Indholdsfortegnelse
I de seneste år har cyberkriminelle distribueret en ny type virus, der kan kryptere filer på din computer (eller dit netværk) med det formål at tjene lette penge fra deres ofre. Denne type virus kaldes "Ransomware", og de kan inficere computersystemer, hvis computerbrugeren ikke er opmærksom, når han/hun åbner vedhæftede filer eller links fra ukendte afsendere eller websteder, der er blevet hacket afIfølge min erfaring er den eneste sikre måde at beskytte sig mod denne type virus på at have rene sikkerhedskopier af sine filer gemt et andet sted end på computeren, f.eks. på en ekstern USB-harddisk uden stik eller på DVD-rom'er.
Denne artikel indeholder vigtige oplysninger om nogle kendte krypterende ransomware -crypt- vira, der er designet til at kryptere kritiske filer plus de tilgængelige muligheder & værktøjer for at dekryptere dine krypterede filer efter infektion. Jeg skrev denne artikel for at holde alle oplysninger om de tilgængelige dekrypteringsværktøjer på ét sted, og jeg vil forsøge at holde denne artikel opdateret. Del venligstmed os dine erfaringer og alle andre nye oplysninger, du måtte få kendskab til, så vi kan hjælpe hinanden.
Sådan dekrypteres filer krypteret fra Ransomware - Beskrivelse og kendte dekrypteringsværktøjer - Metoder:
- RANSOWARE NAVN CryptowallCryptoDefense & How_DecryptCryptorbit eller HowDecryptCryptolocker (Troj/Ransom-ACP", "Trojan.Ransomcrypt.F)CryptXXX V1, V2, V3 (Varianter: .crypt , crypz, eller 5 hexadecimale tegn)Locky & AutoLocky (Varianter: .locky)Trojan-Ransom.Win32.RectorTrojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.VandevTrojan-Ransom.Win32.RakhniTrojan-Ransom.Win32.Rannoh eller Trojan-Ransom.Win32.Cryakl.TeslaCrypt(Varianter: .ecc, .ezz, .exx, .xyz, .zzzzz, .aaa, .abc, .ccc, & .vvvv)TeslaCrypt 3.0 (Varianter: .xxx, .ttt, .micro, .mp3)TeslaCrypt 4.0 (Filnavn og udvidelse uændret)
Opdateringer juni 2016:
1. Trend Micro har frigivet et Ransomware File Decryptor-værktøj til at forsøge at dekryptere filer, der er krypteret af følgende ransomware-familier:
CryptXXX V1, V2, V3* .crypt , crypz, eller 5 hexadecimale tegn
CryptXXX V4, V5 .5 Hexadecimale tegn
TeslaCrypt V1 .ECC
TeslaCrypt V2 .VVVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 .XXX eller TTT eller MP3 eller MICRO
TeslaCrypt V4 . SNSLocker .RSNSLocked
AutoLocky .locky
BadBlock 777 .777
XORIST .xorist eller tilfældig udvidelse
XORBAT .crypted
CERBER V1 <10 tilfældige tegn>.cerber
Stampado .låst
Nemucod .crypted
Chimera .crypt
* Bemærk: Gælder for CryptXXX V3 ransomware: På grund af den avancerede kryptering af denne særlige Crypto-Ransomware er det i øjeblikket kun muligt at dekryptere en del af dataene i filer, der er påvirket af CryptXXX V3, og du er nødt til at bruge et tredjepartsreparationsværktøj til at reparere dine filer som: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Hvis du vil downloade Trend Micro's Ransomware File Decrypter-værktøj (og læse vejledningen om, hvordan du bruger det), kan du gå til denne side: Downloading and Using the Trend Micro Ransomware File Decryptor (Hentning og brug af Trend Micro Ransomware File Decryptor)
2. Kasperky har frigivet følgende dekrypteringsværktøjer:
A. Kaspersky's RakhniDecryptor-værktøj er designet til at dekryptere filer, der er påvirket af*:
Bemærk: RakhniDecryptor-værktøjet er altid opdateret for at dekryptere filer fra flere ransomware-familier.
Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Cryptokluchen
Demokrati
Bitman - TeslaCrypt version 3 og 4
B. Kaspersky's RannohDecryptor værktøj er designet til at dekryptere filer, der er påvirket af:
Rannoh
AutoIt
Fury
Crybola
Cryakl
CryptXXX version 1 og 2
Cryptowalll - Virus oplysninger og dekrypteringsmuligheder.
Cryptowall (eller " Cryptowall Decrypter ") virus er den nye variant af Cryptodefense ransomware-virus. Når en computer er inficeret med Cryptowall ransomware, så bliver alle kritiske filer på computeren (herunder filerne på tilknyttede -netværksdrev, hvis du er logget ind på et netværk) krypteret med stærk kryptering, som gør det praktisk talt umuligt at dekryptere dem. Efter at Cryptowall kryptering, virus skaber og sender den private nøgle (password) til en privat server for at blive brugt af den kriminelle til at dekryptere dine filer. Derefter informerer de kriminelle deres ofre om, at alle deres vigtige filer er krypteret, og den eneste måde at dekryptere dem på er at betale en løsesum på 500$ (eller mere) inden for en bestemt tidsperiode, ellers vil løsesummen blive fordoblet eller deres filer vil gå tabtpermanent.
Sådan dekrypterer du Cryptowall-inficerede filer og får dine filer tilbage:
Hvis du ønsker at dekryptere Cryptowall krypterede filer og få dine filer tilbage, så har du disse muligheder:
A. Den første mulighed er at betale løsesummen. Hvis du beslutter dig for at gøre det, så fortsæt med betalingen på egen risiko, fordi ifølge vores forskning får nogle brugere deres data tilbage, og andre ikke. Husk på, at kriminelle ikke er de mest troværdige mennesker på planeten.
B. Den anden mulighed er at rense den inficerede computer og derefter gendanne dine inficerede filer fra en ren sikkerhedskopi (hvis du har en).
C. Hvis du ikke har en ren sikkerhedskopi, er den eneste mulighed, der er tilbage, at gendanne dine filer i tidligere versioner fra " Skyggekopier ". Bemærk, at denne procedure kun fungerer i Windows 8, Windows 7 og Vista OS og kun hvis " Systemgendannelse " tidligere var aktiveret på din computer og ikke blev deaktiveret, efter at Cryptowall infektion.
- Henvisningslink: Sådan gendanner du dine filer fra skyggekopier.
En detaljeret analyse af Cryptowall ransomware-infektion og fjernelse kan findes i dette indlæg:
- Sådan fjerner du CryptoWall virus og gendanner dine filer
CryptoDefense & How_Decrypt - virusinformation og dekryptering.
Cryptodefense er en anden ransomware-virus, der kan kryptere alle filer på din computer uanset deres udvidelse (filtype) med en stærk kryptering, så det er praktisk talt umuligt at dekryptere dem. Virussen kan deaktivere " Systemgendannelse " funktion på den inficerede computer og kan slette alle " Skyggevolumenkopier " filer, så du kan ikke gendanne dine filer til deres tidligere versioner. Ved infektion Cryptodefense ransomware virus, opretter to filer på hver inficeret mappe ("How_Decrypt.txt" og "How_Decrypt.html") med detaljerede instruktioner om, hvordan du skal betale løsesummen for at dekryptere dine filer og sender den private nøgle (adgangskode) til en privat server, så den kriminelle kan bruge den til at dekryptere dine filer.
