Sommario
Negli ultimi anni, i criminali informatici hanno distribuito un nuovo tipo di virus in grado di criptare i file sul computer (o sulla rete) con lo scopo di guadagnare denaro facile dalle loro vittime. Questo tipo di virus è chiamato "Ransomware" e può infettare i sistemi informatici se l'utente del computer non presta attenzione quando apre allegati o link provenienti da mittenti sconosciuti o da siti che sono stati violati daSecondo la mia esperienza, l'unico modo sicuro per proteggersi da questo tipo di virus è quello di avere backup puliti dei propri file conservati in un luogo separato dal computer, ad esempio in un disco rigido USB esterno non collegato o in DVD-Rom.
Questo articolo contiene informazioni importanti su alcuni noti virus ransomware -crypt- che sono stati progettati per criptare i file critici, oltre alle opzioni e alle utility disponibili per decriptare i file criptati dopo l'infezione. Ho scritto questo articolo per mantenere tutte le informazioni sugli strumenti di decriptazione disponibili in un unico posto e cercherò di mantenere questo articolo aggiornato. Per favore condividetee di qualsiasi altra nuova informazione di cui siate a conoscenza, per aiutarci a vicenda.
Come decriptare i file criptati dal Ransomware - Descrizione e strumenti di decriptazione noti - Metodi:
- NOME RANSOWARE CryptowallCryptoDefense & How_DecryptCryptorbit o HowDecryptCryptolocker (Troj/Ransom-ACP", "Trojan.Ransomcrypt.F)CryptXXX V1, V2, V3 (varianti: .crypt , crypz, o 5 caratteri esadecimali)Locky & AutoLocky (varianti: .locky)Trojan-Ransom.Win32.RectorTrojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.VandevTrojan-Ransom.Win32.RakhniTrojan-Ransom.Win32.Rannoh o Trojan-Ransom.Win32.Cryakl.TeslaCrypt(Varianti: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)TeslaCrypt 3.0 (Varianti: .xxx, .ttt, .micro, .mp3)TeslaCrypt 4.0 (Nome file ed estensione invariati)
Aggiornamenti giugno 2016:
1. Trend Micro ha rilasciato uno strumento Ransomware File Decryptor per tentare di decifrare i file crittografati dalle seguenti famiglie di ransomware:
CryptXXX V1, V2, V3* .crypt , crypz, o 5 caratteri esadecimali
CryptXXX V4, V5 .5 Caratteri esadecimali
TeslaCrypt V1 .ECC
TeslaCrypt V2 .VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 .XXX o TTT o MP3 o MICRO
TeslaCrypt V4 . SNSLocker .RSNSLocked
AutoLocky .locky
BadBlock 777 .777
XORIST .xorist o estensione casuale
XORBAT .criptato
CERBERO V1 <10 caratteri casuali>.cerber
Stampado .bloccato
Nemucod .criptato
Chimera .cripta
* Nota: Si applica al ransomware CryptXXX V3: a causa della crittografia avanzata di questo particolare Crypto-Ransomware, è attualmente possibile solo una decifrazione parziale dei dati sui file colpiti da CryptXXX V3, ed è necessario utilizzare uno strumento di riparazione di terze parti per riparare i file, come ad esempio: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php.
Per scaricare lo strumento Ransomware File Decryptor di Trend Micro (e leggere le istruzioni su come utilizzarlo), visitate questa pagina: Download e utilizzo di Trend Micro Ransomware File Decryptor
2. Kasperky ha rilasciato i seguenti strumenti di decriptazione:
A. Lo strumento RakhniDecryptor di Kaspersky è progettato per decriptare i file affetti da*:
Nota: l'utility RakhniDecryptor è sempre aggiornata per decriptare i file di diverse famiglie di ransomware.
Rakhni
Agente.iih
Aura
Autoit
Pletor
Rotore
Lamer
Lortok
Criptocluchen
Democrazia
Bitman - TeslaCrypt versione 3 e 4
B. Lo strumento RannohDecryptor di Kaspersky è progettato per decriptare i file affetti da:
Rannoh
AutoIt
Furia
Cribola
Criptovaluta
CryptXXX versioni 1 e 2
Cryptowalll - Informazioni sul virus e opzioni di decrittazione.
