekt.

Komt de tekst IDPubKey helemaal niet voor in het bestand weet ik zo niet hoe je het bestand met decrypt.py kan ontcijferen.  :(
Klik links bovenin op Documentatie

Offline tommy

  • Lid
Re: tutorial python
« Reactie #9 Gepost op: 2016/03/06, 17:57:15 »
Je bent goed bezig tommy. Het decrypt.py programma doet het. :)

Uit de code van decrypt.py maak ik op dat deze foutmelding kan betekenen dat er geen sleutel wordt gevonden in het bestand.
try:
    pub_key = data.split("<IDPubKey++>")[1].split("<IDPubKey-->")[0]
    ciph_key = data.split("<AesRPass++>")[1].split("<AesRPass-->")[0]
    data_len = int(data.split("<cfg++0>")[1].split("<cfg--0>")[0])
except:
    print "[-] Error parsing file footer"

Als ik de code goed begrijp staat de sleutel achter de tekst IDPubKey. Je kan zoeken of deze tekst voorkomt in het bestand met de opdracht:
cat fqwce5.e153 | grep IDPubKey
Korte uitleg: cat toont het bestand, de verticale steep | stuurt de uitvoer naar de volgende opdracht te weten grep die naar de tekst IDPubKey zoekt.

Komt de tekst IDPubKey helemaal niet voor in het bestand weet ik zo niet hoe je het bestand met decrypt.py kan ontcijferen.  :(

Na een paar keer proberen kreeg met de commando's die u hier poste kreeg ik de boodschap om ipython te gebruiken dit heb ik gedaan met de deze commando's:

ipython ./decrypt.py “fqwce5.e153”

toen kreeg dit (zie foto ook)
[-] Error opening file “fqwce5.e153”
An exception has occurred, use %tb to see the full traceback.
SystemExit: 1

ipython ./decrypt.py fqwce5.e153

toen kreeg dit (zie foto ook)
[-] Error parsing file footer
An exception has occurred, use %tb to see the full traceback.

SystemExit: 1



ipython ./decrypt.py \fqwce5.e153\

toen kreeg dit (zie foto ook)
tommy0777@ubuntu:~$ ipython ./decrypt.py \fqwce5.e153\
>

foto:




Daarna het ik het volgende geprobeerd :

ipython ./decrypt.py “fqwce5.e153”

toen kreeg dit (zie foto ook) :
[-] Error opening file “fqwce5.e153”
An exception has occurred, use %tb to see the full traceback.

SystemExit: 1

Daarna heb ik dit commando geprobeerd:
pub_key = data.split("<IDPubKey++>")[1].split("<IDPubKey-->")[0]

ciph_key = data.split("<AesRPass++>")[1].split("<AesRPass-->")[0]

data_len = int(data.split("<cfg++0>")[1].split("<cfg--0>")[



toen kreeg ik dit (zie foto ook):
bash: syntax error near unexpected token


Er staat iets van use %tb to see the full traceback maar hoe dit commando juist gebruik weet ik niet ?

foto:




Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: tutorial python
« Reactie #10 Gepost op: 2016/03/08, 21:18:42 »
Sorry, ik ben blijkbaar niet duidelijk geweest.

De “commando’s” die ik noemde komen uit de programmacode van decrypt.py en zijn niet om uit te voeren in een terminalvenster.

Alleen de volgende opdracht was om uit te voeren om te zien of de bestanden wel een sleutel hebben:
cat fqwce5.e153 | grep IDPubKey
Zonder deze sleutel kan decrypt.py de bestanden niet ontcijferen (en krijg je de foutmelding “Error parsing file footer”).
Klik links bovenin op Documentatie

Offline tommy

  • Lid
Re: tutorial python
« Reactie #11 Gepost op: 2016/03/13, 14:18:42 »
Sorry, ik ben blijkbaar niet duidelijk geweest.

De “commando’s” die ik noemde komen uit de programmacode van decrypt.py en zijn niet om uit te voeren in een terminalvenster.

Alleen de volgende opdracht was om uit te voeren om te zien of de bestanden wel een sleutel hebben:
cat fqwce5.e153 | grep IDPubKey
Zonder deze sleutel kan decrypt.py de bestanden niet ontcijferen (en krijg je de foutmelding “Error parsing file footer”).
hallo,

vandaag even tijd gehand om verder onderzoek te doen.
U was wel duidelijk genoeg maar alles is ook nieuw voor mij.

ik heb het commando  cat fqwce5.e153 | grep IDPubKey in de terminalvenster ingegeven er gebeurt niet veel niks eigenlijk zie foto.

waarom gebeurt er niks ?


Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: tutorial python
« Reactie #12 Gepost op: 2016/03/14, 20:41:38 »
ik heb het commando  cat fqwce5.e153 | grep IDPubKey in de terminalvenster ingegeven er gebeurt niet veel niks eigenlijk zie foto.
Dan is er geen IDPubKey in het bestand aanwezig en als ik het programma goed begrijp kan het bestand niet met decrypt.py worden ontcijferd.  :(
Klik links bovenin op Documentatie

Offline Keesjan

  • Lid
Re: tutorial python
« Reactie #13 Gepost op: 2016/05/19, 09:26:38 »
http://cookieverwijderen.nl/ransomware/locky-bestandsvirus

lijkt de artikelen kunnen niet worden gelezen als gecodeerd door het virus.  :angel:

Offline MKe

  • Lid
Re: tutorial python
« Reactie #14 Gepost op: 2016/05/19, 11:14:28 »
Ik snap die tutorial niet of ik lees niet goed, dat kan natuurlijk ook. In ransomware wordt de key gewoon onversleuteld opgeslagen in de files??? Dat is toch niet echt een slimme manier van versleutelen of wel? Zo van "ik doe de deur op slot, maar laat de sleutel in het slot zitten". Of lees ik dit nu verkeerd?

En blijkbaar is een secret key te genereren uit een public key?