En detaljeret analyse af Cryptodefense ransomware-infektion og fjernelse kan findes i dette indlæg:
- Sådan fjerner du CryptoDefense virus og gendanner dine filer
Sådan dekrypterer du krypterede filer fra Cryptodefense og får dine filer tilbage:
For at dekryptere Cryptodefense inficerede filer har du disse muligheder:
A. Den første mulighed er at betale løsesummen. Hvis du beslutter dig for at gøre det, så fortsæt med betalingen på egen risiko, for ifølge vores undersøgelser får nogle brugere deres data tilbage, mens andre ikke gør det.
B. Den anden mulighed er at rense den inficerede computer og derefter gendanne dine inficerede filer fra en ren sikkerhedskopi (hvis du har en).
C. Hvis du ikke har en ren sikkerhedskopi, kan du forsøge at gendanne dine filer i tidligere versioner fra " Skyggekopier ". Bemærk, at denne procedure kun fungerer i Windows 8, Windows 7 og Vista OS og kun hvis " Systemgendannelse " tidligere var aktiveret på din computer og ikke blev deaktiveret efter at Cryptodefense infektion.
- Henvisningslink: Sådan gendanner du dine filer fra skyggekopier.
D. Endelig, hvis du ikke har en ren sikkerhedskopi, og du ikke kan gendanne dine filer fra " Skyggekopier ", så kan du forsøge at dekryptere Cryptodefense's krypterede filer ved at bruge Emsisoft's Decryptor Det skal du gøre:
Vigtig meddelelse: Dette værktøj virker kun på computere, der er inficeret før den 1. april 2014.
1. Download “ Emsisoft Decrypter " til din computer (f.eks. din Skrivebord ).
2. Når download er afsluttet, skal du gå til din Skrivebord og " Uddrag " den " decrypt_cryptodefense.zip " fil.
3. Nu dobbeltklik på til at køre " decrypt_cryptodefense" nytte.
4. Tryk til sidst på " Dekrypter " for at dekryptere dine filer.
Kilde - Yderligere oplysninger: En detaljeret vejledning om, hvordan du dekrypterer krypterede CryptoDefense-filer ved hjælp af Emsisoft's dekrypter kan findes her: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit eller HowDecrypt - Virus Information & Decryption.
Cryptorbit eller HowDecrypt virus er en ransomware-virus, der kan kryptere alle filer på din computer. Når din computer er inficeret med Cryptorbit virus krypteres alle dine vigtige filer uanset deres udvidelse (filtype) med en stærk kryptering, der gør det praktisk talt umuligt at dekryptere dem. Virussen opretter også to filer i hver inficeret mappe på din computer (" HowDecrypt.txt " og "HowDecrypt.gif") med detaljerede instruktioner om, hvordan du kan betale løsesummen og dekryptere dine filer.
En detaljeret analyse af Cryptorbit ransomware-infektion og fjernelse kan findes i dette indlæg:
- Sådan fjerner du Cryptorbit (HOWDECRYPT) virus og gendanner dine filer
Sådan dekrypterer du Cryptorbit-inficerede filer og får dine filer tilbage:
For at dekryptere Cryptorbit krypterede filer har du disse muligheder:
A. Den første mulighed er at betale løsesummen. Hvis du beslutter dig for at gøre det, så fortsæt med betalingen på egen risiko, fordi ifølge vores forskning får nogle brugere deres data tilbage, og andre ikke.
B. Den anden mulighed er at rense den inficerede computer og derefter gendanne dine inficerede filer fra en ren sikkerhedskopi (hvis du har en).
C. Hvis du ikke har en ren sikkerhedskopi, kan du forsøge at gendanne dine filer i tidligere versioner fra " Skyggekopier ". Bemærk, at denne procedure kun fungerer i Windows 8, Windows 7 og Vista OS og kun hvis " Systemgendannelse " tidligere var aktiveret på din computer og ikke blev deaktiveret efter at Cryptorbit infektion.
- Henvisningslink: Sådan gendanner du dine filer fra skyggekopier.
