Как расшифровать или вернуть зашифрованные файлы, зараженные известными шифрующими вымогателями вирусами.

В последние годы киберпреступники распространяют новый тип вирусов, которые могут зашифровать файлы на вашем компьютере (или в вашей сети) с целью зарабатывания легких денег от своих жертв. Этот тип вирусов называется «вымогателями», и они могут заразить компьютерные системы, если пользователь компьютера не обращает внимания при открытии вложений или ссылок от неизвестных отправителей или сайтов, которые были взломаны киберпреступниками. Согласно моему опыту, единственный безопасный способ защитить себя от вирусов этого типа — это хранить чистые резервные копии ваших файлов, хранящихся отдельно от вашего компьютера. Например, на отключенном внешнем жестком диске USB или в DVD-Rom.

В этой статье содержится важная информация о некоторых известных шифрующих вымогателей -crypt-вирусов, которые были разработаны для шифрования критических файлов, а также доступные параметры утилиты для расшифровки ваших зашифрованных файлов при заражении. Я написал эту статью, чтобы хранить всю информацию о доступных инструментах дешифрования в одном месте, и я постараюсь, чтобы эта статья обновлялась. Пожалуйста, поделитесь с нами своим опытом и любой другой новой информацией, которую вы можете знать, чтобы помочь друг другу.

Как расшифровать файлы, зашифрованные с Ransomware — Описание Известные инструменты дешифрования — Методы:

CryptoDefense How_Decrypt — Информация о вирусе Дешифрование.

Cryptodefense это еще один вирус-вымогатель, который может зашифровать все файлы на вашем компьютере независимо от их расширения (типа файла) с помощью надежного шифрования, что делает практически невозможным их расшифровку. Вирус может отключить функцию «Восстановление системы» на зараженном компьютере и удалить все файлы «Теневых копий томов», поэтому вы не можете восстановить файлы до их предыдущих версий. При заражении Cryptodefense Вирус-вымогатель создает два файла в каждой зараженной папке («How_Decrypt.txt» и «How_Decrypt.html») с подробными инструкциями о том, как заплатить выкуп за расшифровку ваших файлов, и отправляет закрытый ключ (пароль) на частный сервер чтобы быть использованным преступником для расшифровки ваших файлов.

Детальный анализ Cryptodefense заражение и вымогательство вымогателей можно найти в этом посте:

Как расшифровать Cryptodefense зашифрованные файлы и вернуть ваши файлы:

Для того, чтобы расшифровать Cryptodefense зараженные файлы у вас есть эти параметры:

A. Первый вариант — заплатить выкуп. Если вы решите сделать это, то приступайте к оплате на свой страх и риск, потому что, согласно нашему исследованию, некоторые пользователи возвращают свои данные, а другие нет. Имейте в виду, что преступники не самые надежные люди на планете.

B. Второй вариант — очистить зараженный компьютер, а затем восстановить зараженные файлы из чистой резервной копии (если она у вас есть).

C. Если у вас нет чистой резервной копии, вы можете попытаться восстановить файлы в предыдущих версиях из «Теневых копий». Обратите внимание, что эта процедура работает только в ОС Windows 8, Windows 7 и Vista и только если «Восстановление системы«функция была ранее включена на вашем компьютере и не была отключена после Cryptodefense инфекция.

Как расшифровать зараженные файлы Cryptorbit и вернуть их обратно:

Для того, чтобы расшифровать Cryptorbit Зашифрованные файлы у вас есть эти параметры:

A. Первый вариант — заплатить выкуп. Если вы решите сделать это, то приступайте к оплате на свой страх и риск, потому что согласно нашему исследованию некоторые пользователи возвращают свои данные, а другие нет.

B. Второй вариант — очистить зараженный компьютер, а затем восстановить зараженные файлы из чистой резервной копии (если она у вас есть).

C. Если у вас нет чистой резервной копии, вы можете попытаться восстановить файлы в предыдущих версиях из «Теневых копий». Обратите внимание, что эта процедура работает только в ОС Windows 8, Windows 7 и Vista и только если «Восстановление системы«функция была ранее включена на вашем компьютере и не была отключена после Cryptorbit инфекция.

Как расшифровать зараженные файлы Cryptolocker и вернуть их обратно:

Для того, чтобы расшифровать Cryptolocker зараженные файлы у вас есть эти параметры:

A. Первый вариант — заплатить выкуп. Если вы решите сделать это, то приступайте к оплате на свой страх и риск, потому что согласно нашему исследованию некоторые пользователи возвращают свои данные, а другие нет.

B. Второй вариант — очистить зараженный компьютер, а затем восстановить зараженные файлы из чистой резервной копии (если она у вас есть).

