Cuprins
În ultimii ani, infractorii cibernetici au distribuit un nou tip de viruși care pot cripta fișierele de pe computer (sau din rețea) cu scopul de a câștiga bani ușor de la victimele lor. Acest tip de viruși se numesc "Ransomware" și pot infecta sistemele informatice dacă utilizatorul computerului nu este atent atunci când deschide atașamente sau link-uri de la expeditori necunoscuți sau site-uri care au fost piratate de cătreConform experienței mele, singura modalitate sigură de a vă proteja împotriva acestui tip de viruși este să aveți copii de rezervă curate ale fișierelor dvs. stocate într-un loc separat de computerul dvs. De exemplu, pe un hard disk USB extern deconectat sau pe un DVD-Rom.
Acest articol conține informații importante despre anumiți viruși ransomware -crypt- cunoscuți care criptează, care au fost concepuți pentru a cripta fișiere critice, plus opțiunile și utilitarele disponibile pentru a decripta fișierele criptate după infectare. Am scris acest articol pentru a păstra toate informațiile despre instrumentele de decriptare disponibile într-un singur loc și voi încerca să mențin acest articol actualizat. Vă rugăm să distribuițicu noi experiența dumneavoastră și orice alte informații noi pe care le cunoașteți, pentru a ne ajuta reciproc.
Cum se decriptează fișierele criptate de Ransomware - Descriere și instrumente de decriptare cunoscute - Metode:
- NUMELE RANSOWARE CryptowallCryptoDefense & How_DecryptCryptorbit sau HowDecryptCryptolocker (Troj/Ransom-ACP", "Trojan.Ransomcrypt.F)CryptXXX V1, V2, V3 (Variante: .crypt , crypz, sau 5 caractere hexadecimale)Locky & AutoLocky (Variante: .locky)Trojan-Ransom.Win32.RectorTrojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.VandevTrojan-Ransom.Win32.RakhniTrojan-Ransom.Win32.Rannoh sau Trojan-Ransom.Win32.Cryakl.TeslaCrypt(Variantele: .ecc, .ezz, .exxx, .xyz, .zzzzz,. aaa, .abc, .ccc, & .vvvv)TeslaCrypt 3.0 (Variantele: .xxx, .ttt, .micro, .mp3)TeslaCrypt 4.0 (Numele fișierului și extensia neschimbate)
Actualizări iunie 2016:
1. Trend Micro a lansat un instrument Ransomware File Decryptor pentru a încerca să decripteze fișierele criptate de următoarele familii de ransomware:
CryptXXX V1, V2, V3* .crypt , crypz, sau 5 caractere hexazecimale
CryptXXX V4, V5 .5 Caractere hexazecimale
TeslaCrypt V1 .ECC
TeslaCrypt V2 .VVVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 .XXX sau TTT sau MP3 sau MICRO
TeslaCrypt V4 . SNSLocker .RSNSLocked
AutoLocky .locky
BadBlock 777 .777
XORIST .xorist sau o extensie aleatorie
XORBAT .criptat
CERBER V1 <10 caractere aleatorii>.cerber
Stampado .blocat
Nemucod .criptat
Chimera .crypt
* Notă: Se aplică ransomware-ului CryptXXX V3: Datorită criptării avansate a acestui Crypto-Ransomware special, numai decriptarea parțială a datelor este posibilă în prezent în fișierele afectate de CryptXXX V3 și trebuie să utilizați un instrument de reparare terță parte pentru a vă repara fișierele, cum ar fi: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Pentru a descărca instrumentul Trend Micro Ransomware File Decrypter (și pentru a citi instrucțiunile de utilizare), accesați această pagină: Descărcarea și utilizarea instrumentului Trend Micro Ransomware File Decryptor
2. Kasperky a lansat următoarele instrumente de decriptare:
A. Instrumentul RakhniDecryptor de la Kaspersky este conceput pentru a decripta fișierele afectate de*:
Notă: Utilitarul RakhniDecryptor este întotdeauna actualizat pentru a decripta fișiere din mai multe familii de ransomware.
Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Cryptokluchen
Democrizie
Bitman - TeslaCrypt versiunea 3 și 4
B. Instrumentul RannohDecryptor de la Kaspersky este conceput pentru a decripta fișierele afectate de:
Rannoh
AutoIt
Furia
Crybola
Cryakl
CryptXXX versiunile 1 și 2
Cryptowalll - Informații despre virus și opțiuni de decriptare.
The Cryptowall (sau " Cryptowall Decrypter ") este noua variantă a virusului Cryptodefense Când un computer este infectat cu un virus ransomware. Cryptowall ransomware, atunci toate fișierele critice de pe computer (inclusiv fișierele de pe unitățile de rețea mapate, dacă sunteți conectat la o rețea) devin criptate cu o criptare puternică, ceea ce face practic imposibilă decriptarea lor. După ce se termină Cryptowall criptare, virusul creează și trimite cheia privată (parola) către un server privat pentru a fi folosită de infractor pentru a decripta fișierele. După aceea, infractorii își informează victimele că toate fișierele lor critice sunt criptate și că singura modalitate de a le decripta este să plătească o răscumpărare de 500$ (sau mai mult) într-o perioadă de timp definită, în caz contrar răscumpărarea va fi dublată sau fișierele lor vor fi pierdute.permanent.
Cum să decriptați fișierele infectate de Cryptowall și să vă recuperați fișierele:
Dacă doriți să decriptați Cryptowall criptate și să vă recuperați fișierele, aveți următoarele opțiuni:
A. Prima opțiune este să plătiți răscumpărarea. Dacă vă decideți să faceți acest lucru, procedați la plată pe propriul risc, deoarece, conform cercetărilor noastre, unii utilizatori își recuperează datele, iar alții nu. Rețineți că infractorii nu sunt cei mai de încredere oameni de pe planetă.
B. A doua opțiune este să curățați calculatorul infectat și apoi să restaurați fișierele infectate dintr-o copie de rezervă curată (dacă aveți una).
C. Dacă nu aveți o copie de rezervă curată, atunci singura opțiune care vă rămâne este să restaurați fișierele din versiunile anterioare din " Copii din umbră ". Rețineți că această procedură funcționează numai în sistemele de operare Windows 8, Windows 7 și Vista și numai dacă se utilizează opțiunea " Restaurarea sistemului " a fost activată anterior pe computerul dvs. și nu a fost dezactivată după ce a fost activată funcția Cryptowall infecție.
- Link de trimitere: Cum să vă restaurați fișierele din Shadow Copies.
O analiză detaliată a Cryptowall infecția și eliminarea ransomware-ului pot fi găsite în acest post:
- Cum să eliminați virusul CryptoWall și să vă restaurați fișierele
CryptoDefense & How_Decrypt - Informații despre viruși și decriptare.
Cryptodefense este un alt virus ransomware care poate cripta toate fișierele de pe computerul dumneavoastră, indiferent de extensia lor (tipul de fișier), cu o criptare puternică, astfel încât să facă practic imposibilă decriptarea lor. Virusul poate dezactiva funcția " Restaurarea sistemului " de pe computerul infectat și poate șterge toate " Copii de volum cu umbre ", astfel încât nu vă puteți restabili fișierele la versiunile lor anterioare. La infectare Cryptodefense ransomware, creează două fișiere în fiecare dosar infectat ("How_Decrypt.txt" și "How_Decrypt.html") cu instrucțiuni detaliate despre cum să plătiți răscumpărarea pentru a vă decripta fișierele și trimite cheia privată (parola) către un server privat pentru a fi folosită de infractor pentru a vă decripta fișierele.
O analiză detaliată a Cryptodefense infecția și eliminarea ransomware-ului pot fi găsite în acest post:
- Cum să eliminați virusul CryptoDefense și să vă restaurați fișierele
Cum să decriptați fișierele criptate de Cryptodefense și să vă recuperați fișierele:
Pentru a decripta Cryptodefense infectate, aveți următoarele opțiuni:
A. Prima opțiune este să plătiți răscumpărarea. Dacă vă decideți să faceți acest lucru, procedați la plată pe propriul risc, deoarece, conform cercetărilor noastre, unii utilizatori își recuperează datele, iar alții nu. Țineți minte că infractorii nu sunt cei mai de încredere oameni de pe planetă.