D. Endelig, hvis du ikke har en ren sikkerhedskopi, og du ikke kan gendanne dine filer fra " Skyggekopier ", så kan du forsøge at dekryptere Cryptorbit's krypterede filer ved at bruge Anti-CryptorBit Det skal du gøre:
1. Download “ Anti-CryptorBit " til din computer (f.eks. din Skrivebord )
2. Når download er afsluttet, skal du gå til din Skrivebord og " Uddrag " den " Anti-CryptorBitV2.zip " fil.
3. Nu dobbeltklik på til at køre Anti-CryptorBitv2 nytte.
4. Vælg den type filer, du vil gendanne (f.eks. "JPG").
5. Vælg endelig den mappe, der indeholder de beskadigede/krypterede (JPG) filer, og tryk derefter på " Start " for at rette dem.
Cryptolocker - Virusinformation og dekryptering.
Cryptolocker (også kendt som " Troj/Ransom-ACP ", " Trojan.Ransomcrypt.F ") er en Ransomware ondskabsfuld virus (TROJAN), og når den inficerer din computer, krypterer den alle filer uanset deres udvidelse (filtype). Den dårlige nyhed med denne virus er, at når den inficerer din computer, krypteres dine vigtige filer med stærk kryptering, og det er praktisk talt umuligt at dekryptere dem. Når en computer er inficeret med Cryptolocker-virus, vises der en informationsmeddelelsevises på offerets computer og kræver en betaling (løsesum) på 300$ (eller mere) for at dekryptere dine filer.
En detaljeret analyse af Cryptolocker ransomware-infektion og fjernelse kan findes i dette indlæg:
- Sådan fjerner du CryptoLocker Ransomware og gendanner dine filer
Sådan dekrypterer du Cryptolocker-inficerede filer og får dine filer tilbage:
For at dekryptere Cryptolocker inficerede filer har du disse muligheder:
A. Den første mulighed er at betale løsesummen. Hvis du beslutter dig for at gøre det, så fortsæt med betalingen på egen risiko, fordi ifølge vores forskning får nogle brugere deres data tilbage, og andre ikke.
B. Den anden mulighed er at rense den inficerede computer og derefter gendanne dine inficerede filer fra en ren sikkerhedskopi (hvis du har en).
C. Hvis du ikke har en ren sikkerhedskopi, kan du forsøge at gendanne dine filer i tidligere versioner fra " Skyggekopier ". Bemærk, at denne procedure kun fungerer i Windows 8, Windows 7 og Vista OS og kun hvis " Systemgendannelse " tidligere var aktiveret på din computer og ikke blev deaktiveret efter at Cryptolocker infektion.
- Henvisningslink: Sådan gendanner du dine filer fra skyggekopier.
D. I august 2014 har FireEye & Fox-IT frigivet en ny tjeneste, der henter den private dekrypteringsnøgle til brugere, der er blevet inficeret af CryptoLocker-ransomware. Tjenesten hedder ' DecryptCryptoLocker ' (tjenesten er ophørt), er den tilgængelig globalt og kræver ikke, at brugerne skal registrere sig eller give kontaktoplysninger for at bruge den.
For at bruge denne tjeneste skal du besøge dette websted: (tjenesten er ophørt) og uploade en krypteret CryptoLocker-fil fra den inficerede computer (Bemærk: upload en fil, der ikke indeholder følsomme og/eller private oplysninger). Når du har gjort det, skal du angive en e-mailadresse for at modtage din private nøgle og et link til at downloade dekrypteringsværktøjet. Til sidst skal du køredownloadet CryptoLocker-dekrypteringsværktøj (lokalt på din computer) og indtast din private nøgle for at dekryptere dine krypterede CryptoLocker-filer.
Du kan finde flere oplysninger om denne tjeneste her: FireEye og Fox-IT annoncerer ny tjeneste til hjælp for CryptoLocker-ramte.
CryptXXX V1, V2, V3 (varianter: .crypt , crypz, eller 5 hexadecimale tegn).