Il Criptowall (o " Decrittatore Cryptowall ") è la nuova variante di Criptodifesa Quando un computer viene infettato da un virus ransomware. Criptowall ransomware, tutti i file critici del computer (compresi i file delle unità mappate in rete, se si è connessi a una rete) vengono crittografati con una crittografia forte, che rende praticamente impossibile la loro decrittazione. Criptowall Il virus crea e invia la chiave privata (password) a un server privato per essere utilizzata dai criminali per decriptare i file. In seguito, i criminali informano le loro vittime che tutti i loro file critici sono criptati e che l'unico modo per decriptarli è pagare un riscatto di 500 dollari (o più) in un periodo di tempo definito, altrimenti il riscatto sarà raddoppiato o i loro file andranno persi.in modo permanente.
Come decriptare i file infetti da Cryptowall e recuperare i vostri file:
Se si vuole decifrare Criptowall crittografati e recuperare i vostri file, avete queste opzioni:
A. La prima opzione è quella di pagare il riscatto. Se decidete di farlo, procedete con il pagamento a vostro rischio e pericolo, perché secondo le nostre ricerche alcuni utenti ottengono i loro dati e altri no. Tenete presente che i criminali non sono le persone più affidabili del pianeta.
B. La seconda opzione consiste nel pulire il computer infetto e ripristinare i file infetti da un backup pulito (se ne avete uno).
C. Se non si dispone di un backup pulito, l'unica opzione che rimane è quella di ripristinare i file nelle versioni precedenti da " Copie ombra "Si noti che questa procedura funziona solo con i sistemi operativi Windows 8, Windows 7 e Vista e solo se la casella " Ripristino del sistema La funzione "è stata attivata in precedenza sul computer e non è stata disattivata dopo l'installazione del programma Criptowall infezione.
- Link di riferimento: Come ripristinare i file dalle copie shadow.
Un'analisi dettagliata di Criptowall L'infezione e la rimozione del ransomware si trovano in questo post:
- Come rimuovere il virus CryptoWall e ripristinare i vostri file
CryptoDefense & How_Decrypt - Informazioni sui virus e decrittazione.
Criptodifesa è un altro virus ransomware in grado di criptare tutti i file presenti sul computer, indipendentemente dalla loro estensione (tipo di file), con una crittografia forte che rende praticamente impossibile la loro decriptazione. Il virus può disabilitare la funzione " Ripristino del sistema " sul computer infetto e può eliminare tutte le funzioni " Copie Shadow Volume ", per cui non è possibile ripristinare i file alle versioni precedenti. A seguito dell'infezione Criptodifesa Il virus ransomware crea due file in ogni cartella infetta ("How_Decrypt.txt" e "How_Decrypt.html") con istruzioni dettagliate su come pagare il riscatto per decriptare i vostri file e invia la chiave privata (password) a un server privato per essere utilizzata dal criminale per decriptare i vostri file.
Un'analisi dettagliata di Criptodifesa L'infezione e la rimozione del ransomware si trovano in questo post:
- Come rimuovere il virus CryptoDefense e ripristinare i vostri file
Come decriptare i file criptati da Cryptodefense e recuperare i vostri file:
Per decifrare Criptodifesa file infetti è possibile scegliere tra le seguenti opzioni:
A. La prima opzione è quella di pagare il riscatto. Se decidete di farlo, procedete al pagamento a vostro rischio e pericolo perché, secondo le nostre ricerche, alcuni utenti ottengono i loro dati e altri no. Tenete presente che i criminali non sono le persone più affidabili del pianeta.
B. La seconda opzione consiste nel pulire il computer infetto e ripristinare i file infetti da un backup pulito (se ne avete uno).
C. Se non si dispone di un backup pulito, si può provare a ripristinare i file nelle versioni precedenti da " Copie ombra "Si noti che questa procedura funziona solo con i sistemi operativi Windows 8, Windows 7 e Vista e solo se la casella " Ripristino del sistema La funzione "è stata attivata in precedenza sul computer e non è stata disattivata dopo l'installazione dell'opzione "Il computer". Criptodifesa infezione.
- Link di riferimento: Come ripristinare i file dalle copie shadow.
D. Infine, se non si dispone di un backup pulito e non si riesce a ripristinare i file da " Copie ombra ", quindi si può provare a decriptare Cryptodefense file crittografati utilizzando l'opzione Decrittatore di Emsisoft utilità. Per farlo:
Avviso importante: Questa utility funziona solo per i computer infettati prima del 1° aprile 2014.
