среда, 31 мая 2017 г.

AES-NI / XData Decrypter

AES-NI Decryptor

XData Decryptor 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
Файл декриптера от ESET


Используйте этот декриптер, только если ваши файлы были зашифрованы шифровальщиком AES-NI / XData Ransomware, которые к зашифрованным файлам добавляют расширения:
.aes256 
.aes_ni
.aes_ni_0day
.decrypr_helper@freemail_hu
.~xdata~

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, кроме файлов ключа типа:
pc_name#ID.key.aes_ni
pc-name#ID.key.~xdata~

Примеры:
USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Декриптер будет работать, только если рядом с ним в папке находится файл ключа, оставленный шифровальщиком. Таким образом можно дешифровать зашифрованные файлы даже подключив диск к другому компьютеру. 

Автоматически дешифратор ищет файл ключа в следующих местах:
папка с ESETAESNIDecrtyptor.exe 
C:\ProgramData
%appdata%
%temp%

Если вдруг декриптер не сможет дешифровать файлы, переместите файл ключа на Рабочий стол. 
Если файл ключа декриптером не будет найден, т.к. по неосторожности удалён пользователем, то дешифровка будет неудачной. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

После запуска декриптера появится окно предупреждения системы безопасности Windows. Это нормально, нажмите "Запустить". 
Далее...
Окна декриптера и соглашения с пользователем

После ознакомления с лицензионным соглашением нажмите кнопку "Agree", чтобы согласиться на использование программы и начать дешифровку файлов. 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией ESET и отправить им собранные образцы вредоносных файлов. 

📢 📢 📢
Обновление от 31 мая 2017:
Компания Avast реализовала альтернативный декриптер для XData.
Ссылки: 
https://blog.avast.com/avast-releases-decryption-tool-for-xdata-ransomware 
https://www.avast.com/ransomware-decryption-tools#xdata 


Удачной дешифровки! 

вторник, 30 мая 2017 г.

Amnesia2 Decrypter

AMNESIA2 DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Amnesia2 Ransomware, которым к зашифрованным файлам добавляется расширение: .amnesia

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

При первом запуске должно появиться окно UAC (Контроль учетных записей в Windows).
Прочитав имя программы и издателя, согласитесь на запуск.

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. И лишь потом, при их успешной дешифровке, продолжить дешифровку остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Amnesia2 Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

понедельник, 8 мая 2017 г.

BitKangarooDecrypter

BITKANGAROO DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
Файл декриптера


Используйте этот декриптер, только если ваши файлы были зашифрованы шифровальщиком BitKangaroo Ransomware, при котором к зашифрованным файлам добавляется расширение .bitkangoroo . 

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс фейк-шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

Окно декриптера

Декриптер поставляется как есть и разработчик не берёт на себя ответственность за возможное повреждение данных. 

О программе

Декриптер будет искать только папки с зашифрованными BitKangaroo Ransomware файлами и дешифровывать файлы. Дешифрованные файлы остаются на своих местах.

По окончании работы выйдет окно с надписью "Done!", которая сообщает о успешной дешифровке. 

Обо всех неудачах дешифрования сообщайте в комментариях. Мы сообщим автору, чтобы он внёс корректировки. 


После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 


ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG). 

воскресенье, 7 мая 2017 г.

Amnesia Decrypter

AMNESIA DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Amnesia Ransomware, которым к зашифрованным файлам добавляется расширение: .amnesia

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования декриптера потребуется зашифрованный файл и его незашифрованная версия. Выберите оба файла и перетащите их на файл декриптера, чтобы запустить его. 

👉 Для этой цели вы можете использовать образцы изображений, находящиеся по пути C:\Users\Public\Pictures\Sample\. Просто посмотрите на размеры файлов и выберите незашифрованное и зашифрованное изображения, имеющие одинаковые размеры. В русской версии Windows это следующий путь
C:\Пользователи\Общие\Общие изображения\Образцы изображений\

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 


Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптер попытается получить ключ дешифрования. На эту операцию может уйти несколько часов. Потерпите. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Amnesia Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

среда, 3 мая 2017 г.

Cry128 Decrypter

CRY128 DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cry128 Ransomware, которым к зашифрованным файлам добавляются следующие расширения:

.fgb45ft3pqamyji7.onion.to._
.id_<id>_gebdp3k7bolalnd4.onion._
.id_<id>_2irbar3mjvbap6gt.onion.to._
.id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4
и другие. 

Cry128, Cry9, CryptON, Nemesis, X3M относятся к общему семейству вымогателей, используемых для целевых атак через RDP. Файлы шифруются с использованием сочетания AES и RSA, в данном случае шифрование основано на модифицированной версии AES, работающей на 128 байтовых блоков и с 1024-битными ключами в режиме ECB.


Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования Cry128-декриптера потребуется зашифрованный файл не менее 128 килобайт и его незашифрованная версия. Выберите оба файла и перетащите их на файл декриптера, чтобы запустить его. 


👉 Для этой цели вы можете использовать образцы изображений, находящиеся по пути C:\Users\Public\Pictures\Sample\. Просто посмотрите на размеры файлов и выберите незашифрованное и зашифрованное изображения, имеющие одинаковые размеры. В русской версии Windows это следующий путь

C:\Пользователи\Общие\Общие изображения\Образцы изображений\

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 
Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптер попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Cry9 Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

среда, 5 апреля 2017 г.

Cry9 Decrypter

CRY9 DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cry9 Ransomware, которым к зашифрованным файлам добавляются следующие расширения:
.<id>
.<id>_[wqfhdgpdelcgww4g.onion.to].r2vy6
.<id>-sofia_lobster[a]protonmail.ch
.id-<id>
.id-<id>_[nemesis_decryptor@aol.com].xj5v2
.id-<id>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
.id-<id>_r9oj
.id-<id>_x3m
<id>-juccy[a]protonmail.ch
и другие. 

Cry9, CryptON, Nemesis, X3M относятся к общему семейству вымогателей, используемых для целевых атак через RDP. Файлы шифруются с использованием сочетания RSA, AES-256, SHA-256 и даже SHA-512 в данном случае.

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования Cry9-декриптера потребуется зашифрованный файл не менее 128 байт и его незашифрованная версия. Выберите оба файла и перетащите их на файл декриптера, чтобы запустить его. 

👉 Для этой цели вы можете использовать образцы изображений, находящиеся по пути C:\Users\Public\Pictures\Sample\. Просто посмотрите на размеры файлов и выберите незашифрованное и зашифрованное изображения, имеющие одинаковые размеры. В русской версии Windows это следующий путь
C:\Пользователи\Общие\Общие изображения\Образцы изображений\

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 
Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптер попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Cry9 Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

суббота, 11 марта 2017 г.

Damage Decrypter

DAMAGE DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Damage Ransomware, при котором к зашифрованным файлам добавляется расширение .damage

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования декриптера потребуется файл-пара, состоящая из зашифрованного файла и его незашифрованной оригинальной версии. Выберите оба файла и перетащите их на файл декриптера.

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 
Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптер попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Damage Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 


Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG).