Sisällysluettelo
Viime vuosina tietoverkkorikolliset ovat levittäneet uudenlaisia viruksia, jotka voivat salata tietokoneen (tai verkon) tiedostoja tarkoituksena ansaita helppoa rahaa uhreiltaan. Tämäntyyppisiä viruksia kutsutaan "Ransomware" -viruksiksi, ja ne voivat tartuttaa tietokonejärjestelmiä, jos tietokoneen käyttäjä ei ole tarkkaavainen avatessaan tuntemattomilta lähettäjiltä tai sivustoilta, joihin on murtauduttu, peräisin olevia liitetiedostoja tai linkkejä.Kokemukseni mukaan ainoa turvallinen tapa suojautua tämäntyyppisiltä viruksilta on pitää tiedostoistaan puhtaat varmuuskopiot erillään tietokoneesta, esimerkiksi ulkoisella USB-kiintolevyllä tai DVD-rom-levyllä.
Tämä artikkeli sisältää tärkeitä tietoja joistakin tunnetuista salakirjoittavista ransomware -crypt-viruksista, jotka on suunniteltu salaamaan kriittisiä tiedostoja sekä saatavilla olevista vaihtoehdoista ja apuohjelmista, joiden avulla voit purkaa salatut tiedostot tartunnan jälkeen. Kirjoitin tämän artikkelin pitääkseni kaikki tiedot saatavilla olevista salauksenpurkutyökaluista yhdessä paikassa ja yritän pitää tämän artikkelin ajan tasalla. Jaa se.meille kokemuksesi ja kaikki muut mahdolliset uudet tiedot, jotta voimme auttaa toisiamme.
Kuinka purkaa Ransomware-ohjelmalla salatut tiedostot - Kuvaus & tunnetut salauksenpurkutyökalut - Menetelmät:
- RANSOWARE NIMI CryptowallCryptoDefense & How_DecryptCryptorbit tai HowDecryptCryptolocker (Troj/Ransom-ACP", "Trojan.Ransomcrypt.F)CryptXXX V1, V2, V3 (Vaihtoehdot: .crypt , crypz tai 5 heksadesimaalimerkkiä)Locky & AutoLocky (Vaihtoehdot: .locky)Trojan-Ransom.Win32.RectorTrojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.VandevTrojan-Ransom.Win32.RakhniTrojan-Ransom.Win32.Rannoh tai Trojan-Ransom.Win32.Cryakl.TeslaCrypt(Vaihtoehdot: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)TeslaCrypt 3.0 (Vaihtoehdot: .xxx, .ttt, .micro, .mp3)TeslaCrypt 4.0 (Tiedostonimi ja tiedostotunnus ennallaan)
Päivitykset kesäkuu 2016:
1. Trend Micro on julkaissut Ransomware File Decryptor -työkalun, jolla voidaan yrittää purkaa seuraavien ransomware-ohjelmaperheiden salaamat tiedostot:
CryptXXX V1, V2, V3* .crypt , crypz tai 5 heksadesimaalimerkkiä.
CryptXXX V4, V5 .5 Heksadesimaalimerkit
TeslaCrypt V1 .ECC
TeslaCrypt V2 .VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 .XXX tai TTT tai MP3 tai MICRO
TeslaCrypt V4 . SNSLocker .RSNSLocked
AutoLocky .locky
BadBlock 777 .777
XORIST .xorist tai satunnainen laajennus
XORBAT .crypted
CERBER V1 <10 satunnaista merkkiä>.cerber
Stampado .locked
Nemucod .crypted
Chimera .crypt
* Huom: Koskee CryptXXX V3 -kiristyshaittaohjelmaa: Tämän erityisen krypto-kiristyshaittaohjelman kehittyneen salauksen vuoksi CryptXXX V3:n tuhoamien tiedostojen salauksen purkaminen on tällä hetkellä mahdollista vain osittain, ja sinun on käytettävä kolmannen osapuolen korjaustyökalua tiedostojesi korjaamiseen, kuten: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php.