1. Scaricare “ Emsisoft Decrypter " al computer (ad es. Desktop ).
2. Una volta completato il download, passare alla pagina Desktop e " Estratto " il " decrypt_cryptodefense.zip ".
3. Ora doppio clic per eseguire il programma " decrypt_cryptodefense" utilità.
4. Infine, premere il tasto " Decriptare "per decifrare i file.
Fonte - Informazioni aggiuntive: Un tutorial dettagliato su come decriptare i file criptati da CryptoDefense utilizzando Il decrittatore di Emsisoft L'utilità può essere trovata qui: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit o HowDecrypt - Informazioni sui virus e decrittazione.
Cryptorbit o ComeDecifrare è un virus ransomware in grado di criptare tutti i file presenti sul computer. Una volta che il computer è stato infettato da Cryptorbit virus tutti i file critici vengono criptati, indipendentemente dalla loro estensione (tipo di file), con una crittografia forte che rende praticamente impossibile decifrarli. Il virus crea inoltre due file in ogni cartella infetta del computer (" ComeDecifrare.txt " e "HowDecrypt.gif") con istruzioni dettagliate su come pagare il riscatto e decriptare i file.
Un'analisi dettagliata di Cryptorbit L'infezione e la rimozione del ransomware si trovano in questo post:
- Come rimuovere Cryptorbit (HOWDECRYPT) virus e ripristinare i vostri file
Come decriptare i file infetti da Cryptorbit e recuperare i vostri file:
Per decifrare Cryptorbit file crittografati è possibile scegliere tra queste opzioni:
A. La prima opzione è quella di pagare il riscatto. Se decidete di farlo, procedete al pagamento a vostro rischio e pericolo perché, secondo le nostre ricerche, alcuni utenti ottengono i loro dati e altri no.
B. La seconda opzione consiste nel pulire il computer infetto e ripristinare i file infetti da un backup pulito (se ne avete uno).
C. Se non si dispone di un backup pulito, si può provare a ripristinare i file nelle versioni precedenti da " Copie ombra "Si noti che questa procedura funziona solo con i sistemi operativi Windows 8, Windows 7 e Vista e solo se la casella " Ripristino del sistema La funzione "è stata attivata in precedenza sul computer e non è stata disattivata dopo l'installazione dell'opzione "Il computer". Cryptorbit infezione.
- Link di riferimento: Come ripristinare i file dalle copie shadow.
D. Infine, se non si dispone di un backup pulito e non si è in grado di ripristinare i file da " Copie ombra " allora si può provare a decifrare Cryptorbit file crittografati utilizzando l'opzione Anti-CryptorBit utilità. Per farlo:
1. Scaricare “ Anti-CryptorBit " al computer (ad es. Desktop )
2. Una volta completato il download, passare alla pagina Desktop e " Estratto " il " Anti-CryptorBitV2.zip ".
3. Ora doppio clic per eseguire il Anti-CryptorBitv2 utilità.
4. Scegliere il tipo di file che si desidera recuperare (ad esempio, "JPG").
5. Infine, scegliete la cartella che contiene i file danneggiati/criptati (JPG) e premete il tasto " Inizio " per correggerli.
Cryptolocker - Informazioni sui virus e decrittazione.
Cryptolocker (noto anche come " Troj/Ransom-ACP ", " Trojan.Ransomcrypt.F ") è un brutto virus Ransomware (TROJAN) e quando infetta il computer, cripta tutti i file indipendentemente dalla loro estensione (tipo di file). La cattiva notizia di questo virus è che, una volta infettato il computer, i file critici vengono criptati con una forte crittografia ed è praticamente impossibile decriptarli. Una volta che il computer è stato infettato dal virus Cryptolocker, viene visualizzato un messaggio di informazioneappare sul computer della vittima chiedendo un pagamento (riscatto) di 300 dollari (o più) per decriptare i file.
Un'analisi dettagliata di Cryptolocker L'infezione e la rimozione del ransomware si trovano in questo post:
- Come rimuovere CryptoLocker Ransomware e ripristinare i vostri file
Come decriptare i file infetti da Cryptolocker e recuperare i vostri file:
Per decifrare Cryptolocker file infetti è possibile scegliere tra le seguenti opzioni:
A. La prima opzione è quella di pagare il riscatto. Se decidete di farlo, procedete al pagamento a vostro rischio e pericolo perché, secondo le nostre ricerche, alcuni utenti ottengono i loro dati e altri no.