C. Если у вас нет чистой резервной копии, вы можете попытаться восстановить файлы в предыдущих версиях из «Теневых копий». Обратите внимание, что эта процедура работает только в ОС Windows 8, Windows 7 и Vista и только если «Восстановление системы«функция была ранее включена на вашем компьютере и не была отключена после Cryptolocker инфекция.

  • Реферальная ссылка: Как восстановить ваши файлы из теневых копий.

D. В августе 2014 года FireEye  Fox-IT выпустила новый сервис, который извлекает закрытый ключ дешифрования для пользователей, которые были заражены вымогателем CryptoLocker. Сервис называетсяDecryptCryptoLocker«(услуга прекращена), она доступна во всем мире и не требует от пользователей регистрации или предоставления контактной информации для ее использования.

Чтобы воспользоваться этой услугой, вам необходимо посетить этот сайт: (служба прекращена) и загрузить один зашифрованный файл CryptoLocker с зараженного компьютера (обратите внимание: загрузите файл, который не содержит конфиденциальную и / или личную информацию). После этого вы должны указать адрес электронной почты, чтобы получить свой закрытый ключ, и ссылку для загрузки инструмента расшифровки. Наконец, запустите загруженный инструмент дешифрования CryptoLocker (локально на вашем компьютере) и введите свой закрытый ключ, чтобы расшифровать зашифрованные файлы CryptoLocker.

Более подробную информацию об этой услуге можно найти здесь: FireEye и Fox-IT объявляют о новой службе, чтобы помочь жертвам CryptoLocker.

DecryptCryptoLocker

CryptXXX V1, V2, V3 (варианты: .crypt, crypz или 5 шестнадцатеричных символов).

  • CryptXXX V1 CryptXXX V2  Ransomware шифрует ваши файлы и добавляет расширение «.crypt» в конце каждого файла после заражения.
  • CryptXXX v3 добавляет расширение «.cryptz» после шифрования ваших файлов.

Троян CryptXXX шифрует файлы следующих типов:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT , .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF,. GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID , .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG,. ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS , PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH , .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF,. SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ , .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX

Как расшифровать файлы CryptXXX.

Если вы заражены CryptXXX Версии 1 или Версии 2, используйте инструмент Kaspersky RannohDecryptor для расшифровки ваших файлов.

Если вы заражены CryptXXX версии 3, используйте расшифровщик файлов Trend Micro. *

Заметка: Благодаря расширенному шифрованию вируса CryptXXX V3, в настоящее время возможно только частичное дешифрование данных, и вам необходимо использовать инструмент восстановления третьей стороны для восстановления ваших файлов, например: http://www.stellarinfo.com/file-repair/file-repair -toolkit.php

Locky Автоблокировка (варианты: .locky)

Locky Ransomware шифрует ваши файлы, используя шифрование RSA-2048 и AES-128, и после заражения все ваши файлы переименовываются с уникальным — 32-символьным именем файла с расширением «.locky» (например, «1E776633B7E6DFE7ACD1B1A5E9577BCE.locky»).  Locky Вирус может заразить локальные или сетевые диски и во время заражения создает файл с именем «_HELP_instructions.html» в каждой зараженной папке с инструкциями о том, как вы можете заплатить выкуп и расшифровать свои файлы с помощью браузера TOR.

AutoLocky это еще один вариант вируса Локи. Основное различие между Locky и Autolocky заключается в том, что Autolocky не будет изменять исходное имя файла во время заражения. (например, если файл с именем «Document1.doc» до заражения, Autolocky переименовывает его в «Document1.doc.locky»)

Как расшифровать .LOCKY файлы:

  1. Первый вариант — очистить зараженный компьютер, а затем восстановить зараженные файлы из чистой резервной копии (если она у вас есть).
  2. Второй вариант, если у вас нет чистой резервной копии, это восстановить ваши файлы в предыдущих версиях из «Теневых копий». Как восстановить ваши файлы из Shadow Copies.
  3. Третий вариант — использовать Emsisoft Decrypter for AutoLocky для расшифровки ваших файлов. (Расшифровщик работает только для Autolocky).

Trojan-Ransom.Win32.Rector — Информация о вирусе Дешифрование.

Троянский ректор шифрует файлы со следующими расширениями: .доктор, .JPG, .PDF .ЭОР, и после заражения это делает их непригодными для использования. Как только ваши файлы заражены Trojan Rector, расширения зараженных файлов изменяются на .VSCRYPT, .INFECTED, .KORREKTOR или .BLOC и это делает их непригодными для использования. Когда вы пытаетесь открыть зараженные файлы, на вашем экране появляется сообщение кириллицей, в котором содержится требование выкупа и данные об оплате. Киберпреступник, который называет троянского ректора «††KoppeKTop†† и просит связаться с ним по электронной почте или ICQ (EMAIL: v-martjanov@mail.ru / ICQ: 557973252 или 481095), чтобы дать инструкции о том, как разблокировать ваши файлы.