Voit ladata Trend Micron Ransomware File Decrypter -työkalun (ja lukea sen käyttöohjeet) tältä sivulta: Trend Micro Ransomware File Decryptor -työkalun lataaminen ja käyttäminen.
2. Kasperky on julkaissut seuraavat salauksenpurkutyökalut:
A. Kasperskyn RakhniDecryptor-työkalu on suunniteltu purkamaan tiedostot, joihin on vaikuttanut*:
Huomautus: RakhniDecryptor-apuohjelma päivitetään aina purkamaan useiden kiristysohjelmaperheiden tiedostot.
Rakhni
Agent.iih
Aura
Autoit
Pletor
Roottori
Lamer
Lortok
Cryptokluchen
Democry
Bitman - TeslaCrypt versio 3 ja 4
B. Kasperskyn RannohDecryptor-työkalu on suunniteltu purkamaan tiedostot, joihin vaikuttaa:
Rannoh
AutoIt
Fury
Crybola
Cryakl
CryptXXX versiot 1 ja 2
Cryptowalll - Virustiedot ja salauksen purkuasetukset.
The Cryptowall (tai " Cryptowall Decrypter ") virus on uusi muunnos Cryptodefense Kun tietokone on saanut tartunnan lunnasohjelmaviruksesta. Cryptowall ransomware, niin kaikki tietokoneen kriittiset tiedostot (mukaan lukien liitetyillä -verkkolevyillä olevat tiedostot, jos olet kirjautuneena verkkoon) salataan vahvalla salauksella, joka tekee niiden purkamisen käytännössä mahdottomaksi. Sen jälkeen kun Cryptowall salaus, virus luo ja lähettää yksityisen avaimen (salasanan) yksityiselle palvelimelle, jota rikollinen käyttää tiedostojen salauksen purkamiseen. Tämän jälkeen rikolliset ilmoittavat uhreilleen, että kaikki heidän kriittiset tiedostonsa on salattu ja ainoa tapa purkaa ne on maksaa 500 dollarin lunnaat (tai enemmän) tietyn ajan kuluessa, muuten lunnaat kaksinkertaistuvat tai tiedostot menetetään.pysyvästi.
Kuinka purkaa Cryptowall-tartunnan saaneiden tiedostojen salaus ja saada tiedostot takaisin:
Jos haluat purkaa Cryptowall salattuja tiedostoja ja saada tiedostosi takaisin, sinulla on seuraavat vaihtoehdot:
A. Ensimmäinen vaihtoehto on maksaa lunnaat. Jos päätät tehdä niin, jatka maksamista omalla vastuullasi, sillä tutkimustemme mukaan jotkut käyttäjät saavat tietonsa takaisin ja jotkut toiset eivät. Muista, että rikolliset eivät ole maailman luotettavimpia ihmisiä.
B. Toinen vaihtoehto on puhdistaa saastunut tietokone ja palauttaa saastuneet tiedostot puhtaasta varmuuskopiosta (jos sinulla on sellainen).
C. Jos sinulla ei ole puhdasta varmuuskopiota, ainoa jäljellä oleva vaihtoehto on palauttaa aiempien versioiden tiedostot " Varjokopiot ". Huomaa, että tämä menettely toimii vain Windows 8-, Windows 7- ja Vista-käyttöjärjestelmissä ja vain, jos " Järjestelmän palauttaminen " -ominaisuus oli aiemmin käytössä tietokoneessasi eikä sitä poistettu käytöstä, kun tietokoneen Cryptowall infektio.
- Suosittelulinkki: Kuinka palauttaa tiedostot varjokopioista.
Yksityiskohtainen analyysi Cryptowall ransomware-infektio ja poisto löytyvät tästä viestistä:
- Miten poistaa CryptoWall-virus ja palauttaa tiedostot?
CryptoDefense & How_Decrypt - Virustiedot ja salauksen purku.