B. La seconda opzione consiste nel pulire il computer infetto e ripristinare i file infetti da un backup pulito (se ne avete uno).
C. Se non si dispone di un backup pulito, si può provare a ripristinare i file nelle versioni precedenti da " Copie ombra "Si noti che questa procedura funziona solo con i sistemi operativi Windows 8, Windows 7 e Vista e solo se la casella " Ripristino del sistema La funzione "è stata attivata in precedenza sul computer e non è stata disattivata dopo l'installazione dell'opzione "Il computer". Cryptolocker infezione.
- Link di riferimento: Come ripristinare i file dalle copie shadow.
D. Nell'agosto 2014, FireEye e Fox-IT hanno rilasciato un nuovo servizio che recupera la chiave di decriptazione privata per gli utenti infettati dal ransomware CryptoLocker. Il servizio si chiama ' DecriptareCryptoLocker (il servizio è stato interrotto), è disponibile a livello globale e non richiede agli utenti di registrarsi o fornire informazioni di contatto per poterlo utilizzare.
Per utilizzare questo servizio è necessario visitare questo sito: (il servizio è stato interrotto) e caricare un file criptato di CryptoLocker dal computer infetto (attenzione: caricare un file che non contenga informazioni sensibili e/o private). Dopo aver fatto questo, è necessario specificare un indirizzo e-mail per ricevere la chiave privata e un link per scaricare lo strumento di decriptazione. Infine, eseguire il filescaricare lo strumento di decrittazione di CryptoLocker (in locale sul computer) e inserire la chiave privata per decrittare i file criptati da CryptoLocker.
Ulteriori informazioni su questo servizio sono disponibili qui: FireEye e Fox-IT annunciano un nuovo servizio per aiutare le vittime di CryptoLocker.
CryptXXX V1, V2, V3 (varianti: .crypt , crypz, o 5 caratteri esadecimali).
- Cripta V1 & Criptovaluta V2 Il ransomware cripta i file e aggiunge l'estensione ".crypt" alla fine di ogni file dopo l'infezione. CryptXXX v3 aggiunge l'estensione ".cryptz" dopo la crittografia dei file.
Il trojan CryptXXX cripta i seguenti tipi di file:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR,.GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF,.PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT,.UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
Come decriptare i file CryptXXX.
Se siete stati infettati da CryptXXX Versione 1 o Versione 2, utilizzate lo strumento RannohDecryptor di Kaspersky per decriptare i vostri file.
Se siete stati infettati da CryptXXX Version 3, usate Trend Micro's Ransomware File Decryptor.
Nota: A causa della crittografia avanzata del virus CryptXXX V3, al momento è possibile solo una decifrazione parziale dei dati ed è necessario utilizzare uno strumento di riparazione di terze parti per riparare i file, come ad esempio: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php.
Locky e AutoLocky (varianti: .locky)
Locky Il ransomware cripta i file utilizzando la crittografia RSA-2048 e AES-128 e dopo l'infezione tutti i file vengono rinominati con un nome univoco - 32 caratteri - con estensione ".locky" (ad esempio " 1E776633B7E6DFE7ACD1B1A5E9577BCE.locky "). Locky Il virus può infettare unità locali o di rete e durante l'infezione crea un file chiamato " Istruzioni_aiuto.html " su ogni cartella infetta, con istruzioni su come pagare il riscatto e decriptare i file utilizzando il browser TOR.
AutoLocky La differenza principale tra Locky e Autolocky è che Autolocky non cambia il nome originale del file durante l'infezione (ad esempio, se un file si chiama " Documento1.doc " prima dell'infezione, l'Autolocky lo rinomina in " Documento1.doc.locky ")
Come decriptare i file .LOCKY:
- La prima opzione consiste nel pulire il computer infetto e poi ripristinare i file infetti da un backup pulito (se ne avete uno). La seconda opzione, se non avete un backup pulito, consiste nel ripristinare i file nelle versioni precedenti da " Copie ombra "Come ripristinare i file dalle copie shadow. La terza opzione consiste nell'utilizzare Decrypter for AutoLocky di Emsisoft per decriptare i file (lo strumento di decriptazione funziona solo per le copie shadow). Autolocky ) .
Trojan-Ransom.Win32.Rector - Informazioni sui virus e decrittazione.