B. A doua opțiune este să curățați calculatorul infectat și apoi să restaurați fișierele infectate dintr-o copie de rezervă curată (dacă aveți una).
C. Dacă nu aveți o copie de rezervă curată, atunci puteți încerca să restaurați fișierele din versiunile anterioare din " Copii din umbră ". Rețineți că această procedură funcționează numai în sistemele de operare Windows 8, Windows 7 și Vista și numai dacă se utilizează opțiunea " Restaurarea sistemului " a fost activată anterior pe computerul dvs. și nu a fost dezactivată după ce a fost activată funcția Cryptodefense infecție.
- Link de trimitere: Cum să vă restaurați fișierele din Shadow Copies.
D. În cele din urmă, dacă nu aveți o copie de rezervă curată și nu puteți să vă restaurați fișierele din " Copii din umbră ", apoi puteți încerca să decriptați Cryptodefense's fișiere criptate prin utilizarea funcției Decriptorul Emsisoft's Decryptor utilități. Pentru a face asta:
Aviz important: Acest utilitar funcționează numai pentru computerele infectate înainte de 1 aprilie 2014.
1. Descărcați “ Emsisoft Decrypter " pe computerul dvs. (de exemplu, pe calculatorul dvs. Desktop ).
2. Când descărcarea este finalizată, navigați la Desktop și " Extras ", " decrypt_cryptodefense.zip " fișier.
3. Acum faceți dublu clic pe pentru a rula " decrypt_cryptodefense" utilitate.
4. În cele din urmă apăsați butonul " Decriptare " pentru a vă decripta fișierele.
Sursa - Informații suplimentare: Un tutorial detaliat despre cum să decriptați fișierele criptate de CryptoDefense folosind Decriptorul Emsisoft utilitatea poate fi găsită aici: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit sau HowDecrypt - Informații despre viruși și decriptare.
Cryptorbit sau HowDecrypt este un virus ransomware care poate cripta toate fișierele de pe computerul dvs. Odată ce calculatorul dvs. este infectat cu virusul Cryptorbit toate fișierele critice sunt criptate, indiferent de extensia lor (tipul de fișier), cu o criptare puternică care face practic imposibilă decriptarea lor. Virusul creează, de asemenea, două fișiere în fiecare dosar infectat de pe computerul dumneavoastră (" HowDecrypt.txt " și "HowDecrypt.gif") cu instrucțiuni detaliate despre cum puteți plăti răscumpărarea și decripta fișierele.
O analiză detaliată a Cryptorbit infecția și eliminarea ransomware-ului pot fi găsite în acest post:
- Cum să eliminați virusul Cryptorbit (HOWDECRYPT) și să vă restaurați fișierele
Cum să decriptați fișierele infectate de Cryptorbit și să vă recuperați fișierele:
Pentru a decripta Cryptorbit aveți la dispoziție următoarele opțiuni:
A. Prima opțiune este să plătiți răscumpărarea. Dacă vă decideți să faceți acest lucru, procedați la plată pe propriul risc, deoarece, conform cercetărilor noastre, unii utilizatori își recuperează datele, iar alții nu.
B. A doua opțiune este să curățați calculatorul infectat și apoi să restaurați fișierele infectate dintr-o copie de rezervă curată (dacă aveți una).
C. Dacă nu aveți o copie de rezervă curată, atunci puteți încerca să restaurați fișierele din versiunile anterioare din " Copii din umbră ". Rețineți că această procedură funcționează numai în sistemele de operare Windows 8, Windows 7 și Vista și numai dacă se utilizează opțiunea " Restaurarea sistemului " a fost activată anterior pe computerul dvs. și nu a fost dezactivată după ce a fost activată funcția Cryptorbit infecție.
- Link de trimitere: Cum să vă restaurați fișierele din Shadow Copies.