- CryptXXX V1 & CryptXXX V2 ransomware krypterer dine filer og tilføjer udvidelsen ".crypt" i slutningen af hver fil efter infektion. CryptXXX v3 tilføjer udvidelsen ".cryptz" efter kryptering af dine filer.
Trojaneren CryptXXX krypterer følgende typer filer:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR,.GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF,.PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT,.UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX
Sådan dekrypteres CryptXXX-filer.
Hvis du er inficeret med CryptXXX Version 1 eller Version 2, skal du bruge Kasperskys RannohDecryptor-værktøj til at dekryptere dine filer.
Hvis du er inficeret med CryptXXX Version 3, skal du bruge Trend Micro's Ransomware File Decryptor. *
Bemærk: På grund af den avancerede kryptering af CryptXXX V3 virus, kun delvis data dekryptering er i øjeblikket muligt, og du er nødt til at bruge en tredjepart reparation værktøj til at reparere dine filer som: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Locky & AutoLocky (Varianter: .locky)
Locky ransomware krypterer dine filer ved hjælp af RSA-2048- og AES-128-kryptering, og efter infektionen omdøbes alle dine filer med et unikt filnavn - 32 tegn - med udvidelsen ".locky" (f.eks. " 1E776633B7E6DFE7ACD1B1A5E9577BCE.locky "). Locky virus kan inficere lokale drev eller netværksdrev og opretter under infektionen en fil med navnet " _HJÆLP_instruktioner.html " på hver inficeret mappe med instruktioner om, hvordan du kan betale løsesummen og dekryptere dine filer ved hjælp af TOR-browseren.
AutoLocky er en anden variant af Locky-virus. Den største forskel mellem Locky og Autolocky er, at Autolocky ikke ændrer filens oprindelige navn under infektionen. (Hvis en fil f.eks. hedder " Dokument1.doc " før infektion, omdøber Autolocky det til " Document1.doc.locky ")
Sådan dekrypterer du .LOCKY-filer:
- Den første mulighed er at rense den inficerede computer og derefter gendanne dine inficerede filer fra en ren sikkerhedskopi (hvis du har en). Den anden mulighed, hvis du ikke har en ren sikkerhedskopi, er at gendanne dine filer i tidligere versioner fra " Skyggekopier ". Sådan gendanner du dine filer fra Shadow Copies. Den 3. mulighed er at bruge Emsisofts Decrypter for AutoLocky til at dekryptere dine filer. (Dekrypteringsværktøjet virker kun til Autolocky ) .
Trojan-Ransom.Win32.Rector - Virusinformation og dekryptering.
Trojansk rektor krypterer filer med følgende filtypenavne: .doc , .jpg , .pdf .rar , og efter infektionen det gør dem ubrugelige. Når dine filer er inficeret med Trojansk rektor, så ændres udvidelserne af de inficerede filer til .VSCRYPT , .INFECTED , . KORREKTOR eller .BLOC og det gør dem ubrugelige. Når du forsøger at åbne de inficerede filer, vises der en besked med kyrilliske tegn på din skærm, som indeholder kravet om løsesum og oplysninger om betalingen. Den cyberkriminelle, der foretager den Trojansk rektor kaldet "†† KOPPEKTOP †† og beder om at kommunikere med ham via e-mail eller ICQ (EMAIL: [email protected] / ICQ: 557973252 eller 481095) for at give instruktioner om, hvordan du kan låse dine filer op.
Sådan dekrypterer du filer inficeret med Trojan Rector og får dine filer tilbage:
Rådgivning: Kopier alle de inficerede filer til en separat mappe, og luk alle åbne programmer, før du fortsætter med at scanne og dekryptere de berørte filer.