Il Rettore di Troia cripta i file con le seguenti estensioni: .doc , .jpg , .pdf .rar , e dopo l'infezione esso Una volta che i vostri file sono stati infettati con il virus della Rettore di Troia, allora le estensioni dei file infetti vengono modificate in .VSCRYPT , .INFETTO , . CORREGGIO o .BLOC e questo li rende inutilizzabili. Quando si tenta di aprire i file infetti, sullo schermo viene visualizzato un messaggio in caratteri cirillici che contiene la richiesta di riscatto e i dettagli per il pagamento. Il criminale informatico che fa il Rettore di Troia chiamato "†† KOPPEKTOP †† e chiede di comunicare con lui via e-mail o ICQ (EMAIL: [email protected] / ICQ: 557973252 o 481095) per fornire istruzioni su come sbloccare i file.
Come decriptare i file infettati da Trojan Rector e recuperare i vostri file:
Consigli: Copiare tutti i file infetti in una directory separata e chiudere tutti i programmi aperti prima di procedere alla scansione e alla decriptazione dei file infetti.
1. Scaricare Rettore Decrittatore (di Kaspersky Labs) sul computer.
2. Al termine del download, eseguire RectorDecryptor.exe.
3. Premere il tasto " Avviare la scansione "per scansionare le unità alla ricerca dei file crittografati.
4. Lasciate che il RettoreDecrittatore per scansionare e decifrare i file criptati (con estensione .vscrypt, .infected, .bloc, .korrektor) e selezionare l'opzione " Eliminare i file criptati dopo la decrittazione " se la decrittazione è avvenuta con successo.
Dopo la decrittazione è possibile trovare un registro del processo di scansione/decrittazione nella radice dell'unità C:\ (ad es. " C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt ").
5. Infine, continuate a controllare e pulire il vostro sistema dai programmi malware che potrebbero essere presenti.
Fonte - Informazioni aggiuntive: http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev - Informazioni sui virus e decrittazione.
Il Trojan Ransom Xorist & Trojan Ransom Valdev , cripta i file con le seguenti estensioni:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir,divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr,idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap,htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd,vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp,eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Dopo l'infezione, Trojan Ransom Xorist compromette la sicurezza del computer, lo rende instabile e visualizza sullo schermo messaggi che chiedono un riscatto per decriptare i file infetti. I messaggi contengono anche informazioni su come pagare il riscatto per ottenere l'utility di decriptazione dai criminali informatici.
Come decriptare i file infettati da Trojan Win32.Xorist o Trojan MSIL.Vandev:
Consigli: Copiare tutti i file infetti in una directory separata e chiudere tutti i programmi aperti prima di procedere alla scansione e alla decriptazione dei file infetti.
1. Scaricare Xorist Decryptor (di Kaspersky Labs) sul computer.
2. Al termine del download, eseguire XoristDecryptor.exe .
Nota: Se si desidera eliminare i file crittografati al termine della decrittazione, fare clic sul pulsante " Modifica dei parametri " e selezionare l'opzione " Eliminare i file criptati dopo la decrittazione " sotto la voce " Opzioni aggiuntive ”.
3. Premere il tasto " Avviare la scansione ".
4. Immettere il percorso di almeno un file crittografato e attendere che l'utilità decifri i file crittografati.
5. Se la decriptazione è riuscita, riavviare il computer e quindi eseguire una scansione e una pulizia del sistema dai programmi malware eventualmente presenti.
Fonte - Informazioni aggiuntive: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom.Win32.Rakhni - Informazioni sul virus e decrittazione.
Il Trojan Ransom Rakhni cripta i file modificando le estensioni dei file come segue:
.. .. .. .. .. .. .. .. .. .. ..pizda@qq_com
Dopo la crittografia, i file sono inutilizzabili e la sicurezza del sistema è compromessa. Anche la Trojan-Ransom.Win32.Rakhni crea un file nella cartella %APPDATA% cartella denominata " uscita.hhr.oshit " che contiene la password crittografata dei file infetti.
Attenzione: Il Trojan-Ransom.Win32.Rakhni crea il file " uscita.hhr.oshit " che contiene la password crittografata dei file dell'utente. Se questo file rimane sul computer, verrà decrittografato con l'applicazione RakhniDecryptor Se il file è stato rimosso, può essere recuperato con le utility di recupero dei file. Dopo aver recuperato il file, metterlo in un'altra cartella. %APPDATA% ed eseguire nuovamente la scansione con l'utility.