Cryptodefense on toinen kiristysohjelmavirus, joka voi salata kaikki tietokoneen tiedostot niiden laajennuksesta (tiedostotyypistä) riippumatta vahvalla salauksella niin, että niiden purkaminen on käytännössä mahdotonta. Virus voi poistaa käytöstä " Järjestelmän palauttaminen " ominaisuus tartunnan saaneessa tietokoneessa ja saattaa poistaa kaikki " Varjotilavuuden kopiot " tiedostoja, joten et voi palauttaa tiedostoja aiempiin versioihinsa. Tartunnan jälkeen Cryptodefense ransomware-virus luo jokaiseen saastuneeseen kansioon kaksi tiedostoa ("How_Decrypt.txt" ja "How_Decrypt.html"), joissa on yksityiskohtaiset ohjeet lunnaiden maksamisesta tiedostojesi salauksen purkamiseksi, ja lähettää yksityisen avaimen (salasanan) yksityiselle palvelimelle, jotta rikollinen voi käyttää sitä tiedostojesi salauksen purkamiseen.
Yksityiskohtainen analyysi Cryptodefense ransomware-infektio ja poisto löytyvät tästä viestistä:
- Miten poistaa CryptoDefense-virus ja palauttaa tiedostot?
Kuinka purkaa Cryptodefencen salatut tiedostot ja saada tiedostosi takaisin:
Salakirjoituksen purkamiseksi Cryptodefense tartunnan saaneiden tiedostojen kohdalla sinulla on seuraavat vaihtoehdot:
A. Ensimmäinen vaihtoehto on maksaa lunnaat. Jos päätät tehdä niin, jatka maksamista omalla vastuullasi, sillä tutkimuksemme mukaan jotkut käyttäjät saavat tietonsa takaisin ja jotkut toiset eivät. Muista, että rikolliset eivät ole planeetan luotettavimpia ihmisiä.
B. Toinen vaihtoehto on puhdistaa saastunut tietokone ja palauttaa saastuneet tiedostot puhtaasta varmuuskopiosta (jos sinulla on sellainen).
C. Jos sinulla ei ole puhdasta varmuuskopiota, voit yrittää palauttaa aiempien versioiden tiedostot " Varjokopiot ". Huomaa, että tämä menettely toimii vain Windows 8-, Windows 7- ja Vista-käyttöjärjestelmissä ja vain, jos " Järjestelmän palauttaminen " -ominaisuus oli aiemmin käytössä tietokoneessasi eikä sitä poistettu käytöstä sen jälkeen, kun tietokoneen Cryptodefense infektio.
- Suosittelulinkki: Kuinka palauttaa tiedostot varjokopioista.
D. Lopuksi, jos sinulla ei ole puhdasta varmuuskopiota etkä pysty palauttamaan tiedostoja " Varjokopiot ", voit yrittää purkaa Cryptodefensen salattuja tiedostoja käyttämällä Emsisoftin Decryptor käyttökelpoisuutta. Sitä varten:
Tärkeä huomautus: Tämä apuohjelma toimii vain tietokoneissa, jotka ovat saaneet tartunnan ennen 1. huhtikuuta 2014.
1. Lataa “ Emsisoft Decrypter " -apuohjelma tietokoneeseen (esim. tietokoneen Työpöytä ).
2. Kun lataus on valmis, siirry Työpöytä ja " Ote " the " decrypt_cryptodefense.zip " tiedosto.
3. Nyt kaksoisnapsauta ajaa " decrypt_cryptodefense" hyödyllisyys.
4. Paina lopuksi " Purkakaa salaus " -painiketta purkaaksesi tiedostojesi salauksen.
Lähde - Lisätietoja: Yksityiskohtainen opetusohjelma CryptoDefencen salattujen tiedostojen salauksen purkamisesta käyttämällä Emsisoftin dekooderi apuohjelma löytyy täältä: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit tai HowDecrypt - Virus Information & Decryption.
Cryptorbit tai HowDecrypt virus on ransomware-virus, joka voi salata kaikki tietokoneen tiedostot. Kun tietokone on saanut tartunnan Cryptorbit virus salaa kaikki kriittiset tiedostosi niiden laajennuksesta (tiedostotyypistä) riippumatta vahvalla salauksella, joka tekee niiden purkamisen käytännössä mahdottomaksi. Virus luo myös kaksi tiedostoa tietokoneen jokaiseen saastuneeseen kansioon ("" HowDecrypt.txt " ja "HowDecrypt.gif"), joissa on yksityiskohtaiset ohjeet siitä, miten voit maksaa lunnaat ja purkaa tiedostojesi salauksen.