Как расшифровать файлы, зараженные Trojan Rector, и вернуть их обратно:

Совет: Скопируйте все зараженные файлы в отдельный каталог и закройте все открытые программы, прежде чем приступать к сканированию и дешифрованию затронутых файлов.

1. Скачать Ректор декриптор утилита (от Лаборатории Касперского) на ваш компьютер.

2. Когда загрузка будет завершена, запустите RectorDecryptor.exe.

3.  Нажмите «Начать сканированиеКнопка для сканирования ваших дисков на наличие зашифрованных файлов.

образ

4. Позвольте утилите RectorDecryptor сканировать и дешифровать зашифрованные файлы (с расширениями .vscrypt, .infected, .bloc, .korrektor), а затем выберите опцию «Удалить зашифрованные файлы после расшифровки«если расшифровка прошла успешно. *

* После расшифровки вы можете найти журнал отчетов о процессе сканирования / дешифрования в корне диска C: \ (например, «C: \ RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt»).

5. Наконец, продолжайте проверять и очищать вашу систему от вредоносных программ, которые могут существовать на ней.

Источник — Дополнительная информация: http://support.kaspersky.com/viruses/disinfection/4264#block2

Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev — Информация о вирусе Дешифрование.

Троян Рэнсом Ксорист  Троян Рансом Вальдев, шифрует файлы со следующими расширениями:

DOC, XLS, DOCX, XLSX, дБ, mp3, Waw, JPG, JPEG, TXT, RTF, PDF, RAR, ZIP, PSD, MSI, TIF, WMA, LNK, GIF, BMP, PPT, PPTX, DOCM, XLSM, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, волна, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, чернила, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, цель, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, точка, dotm, dotx, dvi, dxe, mlx, эээ, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, человек, mbox, msg, nfo, теперь odm, oft, pwi, rng, rtx, запустить, ssa, текст, unx, wbk, wsh, 7z, arc, ari, arj, автомобиль, cbr, cbz, gz, gzig, jgz, пак, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, s fs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, война, xpi, z02, z04, zap, zipx, зоопарк, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, карта, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, грустно, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, сша, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, диск, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, кмз, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, для, fpp, jav, java, lbi, owl, pl, plc, pl, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

После заражения Троян Рэнсом Ксорист ставит под угрозу безопасность вашего компьютера, делает его нестабильным и отображает на экране сообщения с требованием выкупа для расшифровки зараженных файлов. В сообщениях также содержится информация о том, как заплатить выкуп, чтобы получить утилиту дешифрования от киберпреступников.

Как расшифровать файлы, зараженные Trojan Win32.Xorist или Trojan MSIL.Vandev:

Совет: Скопируйте все зараженные файлы в отдельный каталог и закройте все открытые программы, прежде чем приступать к сканированию и дешифрованию затронутых файлов.

1. Скачать Xorist Decryptor утилита (от Лаборатории Касперского) на ваш компьютер.

2. Когда загрузка будет завершена, запустите XoristDecryptor.exe.

Заметка: Если вы хотите удалить зашифрованные файлы после завершения расшифровки, нажмите «Изменить параметры«вариант и отметьте»Удалить зашифрованные файлы после расшифровки«флажок под»Дополнительные опции».

3.  Нажмите «Начать сканированиекнопка.

образ

4. Введите путь хотя бы одного зашифрованного файла и дождитесь, пока утилита расшифрует зашифрованные файлы.

5. Если расшифровка прошла успешно, перезагрузите компьютер, а затем просканируйте и очистите систему от вредоносных программ, которые могут существовать на нем.

Источник — Дополнительная информация: http://support.kaspersky.com/viruses/disinfection/2911#block2

Trojan-Ransom.Win32.Rakhni — Информация о вирусе Дешифрование.

Троян Рансом Рахни шифрует файлы, изменяя расширения файлов следующим образом:

..
..
..
..
..
..
..
..
..
..Pizda @ qq_com

После шифрования ваши файлы становятся непригодными для использования и безопасность вашей системы нарушается. Так же Trojan-Ransom.Win32.Rakhni создает файл на вашем %ДАННЫЕ ПРИЛОЖЕНИЯ% папка с именем «exit.hhr.oshit«который содержит зашифрованный пароль для зараженных файлов.

Предупреждение: Trojan-Ransom.Win32.Rakhni создает «exit.hhr.oshit«файл, который содержит зашифрованный пароль к файлам пользователя. Если этот файл остается на компьютере, он будет расшифрован с помощью RakhniDecryptor Утилита быстрее. Если файл был удален, его можно восстановить с помощью утилит для восстановления файлов. После восстановления файла поместите его в %ДАННЫЕ ПРИЛОЖЕНИЯ% и запустите сканирование с помощью утилиты еще раз.