1. Download Rector Decryptor værktøj (fra Kaspersky Labs) på din computer.
2. Når downloadingen er afsluttet, skal du køre RectorDecryptor.exe.
3. Tryk på " Start scanning " for at scanne dine drev for de krypterede filer.
4. Lad den RectorDecryptor værktøj til at scanne og dekryptere de krypterede filer (med filtypenavne .vscrypt, .infected, .bloc, .korrektor) og vælg derefter muligheden for at " Slet krypterede filer efter dekryptering ", hvis dekrypteringen lykkedes. *
Efter dekrypteringen kan du finde en rapportlog over scannings-/dekrypteringsprocessen i roden af dit C:\-drev (f.eks. " C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt ").
5. Endelig skal du fortsætte med at kontrollere og rense dit system for malwareprogrammer, der måtte findes på det.
Kilde - Yderligere oplysninger: http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev - Virus Information & dekryptering.
Trojan Ransom Xorist & Trojan Ransom Valdev , krypterer filer med følgende filtypenavne:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir,divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr,idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap,htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd,vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp,eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Efter infektionen, Trojan Ransom Xorist kompromitterer din computers sikkerhed, gør din computer ustabil og viser beskeder på din skærm, der kræver en løsesum for at dekryptere de inficerede filer. Beskederne indeholder også oplysninger om, hvordan du skal betale løsesummen for at få dekrypteringsværktøjet fra de cyberkriminelle.
Sådan dekrypteres filer, der er inficeret med Trojan Win32.Xorist eller Trojan MSIL.Vandev:
Rådgivning: Kopier alle de inficerede filer til en separat mappe, og luk alle åbne programmer, før du fortsætter med at scanne og dekryptere de berørte filer.
1. Download Xorist Decryptor værktøj (fra Kaspersky Labs) på din computer.
2. Når downloadingen er afsluttet, skal du køre XoristDecryptor.exe .
Bemærk: Hvis du ønsker at slette de krypterede filer, når dekrypteringen er færdig, skal du klikke på " Ændre parametre " og markerer indstillingen " Slet krypterede filer efter dekryptering " under " Yderligere muligheder ”.
3. Tryk på " Start scanning " -knappen.
4. Indtast stien til mindst én krypteret fil, og vent derefter, indtil hjælpeprogrammet dekrypterer de krypterede filer.
5. Hvis dekrypteringen lykkedes, skal du genstarte computeren, og derefter scanne og rense dit system for malwareprogrammer, der måtte findes på det.
Kilde - Yderligere oplysninger: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom.Win32.Rakhni - Virusinformation og dekryptering.
Trojan Ransom Rakhni krypterer filer ved at ændre filudvidelserne som følger:
.. .. .. .. .. .. .. .. .. .. .. .. .. .. ..pizda@qq_com
Efter krypteringen er dine filer ubrugelige, og systemets sikkerhed er kompromitteret. Også den Trojan-Ransom.Win32.Rakhni opretter en fil på din %APPDATA% mappe med navnet " exit.hhr.oshit ", der indeholder den krypterede adgangskode til de inficerede filer.
Advarsel: Trojan-Ransom.Win32.Rakhni skaber " exit.hhr.oshit ", der indeholder en krypteret adgangskode til brugerens filer. Hvis denne fil forbliver på computeren, vil den blive dekrypteret med RakhniDecryptor Hvis filen er blevet fjernet, kan den gendannes med filgendannelsesprogrammer. Når filen er gendannet, skal du sætte den i %APPDATA% og kør scanningen med værktøjet igen.
%APPDATA% placering af mappen:
- Windows XP: C:\Dokumenter og indstillinger\\Applikationsdata Windows 7/8: C:\Users\\AppData\Roaming
Sådan dekrypterer du filer inficeret med Trojan Rakhni og får dine filer tilbage:
1. Download Rakhni Decryptor værktøj (fra Kaspersky Labs) på din computer.
2. Når downloadingen er afsluttet, skal du køre RakhniDecryptor.exe .
Bemærk: Hvis du ønsker at slette de krypterede filer, når dekrypteringen er færdig, skal du klikke på " Ændre parametre " og markerer indstillingen " Slet krypterede filer efter dekryptering " under " Yderligere muligheder ”.