Yksityiskohtainen analyysi Cryptorbit ransomware-infektio ja poisto löytyvät tästä viestistä:
- Miten poistaa Cryptorbit (HOWDECRYPT) -virus ja palauttaa tiedostosi?
Kuinka purkaa Cryptorbit-tartunnan saaneiden tiedostojen salaus ja saada tiedostot takaisin:
Salakirjoituksen purkamiseksi Cryptorbit salattuja tiedostoja, sinulla on nämä vaihtoehdot:
A. Ensimmäinen vaihtoehto on maksaa lunnaat. Jos päätät tehdä niin, maksa maksu omalla vastuullasi, sillä tutkimustemme mukaan jotkut käyttäjät saavat tietonsa takaisin ja jotkut eivät.
B. Toinen vaihtoehto on puhdistaa saastunut tietokone ja palauttaa saastuneet tiedostot puhtaasta varmuuskopiosta (jos sinulla on sellainen).
C. Jos sinulla ei ole puhdasta varmuuskopiota, voit yrittää palauttaa aiempien versioiden tiedostot kohdasta " Varjokopiot ". Huomaa, että tämä menettely toimii vain Windows 8-, Windows 7- ja Vista-käyttöjärjestelmissä ja vain, jos " Järjestelmän palauttaminen " -ominaisuus oli aiemmin käytössä tietokoneessasi eikä sitä poistettu käytöstä sen jälkeen, kun tietokoneen Cryptorbit infektio.
- Suosittelulinkki: Kuinka palauttaa tiedostot varjokopioista.
D. Lopuksi, jos sinulla ei ole puhdasta varmuuskopiota etkä pysty palauttamaan tiedostoja " Varjokopiot ", voit yrittää purkaa salauksen Cryptorbitin salattuja tiedostoja käyttämällä Anti-CryptorBit käyttökelpoisuutta. Sitä varten:
1. Lataa “ Anti-CryptorBit " -apuohjelma tietokoneeseen (esim. tietokoneen Työpöytä )
2. Kun lataus on valmis, siirry Työpöytä ja " Ote " the " Anti-CryptorBitV2.zip " tiedosto.
3. Nyt kaksoisnapsauta ajaa Anti-CryptorBitv2 hyödyllisyys.
4. Valitse, minkä tyyppisiä tiedostoja haluat palauttaa (esim. "JPG").
5. Valitse lopuksi kansio, joka sisältää vioittuneet / salatut (JPG) tiedostot, ja paina sitten " Aloita " -painiketta niiden korjaamiseksi.
Cryptolocker - Virustiedot ja purku.
Cryptolocker (tunnetaan myös nimellä " Troj/Ransom-ACP ", " Trojan.Ransomcrypt.F ") on Ransomware-virus (TROJAN), ja kun se tartuttaa tietokoneen, se salaa kaikki tiedostot niiden laajennuksesta (tiedostotyypistä) riippumatta. Huono uutinen tässä viruksessa on se, että kun se tartuttaa tietokoneen, kriittiset tiedostosi salataan vahvalla salauksella, ja niiden purkaminen on käytännössä mahdotonta. Kun tietokone on saanut tartunnan Cryptolocker-viruksesta, tietokoneelle tulee ilmoitusilmestyy uhrin tietokoneelle ja vaatii 300$ (tai enemmän) lunnaita tiedostojen salauksen purkamiseksi.
Yksityiskohtainen analyysi Cryptolocker ransomware-infektio ja poisto löytyvät tästä viestistä:
- Miten poistaa CryptoLocker Ransomware ja palauttaa tiedostot?