%ДАННЫЕ ПРИЛОЖЕНИЯ% расположение папки:

  • Windows XP: C: \ Documents and Settings \\ Данные приложения
  • Windows 7/8: C: \ Users \\ AppData \ Roaming

Как расшифровать файлы, зараженные Trojan Rakhni, и вернуть их обратно:

1. Скачать Рахни Декриптор утилита (от Лаборатории Касперского) на ваш компьютер.

2. Когда загрузка будет завершена, запустите RakhniDecryptor.exe.

Заметка: Если вы хотите удалить зашифрованные файлы после завершения расшифровки, нажмите «Изменить параметры«вариант и отметьте»Удалить зашифрованные файлы после расшифровки«флажок под»Дополнительные опции».

3.  Нажмите «Начать сканированиеКнопка для сканирования ваших дисков на наличие зашифрованных файлов.

образ

4. Введите путь как минимум к одному зашифрованному файлу (например, «file.doc.locked») и подождите, пока утилита не восстановит пароль из «exit.hhr.oshit«файл (обратите внимание на Предупреждение) и расшифровывает ваши файлы.

Источник — Дополнительная информация: http://support.kaspersky.com/viruses/disinfection/10556#block2

Trojan-Ransom.Win32.Rannoh (Троян-Ransom.Win32.Cryakl) — Информация о вирусе Дешифрование.

Троян Раннох или Троян Криакл шифрует все файлы на вашем компьютере следующим образом:

  • В случае Trojan-Ransom.Win32.Rannoh заражение, имена файлов и расширения будут изменены в соответствии с шаблоном заблокирован-
  • В случае Trojan-Ransom.Win32.Cryakl При заражении тег {CRYPTENDBLACKDC} добавляется в конец имени файла.

Как расшифровать файлы, зараженные Trojan Rannoh или Trojan Cryakl, и получить их обратно:

Важный: Rannoh Decryptor Утилита расшифровывает файлы, сравнивая один зашифрованный и один зашифрованный файл. Так что если вы хотите использовать Rannoh Decryptor Утилита для дешифрования файлов Вы должны иметь оригинальную копию хотя бы одного зашифрованного файла до заражения (например, из чистой резервной копии).

1. Скачать Rannoh Decryptor утилита для вашего компьютера.

2. Когда загрузка будет завершена, запустите RannohDecryptor.exe

Заметка: Если вы хотите удалить зашифрованные файлы после завершения расшифровки, нажмите «Изменить параметры«вариант и отметьте»Удалить зашифрованные файлы после расшифровки«флажок под»Дополнительные опции».

3.  Нажмите «Начать сканированиекнопка.

образ

4. Прочитайте сообщение «Требуется информация», а затем нажмите «Продолжать«и укажите путь к исходной копии хотя бы одного зашифрованного файла до заражения (clean — original — file) и путь к зашифрованному файлу (зараженный — encrypted -file).

образ

5. После расшифровки вы можете найти журнал отчетов о процессе сканирования / дешифрования в корне диска C: \. (например, «C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt»).

Источник — Дополнительная информация: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (Варианты: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv)

TeslaCrypt Вирус вымогателей добавляет следующие расширения к вашим файлам: .ecc, .ezz, .exx, .xyz, .zzz ,. ааа, .abc, .ccc, .vvv.

Как расшифровать файлы TeslaCrypt:

Если вы заражены вирусом TeslaCrypt, воспользуйтесь одним из следующих инструментов для расшифровки ваших файлов:

  1.  TeslaDecoder: дополнительная информация и инструкции по использованию TeslaDecoder можно найти в этой статье: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
  2. Trend Micro Ransomware File Decryptor.

TeslaCrypt V3.0 (варианты: .xxx, .ttt, .micro, .mp3)

TeslaCrypt 3,0 Вирус вымогателей добавляет следующие расширения к вашим файлам: .xxx, .ttt, .micro .mp3

Как расшифровать файлы TeslaCrypt V3.0:

Если вы заражены TeslaCrypt 3.0 затем попытайтесь восстановить ваши файлы с помощью:

  1. Инструмент расшифровки файлов Micro Ransomware от Trend.
  2. РахниДекриптор (Как руководить)
  3. Тесла Декодер (Как руководить)
  4. Тесладекрипт — Макафи

TeslaCrypt V4.0 (имя и расширение файла не изменены)

Чтобы расшифровать файлы TeslaCrypt V4, попробуйте одну из следующих утилит:

  1. Инструмент расшифровки файлов Micro Ransomware от Trend.
  2. РахниДекриптор (Как руководить)
  3. Тесла Декодер (Как руководить)
Ссылка на основную публикацию