среда, 31 мая 2017 г.

AES-NI / XData Decryptor

AES-NI Decryptor

XData Decryptor 

Инструкция по использованию

Translation into English


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
Файл декриптора от ESET


Используйте этот декриптор, только если ваши файлы были зашифрованы шифровальщиком AES-NI / XData Ransomware, которые к зашифрованным файлам добавляют расширения:
.aes256 
.aes_ni
.aes_ni_0day
.decrypr_helper@freemail_hu
.~xdata~

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, кроме файлов ключа типа:
pc_name#ID.key.aes_ni
pc-name#ID.key.~xdata~

Примеры:
USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Дешифровщик будет работать, только если рядом с ним в папке находится файл ключа, оставленный шифровальщиком. Таким образом можно дешифровать зашифрованные файлы даже подключив диск к другому компьютеру. 

Автоматически дешифратор ищет файл ключа в следующих местах:
папка с ESETAESNIDecrtyptor.exe 
C:\ProgramData
%appdata%
%temp%

Если вдруг дешифровщик не сможет дешифровать файлы, переместите файл ключа на Рабочий стол. 
Если файл ключа не будет найден дешифровщиком, т.к. ранее по неосторожности удалён пользователем, то дешифровка будет неудачной. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

После запуска дешифровщика появится окно предупреждения системы безопасности Windows. Это нормально, нажмите "Запустить". 
Далее...
Окна дешифровщика и соглашения с пользователем

После ознакомления с лицензионным соглашением нажмите кнопку "Agree", чтобы согласиться на использование программы и начать дешифровку файлов. 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией ESET и отправить им собранные образцы вредоносных файлов. 

📢 📢 📢
Обновление от 31 мая 2017:
Компания Avast реализовала альтернативный декриптор для XData.
Ссылки: 
https://blog.avast.com/avast-releases-decryption-tool-for-xdata-ransomware 
https://www.avast.com/ransomware-decryption-tools#xdata 


Удачной дешифровки! 


© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 30 мая 2017 г.

Amnesia2 Decryptor

AMNESIA2 DECRYPToR 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптор, только если ваши файлы были зашифрованы и переименованы шифровальщиком Amnesia2 Ransomware, которым к зашифрованным файлам добавляется расширение: .amnesia (в новых версиях есть и другие расширения: .wncry, .gladn, .hvsgt, .am и другие).  Дешифровщик регулярно обновляется. 

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

При первом запуске должно появиться окно UAC (Контроль учетных записей в Windows).
Прочитав имя программы и издателя, согласитесь на запуск.

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. И лишь потом, при их успешной дешифровке, продолжить дешифровку остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Amnesia2 Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптор после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Fabian Wosar, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 8 мая 2017 г.

BitKangarooDecrypter

BITKANGAROO DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
Файл декриптера


Используйте этот декриптер, только если ваши файлы были зашифрованы шифровальщиком BitKangaroo Ransomware, при котором к зашифрованным файлам добавляется расширение .bitkangoroo . 

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс фейк-шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

Окно декриптера

Декриптер поставляется как есть и разработчик не берёт на себя ответственность за возможное повреждение данных. 

О программе

Декриптер будет искать только папки с зашифрованными BitKangaroo Ransomware файлами и дешифровывать файлы. Дешифрованные файлы остаются на своих местах.

По окончании работы выйдет окно с надписью "Done!", которая сообщает о успешной дешифровке. 

Обо всех неудачах дешифрования сообщайте в комментариях. Мы сообщим автору, чтобы он внёс корректировки. 


После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG). 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 7 мая 2017 г.

Amnesia Decryptor

AMNESIA DECRYPToR 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптор, только если ваши файлы были зашифрованы и переименованы шифровальщиком Amnesia Ransomware, которым к зашифрованным файлам добавляется расширение: .amnesia (в новых версиях возможны другие расширения). Дешифровщик регулярно обновляется. См. также Amnesia2 Decrypter

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования декриптора потребуется зашифрованный файл и его незашифрованная версия. Выберите оба файла и перетащите их на файл декриптора, чтобы запустить его. 

👉 Для этой цели вы можете использовать образцы изображений, находящиеся по пути C:\Users\Public\Pictures\Sample\. Просто посмотрите на размеры файлов и выберите незашифрованное и зашифрованное изображения, имеющие одинаковые размеры. В русской версии Windows это следующий путь
C:\Пользователи\Общие\Общие изображения\Образцы изображений\

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 


Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптор попытается получить ключ дешифрования. На эту операцию может уйти несколько часов. Потерпите. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Amnesia Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптор после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 5 мая 2017 г.

BTCWare Decrypter

BTCWARE DECRYPTER

Инструкция по использованию 

Translation into English


Скачать BTCWare Decrypter >>>


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл декриптера

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком BTCWare Ransomware, разными версиями которого к зашифрованным файлам добавляются следующие расширения:

.[<email>].aleta
.[<email>].blocking
.[<email>].btcware
.[<email>].cryptobyte
.[<email>].crypton
.[<email>].cryptowin
.[<email>].encrypted
.[<email>].gryphon
.[<email>].master
.[<email>].nuclear
.[<email>].onyon
.[<email>].theva
.[<email>]-id-<id>.nuclear
.[<email>]-id-<id>.payday
.[<email>]-id-<id>.shadow
.[<email>]-id-<id>.wallet
.[<email>]-id-<id>.wyvern
.onyon
.xfile

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальные статьи там описывают BTCWare Ransomware и другие версии этого семейства программ-вымогателей на русском языке. 