Kuinka purkaa Cryptolockerin saastuttamat tiedostot ja saada tiedostot takaisin:
Salakirjoituksen purkamiseksi Cryptolocker tartunnan saaneisiin tiedostoihin sinulla on seuraavat vaihtoehdot:
A. Ensimmäinen vaihtoehto on maksaa lunnaat. Jos päätät tehdä niin, maksa maksu omalla vastuullasi, sillä tutkimustemme mukaan jotkut käyttäjät saavat tietonsa takaisin ja jotkut eivät.
B. Toinen vaihtoehto on puhdistaa saastunut tietokone ja palauttaa saastuneet tiedostot puhtaasta varmuuskopiosta (jos sinulla on sellainen).
C. Jos sinulla ei ole puhdasta varmuuskopiota, voit yrittää palauttaa aiempien versioiden tiedostot kohdasta " Varjokopiot ". Huomaa, että tämä menettely toimii vain Windows 8-, Windows 7- ja Vista-käyttöjärjestelmissä ja vain, jos " Järjestelmän palauttaminen " -ominaisuus oli aiemmin käytössä tietokoneessasi eikä sitä poistettu käytöstä sen jälkeen, kun tietokoneen Cryptolocker infektio.
- Suosittelulinkki: Kuinka palauttaa tiedostot varjokopioista.
D. Elokuussa 2014 FireEye & Fox-IT ovat julkaisseet uuden palvelun, joka hakee yksityisen dekoodausavaimen käyttäjille, jotka ovat saaneet CryptoLocker-lunnasohjelman tartunnan. Palvelu on nimeltään DecryptCryptoLocker ' (palvelu on lakkautettu), se on saatavilla maailmanlaajuisesti, eikä sen käyttäminen edellytä rekisteröitymistä tai yhteystietojen antamista.
Käyttääksesi tätä palvelua sinun on käytävä tällä sivustolla: (palvelu on lopetettu) ja ladattava yksi salattu CryptoLocker-tiedosto saastuneelta tietokoneelta (Huomaa: lataa tiedosto, joka ei sisällä arkaluonteisia ja/tai yksityisiä tietoja). Tämän jälkeen sinun on annettava sähköpostiosoite, jotta saat yksityisen avaimen ja linkin, josta voit ladata salauksen purkutyökalun. Suorita lopuksi ohjelmaladattu CryptoLockerin salauksenpurkutyökalu (paikallisesti tietokoneellasi) ja syötä yksityinen avaimesi purkaaksesi CryptoLockerin salatut tiedostot.
Lisätietoja tästä palvelusta löytyy täältä: FireEye and Fox-IT Announce New Service to Help CryptoLocker Victims.
CryptXXX V1, V2, V3 (Vaihtoehdot: .crypt , crypz tai 5 heksadesimaalimerkkiä).
- CryptXXX V1 & CryptXXX V2 ransomware salaa tiedostosi ja lisää ".crypt"-päätteen jokaisen tiedoston loppuun tartunnan jälkeen. CryptXXX v3 lisää ".cryptz"-päätteen tiedostojesi salauksen jälkeen.
CryptXXX-troijalainen salaa seuraavat tiedostotyypit:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR,.GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF,.PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT,.UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLC, .XLMC, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
Kuinka purkaa CryptXXX-tiedostot.
Jos olet saanut tartunnan CryptXXX Version 1 tai Version 2 -ohjelmasta, käytä Kasperskyn RannohDecryptor-työkalua tiedostojesi salauksen purkamiseen.
Jos olet saanut tartunnan CryptXXX Version 3 -ohjelmasta, käytä Trend Micro's Ransomware File Decryptor -ohjelmaa. *.
Huom: CryptXXX V3 -viruksen kehittyneen salauksen vuoksi tietojen purkaminen on tällä hetkellä mahdollista vain osittain, ja sinun on käytettävä kolmannen osapuolen korjaustyökalua tiedostojesi korjaamiseen, kuten: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php.
