среда, 31 мая 2017 г.

AES-NI / XData Decrypter

AES-NI Decryptor

XData Decryptor 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
Файл декриптера от ESET


Используйте этот декриптер, только если ваши файлы были зашифрованы шифровальщиком AES-NI / XData Ransomware, которые к зашифрованным файлам добавляют расширения:
.aes256 
.aes_ni
.aes_ni_0day
.decrypr_helper@freemail_hu
.~xdata~

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, кроме файлов ключа типа:
pc_name#ID.key.aes_ni
pc-name#ID.key.~xdata~

Примеры:
USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Декриптер будет работать, только если рядом с ним в папке находится файл ключа, оставленный шифровальщиком. Таким образом можно дешифровать зашифрованные файлы даже подключив диск к другому компьютеру. 

Автоматически дешифратор ищет файл ключа в следующих местах:
папка с ESETAESNIDecrtyptor.exe 
C:\ProgramData
%appdata%
%temp%

Если вдруг декриптер не сможет дешифровать файлы, переместите файл ключа на Рабочий стол. 
Если файл ключа декриптером не будет найден, т.к. по неосторожности удалён пользователем, то дешифровка будет неудачной. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

После запуска декриптера появится окно предупреждения системы безопасности Windows. Это нормально, нажмите "Запустить". 
Далее...
Окна декриптера и соглашения с пользователем

После ознакомления с лицензионным соглашением нажмите кнопку "Agree", чтобы согласиться на использование программы и начать дешифровку файлов. 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией ESET и отправить им собранные образцы вредоносных файлов. 

📢 📢 📢
Обновление от 31 мая 2017:
Компания Avast реализовала альтернативный декриптер для XData.
Ссылки: 
https://blog.avast.com/avast-releases-decryption-tool-for-xdata-ransomware 
https://www.avast.com/ransomware-decryption-tools#xdata 


Удачной дешифровки! 

9 комментариев:

  1. привет.
    ключ нашел, скачал есетовскую утилиту
    но эффект нулевой ( ключ говорит дешифровало и все (
    остальные файлы просто error! подскажите куда копать ?
    аваст и каспер тоже не помогли (*! http://moifotki.org/i/c26598c4b4b44de690591a00c0a93bf7

    ОтветитьУдалить
    Ответы
    1. Если декриптер не может дешифровать файлы, переместите файл ключа на Рабочий стол. Сделайте несколько запусков декриптера. Если не поможет, то перезагрузите ПК и повторите попытку.

      Удалить
    2. Помогает не всем, видимо потому, что использовались разные версии (сборки) вымогателя. Это обычная практика среди кибер-преступников.

      Удалить
    3. Выше я давал ссылку на аккаунт в Твиттере разработчиков ESET. Вот ссылка: https://twitter.com/esetglobal Напишите, это не трудно, пошлете им несколько файлов (доки, изображения) - может у них лучше получится.

      Удалить
  2. Привет! спасибо !) написали в ESET )))) ответ получили не с первого раза ))) )просили лицензионное имя купленного антивируса ) после настоятельной просьбы ответить по бесплатной утилите - ответ был таков )

    >В одном каталоге должен быть файл Esetaesnidecryptor.exe и папка vir с зашифрованными файлами .~Xdata~
    > Через командную строку СMD нужно запустить команду: Esetaesnidecryptor.exe vir (сканирование > не происходит тех файлов, которые могут быть в подпаках основной папки).

    >Дальнейшая техническая поддержка не может быть предоставлена. Так, как техническая поддержка >предоставляется пользователям, которые приобрели лицензию на использование антивирусных >продуктов ESET.

    утром попробуем, если не получится - буду писать разрабам )
    спасибо !)

    ОтветитьУдалить
    Ответы
    1. Купить недорого - не проблема: https://rf-soft.exaccess.com/#!digiseller/articles/1304
      Пусть гарантируют, что могут дешифровать. :))

      Удалить
  3. файла ключа нет. Кто знает, по Your ID: R510#FDC6949B110703A126F1626AB5DFE64D его восстановить можно ?

    ОтветитьУдалить
  4. Если у вас XData и система переставлена, то без ключа никак.

    ОтветитьУдалить
    Ответы
    1. Или обратитесь в тему
      https://www.bleepingcomputer.com/forums/t/635140/aes-ni-ransomware-aes256-aes-ni-read-this-importanttxt-support-topic/page-12#entry4248235
      Может там представитель поможет.

      Удалить