D. În cele din urmă, dacă nu aveți o copie de rezervă curată și nu puteți să vă restaurați fișierele din " Copii din umbră ", atunci puteți încerca să decriptați Cryptorbit's fișiere criptate prin utilizarea funcției Anti-CryptorBit utilități. Pentru a face asta:
1. Descărcați “ Anti-CryptorBit " pe computerul dvs. (de exemplu, pe calculatorul dvs. Desktop )
2. Când descărcarea este finalizată, navigați la Desktop și " Extras ", " Anti-CryptorBitV2.zip " fișier.
3. Acum faceți dublu clic pe pentru a rula Anti-CryptorBitv2 utilitate.
4. Alegeți ce tip de fișiere doriți să recuperați (de exemplu, "JPG").
5. În cele din urmă alegeți dosarul care conține fișierele corupte/criptate (JPG) și apoi apăsați butonul " Start " pentru a le repara.
Cryptolocker - Informații despre virus și decriptare.
Cryptolocker (cunoscut și sub numele de " Troj/Ransom-ACP ", " Trojan.Ransomcrypt.F ") este un virus Ransomware urât (TROJAN) și, atunci când vă infectează calculatorul, criptează toate fișierele, indiferent de extensia lor (tipul de fișier). Vestea proastă cu acest virus este că, odată ce vă infectează calculatorul, fișierele critice sunt criptate cu o criptare puternică și este practic imposibil să le decriptați. Odată ce un calculator este infectat cu virusul Cryptolocker, atunci apare un mesaj de informareapare pe computerul victimei, cerând o plată (răscumpărare) de 300$ (sau mai mult) pentru a vă decripta fișierele.
O analiză detaliată a Cryptolocker infecția și eliminarea ransomware-ului pot fi găsite în acest post:
- Cum să eliminați CryptoLocker Ransomware și să vă restaurați fișierele
Cum să decriptați fișierele infectate de Cryptolocker și să vă recuperați fișierele:
Pentru a decripta Cryptolocker infectate, aveți următoarele opțiuni:
A. Prima opțiune este să plătiți răscumpărarea. Dacă vă decideți să faceți acest lucru, procedați la plată pe propriul risc, deoarece, conform cercetărilor noastre, unii utilizatori își recuperează datele, iar alții nu.
B. A doua opțiune este să curățați calculatorul infectat și apoi să restaurați fișierele infectate dintr-o copie de rezervă curată (dacă aveți una).
C. Dacă nu aveți o copie de rezervă curată, atunci puteți încerca să restaurați fișierele din versiunile anterioare din " Copii din umbră ". Rețineți că această procedură funcționează numai în sistemele de operare Windows 8, Windows 7 și Vista și numai dacă se utilizează opțiunea " Restaurarea sistemului " a fost activată anterior pe computerul dvs. și nu a fost dezactivată după ce a fost activată funcția Cryptolocker infecție.
- Link de trimitere: Cum să vă restaurați fișierele din Shadow Copies.
D. În august 2014, FireEye & Fox-IT au lansat un nou serviciu care recuperează cheia privată de decriptare pentru utilizatorii care au fost infectați de ransomware-ul CryptoLocker. Serviciul se numește ' DecryptCryptoLocker ' (serviciul a fost întrerupt), este disponibil la nivel global și nu necesită ca utilizatorii să se înregistreze sau să furnizeze informații de contact pentru a-l utiliza.
Pentru a utiliza acest serviciu, trebuie să vizitați acest site: (serviciul a fost întrerupt) și să încărcați un fișier CryptoLocker criptat de pe calculatorul infectat (Notă: încărcați un fișier care nu conține informații sensibile și/sau private). După ce ați făcut acest lucru, trebuie să specificați o adresă de e-mail pentru a primi cheia privată și un link pentru a descărca instrumentul de decriptare. În cele din urmă, rulați programuldescărcați instrumentul de decriptare CryptoLocker (local, pe computerul dumneavoastră) și introduceți cheia privată pentru a decripta fișierele criptate de CryptoLocker.
Mai multe informații despre acest serviciu pot fi găsite aici: FireEye and Fox-IT Announce New Service to Help CryptoLocker Victims.
CryptXXX V1, V2, V3 (Variante: .crypt , crypz sau 5 caractere hexazecimale).