3. Tryk på " Start scanning " for at scanne dine drev for krypterede filer.
4. Indtast stien til mindst én krypteret fil (f.eks. " file.doc.locked ") og vent derefter, indtil hjælpeprogrammet genfinder adgangskoden fra " exit.hhr.oshit " fil (husk på Advarsel ) og dekrypterer dine filer.
Kilde - Yderligere oplysninger: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom.Win32.Rannoh (Trojan-Ransom.Win32.Cryakl) - Virus Information & dekryptering.
Trojan Rannoh eller Trojan Cryakl krypterer alle filer på din computer på følgende måde:
- I tilfælde af en Trojan-Ransom.Win32.Rannoh infektion, vil filnavne og filtypenavne blive ændret i overensstemmelse med den låste skabelon... I tilfælde af en Trojan-Ransom.Win32.Cryakl infektion, tilføjes tagget {CRYPTENDBLACKDC} i slutningen af filnavne.
Sådan dekrypterer du filer inficeret med Trojan Rannoh eller Trojan Cryakl og får dine filer tilbage:
Vigtigt: Rannoh Decryptor værktøjet dekrypterer filer ved at sammenligne en krypteret og en dekrypteret fil. Så hvis du ønsker at bruge Rannoh Decryptor for at dekryptere filer skal du have en original kopi af mindst én krypteret fil før infektionen (f.eks. fra en ren sikkerhedskopi).
1. Download Rannoh Decryptor til din computer.
2. Når downloadingen er afsluttet, skal du køre RannohDecryptor.exe
Bemærk: Hvis du ønsker at slette de krypterede filer, når dekrypteringen er afsluttet, skal du klikke på " Ændre parametre " og markerer indstillingen " Slet krypterede filer efter dekryptering " under " Yderligere muligheder ”.
3. Tryk på " Start scanning " -knappen.
4. Læs den " Nødvendige oplysninger ", og klik derefter på " Fortsæt " og angiv stien til en original kopi af mindst én krypteret fil før infektionen (clean - original - file) og stien til den krypterede fil (infected - encrypted -file).
5. Efter dekrypteringen kan du finde en rapportlog over scannings-/dekrypteringsprocessen i roden af dit C:\-drev. (f.eks. " C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt ").
Kilde - Yderligere oplysninger: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (varianter: .ecc, .ezz, .exx, .xyz, .zzzz,. aaa, .abc, .ccc og .vvv)
TeslaCrypt ransomware virus tilføjer følgende udvidelser til dine filer: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv.
Sådan dekrypterer du TeslaCrypt-filer:
Hvis du er inficeret med TeslaCrypt-virus, skal du bruge et af disse værktøjer til at dekryptere dine filer:
- TeslaDecoder: Flere oplysninger og instruktioner om brug af TeslaDecoder kan findes i denne artikel: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/Trend Micro Ransomware File Decryptor.
TeslaCrypt V3.0 (Varianter: .xxx, .ttt, .micro, .mp3)
TeslaCrypt 3.0 ransomware virus tilføjer følgende udvidelser til dine filer: .xxx, .ttt, .micro & .mp3
Sådan dekrypteres TeslaCrypt V3.0-filer:
Hvis du er smittet med TeslaCrypt 3.0 og derefter forsøge at gendanne dine filer med:
- Trend's Micro Ransomware File Decryptor-værktøj.RakhniDecryptor (Vejledning)Tesla Decoder (Vejledning)Tesla Decoder (Vejledning)Tesladecrypt - McAfee
TeslaCrypt V4.0 (Filnavn og udvidelse er uændret)
For at dekryptere TeslaCrypt V4-filer kan du prøve et af følgende værktøjer:
- Trend's Micro Ransomware File Decryptor værktøj.RakhniDecryptor (Vejledning)Tesla Decoder (Vejledning)Tesla Decoder (Vejledning)
Andy Davis
En systemadministrators blog om Windows