Locky & AutoLocky (muunnokset: .locky)
Locky ransomware salaa tiedostosi käyttäen RSA-2048- ja AES-128-salausta, ja tartunnan jälkeen kaikki tiedostosi nimetään uudelleen ainutlaatuisella - 32 merkkiä sisältävällä - tiedostonimellä, jolla on tiedostopääte ".locky" (esim. " 1E776633B7E6DFE7ACD1B1A5E9577BCE.locky "). Locky virus voi tartuttaa paikallisia tai verkkoasemia ja tartunnan aikana se luo tiedoston nimeltä " _HELP_instructions.html " jokaisessa tartunnan saaneessa kansiossa, jossa on ohjeet siitä, miten voit maksaa lunnaat ja purkaa tiedostojesi salauksen TOR-selaimen avulla.
AutoLocky on toinen Locky-viruksen muunnos. Tärkein ero Lockyn ja Autolockyn välillä on se, että Autolocky ei muuta tiedoston alkuperäistä nimeä tartunnan aikana. (esim. Jos tiedoston nimi on " Asiakirja1.doc " ennen tartuntaa, Autolocky nimeää sen uudelleen " Document1.doc.locky ")
Kuinka purkaa .LOCKY-tiedostot:
- Ensimmäinen vaihtoehto on puhdistaa saastunut tietokone ja palauttaa saastuneet tiedostot puhtaasta varmuuskopiosta (jos sinulla on sellainen). Toinen vaihtoehto, jos sinulla ei ole puhdasta varmuuskopiota, on palauttaa tiedostot aiemmissa versioissa " Varjokopiot ". Kuinka palauttaa tiedostot varjokopioista. 3. vaihtoehto, on käyttää Emsisoftin Decrypter for AutoLocky -työkalua tiedostojen salauksen purkamiseen. (Decrypter-työkalu toimii ainoastaan Autolocky ) .
Trojan-Ransom.Win32.Rector - Virustiedot ja salauksen purku.
The Troijan rehtori salaa tiedostot, joilla on seuraavat laajennukset: .doc , .jpg , .pdf .rar , ja tartunnan jälkeen se tekee niistä käyttökelvottomia. Kun tiedostoihisi on tarttunut Troijan rehtori, niin tartunnan saaneiden tiedostojen laajennukset muutetaan muotoon .VSCRYPT , .INFECTED , . KORREKTOR tai .BLOC Kun yrität avata saastuneita tiedostoja, näytölläsi näkyy kyrillisin kirjaimin kirjoitettu viesti, joka sisältää lunnasvaatimuksen ja maksutiedot. Tietoverkkorikollinen, joka tekee lunnasvaatimuksen, ei voi käyttää niitä. Troijan rehtori nimeltään "†† KOPPEKTOP †† ja pyytää kommunikoimaan hänen kanssaan sähköpostitse tai ICQ (EMAIL: [email protected] / ICQ: 557973252 tai 481095) antaa ohjeita siitä, miten avata tiedostot.
Kuinka purkaa Trojan Rectorin saastuttamien tiedostojen salaus ja saada tiedostot takaisin:
Neuvoja: Kopioi kaikki saastuneet tiedostot erilliseen hakemistoon ja sulje kaikki avoimet ohjelmat, ennen kuin jatkat saastuneiden tiedostojen tarkistamista ja salauksen purkamista.
1. Lataa Rector Decryptor apuohjelma (Kaspersky Labs) tietokoneellesi.
2. Kun lataus on valmis, suorita RectorDecryptor.exe.
3. Paina " Aloita skannaus " -painiketta skannataksesi asemasi salattujen tiedostojen varalta.
4. Anna RectorDecryptor apuohjelma, jolla voit skannata ja purkaa salatut tiedostot (joiden laajennukset ovat .vscrypt, .infected, .bloc, .korrektor) ja valitse sitten vaihtoehto " Poista salatut tiedostot salauksen purkamisen jälkeen " jos salauksen purku onnistui. *
Purkamisen jälkeen voit löytää raporttilokin skannaus-/purkamisprosessista C:\-aseman juureen (esim. " C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt ").
5. Jatka lopuksi järjestelmän tarkistamista ja puhdistamista siinä mahdollisesti olevista haittaohjelmista.
Lähde - Lisätietoja: http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev - Virus Information & Decryption.