- CryptXXX V1 & CryptXXX V2 ransomware vă criptează fișierele și adaugă extensia ".crypt" la sfârșitul fiecărui fișier după infectare. CryptXXX v3 adaugă extensia ".cryptz" după criptarea fișierelor.
Troianul CryptXXX criptează următoarele tipuri de fișiere:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR,.GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF,.PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT,.UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX
Cum se decriptează fișierele CryptXXX.
Dacă sunteți infectat cu CryptXXX versiunea 1 sau versiunea 2, utilizați instrumentul RannohDecryptor de la Kaspersky pentru a vă decripta fișierele.
Dacă sunteți infectat cu CryptXXX Version 3, utilizați Trend Micro's Ransomware File Decryptor. *.
Notă: Din cauza criptarea avansată a virusului CryptXXX V3, doar decriptarea parțială a datelor este posibilă în prezent și trebuie să utilizați un instrument de reparare terță parte pentru a vă repara fișierele, cum ar fi: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Locky & AutoLocky (Variante: .locky)
Locky ransomware criptează fișierele folosind criptarea RSA-2048 și AES-128, iar după infectare toate fișierele sunt redenumite cu un nume de fișier unic - 32 de caractere - cu extensia ".locky" (de exemplu, " 1E776633B7E6DFE7ACD1B1A5E9577BCE.locky "). Locky virusul poate infecta unități locale sau de rețea și, în timpul infecției, creează un fișier numit " _HELP_instructions.html " pe fiecare dosar infectat, cu instrucțiuni privind modul în care puteți plăti răscumpărarea și decripta fișierele utilizând browserul TOR.
AutoLocky este o altă variantă a virusului Locky. Principala diferență între Locky și Autolocky este că Autolocky nu va schimba numele original al fișierului în timpul infecției. (de exemplu, dacă un fișier se numește " Document1.doc " înainte de infectare, Autolocky îl redenumește în " Document1.doc.locky ")
Cum se decriptează fișierele .LOCKY:
- Prima opțiune este să curățați computerul infectat și apoi să restaurați fișierele infectate dintr-o copie de rezervă curată (dacă aveți una). A doua opțiune, dacă nu aveți o copie de rezervă curată, este să restaurați fișierele în versiuni anterioare din " Copii din umbră ". Cum să vă restaurați fișierele din Shadow Copies. A 3-a opțiune, este să folosiți Emsisoft's Decrypter for AutoLocky pentru a vă decripta fișierele. (Instrumentul de decriptare funcționează doar pentru Autolocky ) .
Trojan-Ransom.Win32.Rector - Informații despre virus și decriptare.
The Rector troian criptează fișiere cu următoarele extensii: .doc , .jpg , .pdf .rar , și după infecție it Odată ce fișierele dvs. sunt infectate cu virusul de infectare. Rector troian, atunci extensiile fișierelor infectate sunt schimbate în .VSCRYPT , .INFECTAT , . KORREKTOR sau .BLOC iar acest lucru le face inutilizabile. Atunci când încercați să deschideți fișierele infectate, pe ecran apare un mesaj în caractere chirilice care conține cererea de răscumpărare și detaliile pentru plată. Infractorul cibernetic care face răscumpărarea Rector troian numit "†† KOPPEKTOP †† și vă roagă să comunicați cu el prin e-mail sau ICQ (EMAIL: [email protected] / ICQ: 557973252 sau 481095) pentru a da instrucțiuni despre cum să vă deblocați fișierele.
Cum să decriptați fișierele infectate cu Trojan Rector și să vă recuperați fișierele:
Sfaturi: Copiați toate fișierele infectate într-un director separat și închideți toate programele deschise înainte de a trece la scanarea și decriptarea fișierelor afectate.