%APPDATA% posizione della cartella:
- Windows XP: C:´Documenti e impostazioni´Dati delle applicazioni Windows 7/8: C:\UsersAppData\Roaming
Come decriptare i file infettati dal Trojan Rakhni e recuperare i vostri file:
1. Scaricare Rakhni Decryptor (di Kaspersky Labs) sul computer.
2. Al termine del download, eseguire RakhniDecryptor.exe .
Nota: Se si desidera eliminare i file crittografati una volta completata la decodifica, fare clic sul pulsante " Modifica dei parametri " e selezionare l'opzione " Eliminare i file criptati dopo la decrittazione " sotto la voce " Opzioni aggiuntive ”.
3. Premere il tasto " Avviare la scansione "per scansionare le unità alla ricerca di file crittografati.
4. Inserire il percorso di almeno un file crittografato (ad esempio " file.doc.locked ") e poi attendere che l'utility recuperi la password dal campo " uscita.hhr.oshit " (attenzione al file Avvertenze ) e decifra i file.
Fonte - Informazioni aggiuntive: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom.Win32.Rannoh (Trojan-Ransom.Win32.Cryakl) - Informazioni sul virus e decriptazione.
Il Trojan Rannoh o Trojan Cryakl cripta tutti i file presenti sul computer nel modo seguente:
- Nel caso di un Trojan-Ransom.Win32.Rannoh In caso di infezione, i nomi e le estensioni dei file verranno modificati in base al modello bloccato. Trojan-Ransom.Win32.Cryakl infezione, il tag {CRYPTENDBLACKDC} viene aggiunto alla fine dei nomi dei file.
Come decriptare i file infettati da Trojan Rannoh o Trojan Cryakl e recuperare i vostri file:
Importante: Il Rannoh Decryptor decifra i file confrontando un file crittografato e uno decrittografato. Pertanto, se si desidera utilizzare l'utilità Rannoh Decryptor per decriptare i file è necessario possedere una copia originale di almeno un file crittografato prima dell'infezione (ad esempio da un backup pulito).
1. Scaricare Rannoh Decryptor al computer.
2. Al termine del download, eseguire RannohDecryptor.exe
Nota: Se si desidera eliminare i file crittografati una volta completata la decodifica, fare clic sul pulsante " Modifica dei parametri " e selezionare l'opzione " Eliminare i file criptati dopo la decrittazione " sotto la voce " Opzioni aggiuntive ”.
3. Premere il tasto " Avviare la scansione ".
4. Leggi il " Informazioni richieste " e poi fare clic su " Continua " e specificare il percorso di una copia originale di almeno un file crittografato prima dell'infezione (clean - original - file) e il percorso del file crittografato (infected - encrypted -file).
5. Dopo la decrittazione, è possibile trovare un registro del processo di scansione/decrittazione nella radice dell'unità C:\. (ad esempio " C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt ").
Fonte - Informazioni aggiuntive: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (Varianti: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)
Il TeslaCrypt Il virus ransomware aggiunge le seguenti estensioni ai file: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv.
Come decriptare i file TeslaCrypt:
Se siete stati infettati dal virus TeslaCrypt, utilizzate uno di questi strumenti per decriptare i vostri file:
- TeslaDecoder: ulteriori informazioni e istruzioni sull'utilizzo di TeslaDecoder è disponibile in questo articolo: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/Trend Micro Ransomware File Decryptor.
TeslaCrypt V3.0 (Varianti: .xxx, .ttt, .micro, .mp3)
Il TeslaCrypt 3.0 Il virus ransomware aggiunge le seguenti estensioni ai file: .xxx, .ttt, .micro e .mp3.
Come decriptare i file di TeslaCrypt V3.0:
Se si è infettati con TeslaCrypt 3.0 quindi tentare di recuperare i file con:
- Strumento Trend's Micro Ransomware File Decryptor.RakhniDecryptor (Guida) Tesla Decoder (Guida) Tesladecrypt - McAfee
TeslaCrypt V4.0 (il nome e l'estensione del file sono invariati)
Per decriptare i file TeslaCrypt V4, provare una delle seguenti utility:
- Strumento Trend's Micro Ransomware File Decryptor.RakhniDecryptor (Guida) Tesla Decoder (Guida)
Andy Davis
Il blog di un amministratore di sistema su Windows