The Troijalainen Ransom Xorist & Troijalainen Ransom Valdev , salaa tiedostot, joilla on seuraavat laajennukset:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir,divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr,idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap,htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd,vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp,eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Tartunnan jälkeen, Troijalainen Ransom Xorist vaarantaa tietokoneen turvallisuuden, tekee tietokoneesta epävakaan ja näyttää näytölläsi viestejä, joissa vaaditaan lunnaita tartunnan saaneiden tiedostojen salauksen purkamiseksi. Viestit sisältävät myös tietoa siitä, miten lunnaat maksetaan, jotta verkkorikolliset saisivat salauksenpurkuohjelman.
Kuinka purkaa troijalaisen Win32.Xorist tai troijalaisen MSIL.Vandev:
Neuvoja: Kopioi kaikki saastuneet tiedostot erilliseen hakemistoon ja sulje kaikki avoimet ohjelmat, ennen kuin jatkat saastuneiden tiedostojen skannausta ja salauksen purkamista.
1. Lataa Xorist Decryptor apuohjelma (Kaspersky Labs) tietokoneellesi.
2. Kun lataus on valmis, suorita XoristDecryptor.exe .
Huom: Jos haluat poistaa salatut tiedostot, kun salauksen purku on valmis, napsauta " Muuta parametreja " -vaihtoehto ja tarkista " Poista salatut tiedostot salauksen purkamisen jälkeen " valintaruutu kohdassa " Lisävaihtoehdot ”.
3. Paina " Aloita skannaus " -painiketta.
4. Anna vähintään yhden salatun tiedoston polku ja odota, kunnes apuohjelma purkaa salattujen tiedostojen salauksen.
5. Jos salauksen purku onnistui, käynnistä tietokone uudelleen ja tarkista ja puhdista järjestelmäsi mahdollisista haittaohjelmista.
Lähde - Lisätietoja: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom.Win32.Rakhni - Virustiedot ja salauksen purku.
The Troijalainen Ransom Rakhni salaa tiedostot muuttamalla tiedostopäätteitä seuraavasti:
.. .. .. .. .. .. .. .. .. .. .. .. .. ..pizda@qq_com
Salauksen jälkeen tiedostot ovat käyttökelvottomia ja järjestelmän turvallisuus vaarantuu. Myöskin Trojan-Ransom.Win32.Rakhni luo tiedoston %APPDATA% kansio nimeltä " exit.hhr.oshit ", joka sisältää saastuneiden tiedostojen salatun salasanan.
Varoitus: The Trojan-Ransom.Win32.Rakhni luo " exit.hhr.oshit " tiedosto, joka sisältää käyttäjän tiedostojen salatun salasanan. Jos tämä tiedosto jää tietokoneelle, se tekee salauksen purun ohjelman RakhniDecryptor apuohjelmalla nopeammin. Jos tiedosto on poistettu, se voidaan palauttaa tiedostojen palautusapuohjelmilla. Kun tiedosto on palautettu, laita se takaisin %APPDATA% ja suorita skannaus apuohjelmalla uudelleen.
%APPDATA% kansion sijainti:
- Windows XP: C:\\Dokumentit ja asetukset\\\Sovellustiedot Windows 7/8: C:\Users\\AppData\Roaming
Kuinka purkaa Trojan Rakhni -viruksen saastuttamat tiedostot ja saada tiedostosi takaisin:
1. Lataa Rakhni Decryptor apuohjelma (Kaspersky Labs) tietokoneellesi.
2. Kun lataus on valmis, suorita RakhniDecryptor.exe .
Huom: Jos haluat poistaa salatut tiedostot, kun salauksen purku on valmis, napsauta " Muuta parametreja " -vaihtoehto ja tarkista " Poista salatut tiedostot salauksen purkamisen jälkeen " valintaruutu kohdassa " Lisävaihtoehdot ”.
3. Paina " Aloita skannaus " -painiketta skannataksesi asemasi salattujen tiedostojen varalta.
4. Kirjoita vähintään yhden salatun tiedoston polku (esim. " file.doc.locked ") ja odota sitten, kunnes apuohjelma palauttaa salasanan " exit.hhr.oshit " tiedosto (huomioi Varoitus ) ja purkaa tiedostojesi salauksen.
Lähde - Lisätietoja: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom.Win32.Rannoh (Trojan-Ransom.Win32.Cryakl) - Virustiedot ja salauksen purku.
The Trojan Rannoh tai Troijalainen Cryakl salaa kaikki tietokoneen tiedostot seuraavalla tavalla:
- Jos kyseessä on Trojan-Ransom.Win32.Rannoh infektio, tiedostojen nimet ja laajennukset muutetaan lukitun mallin mukaisesti... Jos kyseessä on Trojan-Ransom.Win32.Cryakl infektio, tiedostojen nimien loppuun lisätään tunniste {CRYPTENDBLACKDC}.
Kuinka purkaa Trojan Rannoh- tai Trojan Cryakl -viruksen saastuttamat tiedostot ja saada tiedostot takaisin:
Tärkeää: The Rannoh Decryptor apuohjelma purkaa tiedostot vertaamalla yhtä salattua ja yhtä purettua tiedostoa. Jos siis haluat käyttää Rannoh Decryptor apuohjelman avulla tiedostojen salauksen purkamiseksi sinun on omistettava alkuperäinen kopio vähintään yhdestä salatusta tiedostosta ennen tartuntaa (esim. puhtaasta varmuuskopiosta).
1. Lataa Rannoh Decryptor apuohjelma tietokoneeseen.
2. Kun lataus on valmis, suorita RannohDecryptor.exe
Huom: Jos haluat poistaa salatut tiedostot, kun salauksen purku on valmis, napsauta " Muuta parametreja " -vaihtoehto ja tarkista " Poista salatut tiedostot salauksen purkamisen jälkeen " valintaruutu kohdassa " Lisävaihtoehdot ”.
3. Paina " Aloita skannaus " -painiketta.
4. Lue " Tarvittavat tiedot " ja napsauta sitten " Jatka " ja määritä polku vähintään yhden salatun tiedoston alkuperäiseen kopioon ennen tartuntaa (puhdas - alkuperäinen - tiedosto) ja polku salattuun tiedostoon (tartunnan saanut - salattu - tiedosto).
5. Salakirjoituksen purkamisen jälkeen voit löytää raporttilokin skannaus-/purkuprosessista C:\-aseman juureen. (esim. " C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt ").
Lähde - Lisätietoja: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (muunnokset: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)
The TeslaCrypt ransomware-virus lisää tiedostoihisi seuraavat laajennukset: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv.
Kuinka purkaa TeslaCrypt-tiedostot:
Jos olet saanut tartunnan TeslaCrypt-viruksesta, käytä jotakin näistä työkaluista tiedostojesi salauksen purkamiseen:
- TeslaDecoder: Lisätietoa ja ohjeita käytöstä TeslaDecoder löytyy tästä artikkelista: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/Trend Micro Ransomware File Decryptor.
TeslaCrypt V3.0 (muunnokset: .xxx, .ttt, .micro, .mp3)
The TeslaCrypt 3.0 ransomware-virus lisää tiedostoihisi seuraavat laajennukset: .xxx, .ttt, .micro & .mp3.
Kuinka purkaa TeslaCrypt V3.0 -tiedostot:
Jos olet saanut tartunnan TeslaCrypt 3.0 yritä sitten palauttaa tiedostosi:
- Trendin Micro Ransomware File Decryptor -työkalu.RakhniDecryptor (Kuinka opastaa)Tesla Decoder (Kuinka opastaa)Tesladecrypt - McAfee
TeslaCrypt V4.0 (Tiedoston nimi ja tiedostopääte ovat ennallaan)
Voit purkaa TeslaCrypt V4 -tiedostojen salauksen kokeilemalla jotakin seuraavista apuohjelmista:
- Trend's Micro Ransomware File Decryptor -työkalu.RakhniDecryptor (Kuinka opastaa)Tesla Decoder (Kuinka opastaa)
Andy Davis
Järjestelmänvalvojan blogi Windowsista