1. Descărcați Rector Decriptor (de la Kaspersky Labs) pe computerul dumneavoastră.
2. Când descărcarea este finalizată, rulați RectorDecryptor.exe.
3. Apăsați tasta " Începeți scanarea " pentru a vă scana unitățile de discuri în căutarea fișierelor criptate.
4. Să se lase RectorDecriptor utilitar pentru a scana și decripta fișierele criptate (cu extensii .vscrypt, .infected, .bloc, .korrektor) și apoi selectați opțiunea " Ștergeți fișierele criptate după decriptare ", dacă decriptarea a avut succes. *
După decriptare, puteți găsi un jurnal de raport al procesului de scanare/decriptare la rădăcina unității C:\ (de exemplu, " C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt ").
5. În cele din urmă, continuați să verificați și să vă curățați sistemul de programele malware care ar putea exista pe el.
Sursa - Informații suplimentare: http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev - Informații despre virus și decriptare.
The Troian Ransom Xorist & Trojan Ransom Valdev , criptează fișiere cu următoarele extensii:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir,divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr,idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap,htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd,vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp,eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
După infecție, Troian Ransom Xorist vă compromite securitatea computerului, face ca acesta să fie instabil și afișează mesaje pe ecran, cerând o răscumpărare pentru a decripta fișierele infectate. Mesajele conțin, de asemenea, informații despre cum să plătiți răscumpărarea pentru a obține utilitarul de decriptare de la infractorii cibernetici.
Cum se decriptează fișierele infectate cu Trojan Win32.Xorist sau Trojan MSIL.Vandev:
Sfaturi: Copiați toate fișierele infectate într-un director separat și închideți toate programele deschise înainte de a trece la scanarea și decriptarea fișierelor afectate.
1. Descărcați Decriptorul Xorist (de la Kaspersky Labs) pe computerul dumneavoastră.
2. Când descărcarea este finalizată, rulați XoristDecryptor.exe .
Notă: Dacă doriți să ștergeți fișierele criptate după ce decriptarea este finalizată, faceți clic pe butonul " Modificarea parametrilor " și bifați opțiunea " Ștergeți fișierele criptate după decriptare " caseta de selectare de sub " Opțiuni suplimentare ”.
3. Apăsați tasta " Începeți scanarea ".
4. Introduceți calea a cel puțin unui fișier criptat și așteptați până când utilitarul decriptează fișierele criptate.
5. Dacă decriptarea a avut succes, reporniți calculatorul și apoi scanați și curățați sistemul de programele malware care ar putea exista pe el.
Sursa - Informații suplimentare: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom.Win32.Rakhni - Informații despre virus și decriptare.
The Troian Ransom Rakhni criptează fișierele prin modificarea extensiilor fișierelor după cum urmează:
... ... ... ... ... ... ... ... ... ... ... pizda@qq_com
După criptare, fișierele dvs. sunt inutilizabile, iar securitatea sistemului dvs. este compromisă. De asemenea, se poate utiliza și Trojan-Ransom.Win32.Rakhni creează un fișier pe serverul dvs. %APPDATA% folderul numit " exit.hhr.oshit " care conține parola criptată pentru fișierele infectate.
Avertisment: The Trojan-Ransom.Win32.Rakhni creează " exit.hhr.oshit ", care conține o parolă criptată pentru fișierele utilizatorului. Dacă acest fișier rămâne pe calculator, se va face decriptarea cu ajutorul aplicației RakhniDecryptor utilitar mai rapid. Dacă fișierul a fost eliminat, acesta poate fi recuperat cu ajutorul utilităților de recuperare a fișierelor. După ce fișierul este recuperat, puneți-l în %APPDATA% și executați din nou scanarea cu ajutorul utilitarului.
%APPDATA% locația dosarului:
- Windows XP: C:\\Documente și setări\\\Application Data Windows 7/8: C:\Users\\\AppData\Roaming
Cum să decriptați fișierele infectate cu Trojan Rakhni și să vă recuperați fișierele:
1. Descărcați Decriptorul Rakhni (de la Kaspersky Labs) pe computerul dumneavoastră.
2. Când descărcarea este finalizată, executați RakhniDecryptor.exe .
Notă: Dacă doriți să ștergeți fișierele criptate după ce decriptarea este finalizată, faceți clic pe butonul " Modificarea parametrilor " și bifați opțiunea " Ștergeți fișierele criptate după decriptare " caseta de selectare de sub " Opțiuni suplimentare ”.
3. Apăsați tasta " Începeți scanarea " pentru a vă scana unitățile de discuri în căutarea fișierelor criptate.
4. Introduceți calea a cel puțin un fișier criptat (de exemplu, " file.doc.locked ") și apoi așteptați până când utilitarul recuperează parola de la " exit.hhr.oshit " (atenție la Avertisment ) și vă decriptează fișierele.
Sursa - Informații suplimentare: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom.Win32.Rannoh (Trojan-Ransom.Win32.Cryakl) - Informații despre virus și decriptare.
The Troian Rannoh sau Troian Cryakl criptează toate fișierele de pe computerul dumneavoastră în felul următor:
- În cazul unui Trojan-Ransom.Win32.Rannoh infecție, numele și extensiile fișierelor vor fi modificate în funcție de șablonul blocat-... În cazul unei Trojan-Ransom.Win32.Cryakl infecție, eticheta {CRYPTENDBLACKDC} este adăugată la sfârșitul numelor de fișiere.
Cum să decriptați fișierele infectate cu Trojan Rannoh sau Trojan Cryakl și să vă recuperați fișierele:
Important: The Decriptorul Rannoh decriptează fișierele prin compararea unui fișier criptat și a unui fișier decriptat. Deci, dacă doriți să utilizați Decriptorul Rannoh pentru a decripta fișierele, trebuie să dețineți o copie originală a cel puțin unui fișier criptat înainte de infectare (de exemplu, dintr-o copie de rezervă curată).
1. Descărcați Decriptorul Rannoh pe computerul dumneavoastră.
2. Când descărcarea este finalizată, rulați RannohDecryptor.exe
Notă: Dacă doriți să ștergeți fișierele criptate după ce decriptarea este finalizată, faceți clic pe butonul " Modificarea parametrilor " și bifați opțiunea " Ștergeți fișierele criptate după decriptare " caseta de selectare de sub " Opțiuni suplimentare ”.
3. Apăsați tasta " Începeți scanarea ".
4. Citește mai departe " Informații necesare " și apoi faceți clic pe " Continuați " și specificați calea către o copie originală a cel puțin unui fișier criptat înainte de infectare (clean - original - file) și calea către fișierul criptat (infected - encrypted -file).
5. După decriptare, puteți găsi un jurnal de raport al procesului de scanare/decriptare la rădăcina unității C:\ (de exemplu, " C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt ").
Sursa - Informații suplimentare: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (Variante: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvvv)
The TeslaCrypt virusul ransomware adaugă următoarele extensii fișierelor dumneavoastră: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvvv.
Cum se decriptează fișierele TeslaCrypt:
Dacă sunteți infectat cu virusul TeslaCrypt, atunci utilizați unul dintre aceste instrumente pentru a vă decripta fișierele:
- TeslaDecoder: Mai multe informații și instrucțiuni despre utilizarea TeslaDecoder poate fi găsit în acest articol: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/Trend Micro Ransomware Ransomware File Decryptor.
TeslaCrypt V3.0 (Variante: .xxx, .ttt, .micro, .mp3)
The TeslaCrypt 3.0 virusul ransomware adaugă următoarele extensii fișierelor dumneavoastră: .xxx, .ttt, .micro & .mp3
Cum se decriptează fișierele TeslaCrypt V3.0:
Dacă sunteți infectat cu TeslaCrypt 3.0 apoi încercați să vă recuperați fișierele cu:
- Instrumentul de decriptor de fișiere Ransomware Trend's Micro Ransomware.RakhniDecryptor (Ghid de utilizare)Tesla Decoder (Ghid de utilizare)Tesladecrypt - McAfee
TeslaCrypt V4.0 (Numele fișierului și extensia sunt neschimbate)
Pentru a decripta fișierele TeslaCrypt V4, încercați una dintre următoarele utilitare:
- Instrumentul Trend's Micro Ransomware Ransomware File Decryptor.RakhniDecryptor (Instrucțiuni de utilizare)Tesla Decoder (Instrucțiuni de utilizare)
Andy Davis
Blogul unui administrator de sistem despre Windows