Перед дешифровкой

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен.

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

Я рекомендую не торопиться и сделать бэкап наиболее ценных зашифрованных файлов, даже если тестовая расшифровка файлов такого же типа прошла успешно.


Процесс дешифровки

✋ Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов изображений, документы MS Office, PDF, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла.

У файла есть цифровая подпись и издатель называется "Michael Gillespie". 
Вы можете просмотреть сертификат издателя самостоятельно. 
Декриптер создан разработчиком ID Ransomware Майклом Джиллеспи (Michael Gillespie). Вы можете всё это проверить по ссылкам, которые я добавил выше. 

Декриптер много раз обновлялся разработчиком, т.к. разных версий у BTCWare Ransomware было много. Все изменения перечислены в файлы Changelog.txt, который находится вместе с декриптером в архиве, который вы скачали. Я не буду перечислять их здесь, чтобы не утомлять вас чтением. Возможно, что вам придется свериться с этим списком самостоятельно. 

Если вы решили расшифровать файлы, то нажмите кнопку "Запустить". 

Появится окно декриптора. Чтобы прочитать информацию о программе и поддерживаемых расширениях, нажмите кнопку "About".
Здесь написано, что поддерживается расширения:
.[<email>].cryptobyte, .[<email>].btcware, .[<email>].onyon, .onyon, .xfile, .[<email>].cryptowin, .[<email>].theva, .[<email>].master, .[<email>].blocking, .[<email>].encrypted, .[<email>].aleta, .[<email>].gryphon, .[<email>].crypton, .[<email>].nuclear, .[<email>]-id-<id>.nuclear, .[<email>]-id-<id>.wyvern, .[<email>]-id-<id>.payday, .[<email>]-id-<id>.shadow, .[<email>]-id-<id>.wallet

Если вашего варианта расширения здесь нет, то у ваш более новый или неизвестный вариант шифровальщика BTCWare Ransomware. Возможно, что ваши файлы зашифровал вообще другой шифровальщик. Не пытайтесь расшифровывать файлы с неподдерживаемымии расширениями. 

Чтобы перехватить ключ дешифрования, декритеру нужен зашифрованный файл и его исходная незашифрованная версия. Как их найти, если все файлы зашифрованы? Об этом я подробно рассказал в статье "Особые рекомендации". 

Прочтите и найдите у себя исходный незашифрованный файл и его зашифрованный вариант. 

Когда вы найдёте нужную пару файлов, кликните на меню "Tools" и выберите "Bruteforcer". Откроется экран, где вы с помощью кнопок "Browse..." выберете зашифрованный файл и его незашифрованную версию, как показано ниже. 
Декриптер сам перехватит ключ дешифрования, который будет показан в нижней части окна. Вам останется только нажать кнопку "Start", что декриптер использовал найденный ключ для дешифрования файлов. 
Далее вам нужно с помощью кнопки "Select Directory" выбрать директорию (папку) с зашифрованными файлами и нажать кнопку "Decrypt".
Об окончании дешифрования файлов будет сообщено надписью "Done!" в левом нижнем углу окна декриптера. 

После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

Detailed usage guide (in English)

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер (дешифратор) не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Майклом Джиллеспи (на форуме BC, в Твиттере), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на сайтах, Google Chrome поможет вам перевести любой текст на русский язык.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 марта 2018:
В дешифровщик добавлена поддержка новых расширений. 
См. файл Changelog.txt в архиве с программой. 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 3 мая 2017 г.

Cry128 Decryptor

CRY128 DECRYPToR 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптор, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cry128 Ransomware, которым к зашифрованным файлам добавляются следующие расширения:

.fgb45ft3pqamyji7.onion.to._
.id_<id>_gebdp3k7bolalnd4.onion._
.id_<id>_2irbar3mjvbap6gt.onion.to._
.id-<id>_[qg6m5wo7h3id55ym.onion.to].63vc4
и другие. 

Cry128, Cry9, CryptON, Nemesis, X3M относятся к общему семейству вымогателей, используемых для целевых атак через RDP. Файлы шифруются с использованием сочетания AES и RSA, в данном случае шифрование основано на модифицированной версии AES, работающей на 128 байтовых блоков и с 1024-битными ключами в режиме ECB.


Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Для использования Cry128-декриптора потребуется зашифрованный файл не менее 128 килобайт и его незашифрованная версия. Выберите оба файла и перетащите их на файл декриптора, чтобы запустить его. 


👉 Для этой цели вы можете использовать образцы изображений, находящиеся по пути C:\Users\Public\Pictures\Sample\. Просто посмотрите на размеры файлов и выберите незашифрованное и зашифрованное изображения, имеющие одинаковые размеры. В русской версии Windows это следующий путь

C:\Пользователи\Общие\Общие изображения\Образцы изображений\

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 
Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптор попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Cry9 Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптор после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.