четверг, 7 апреля 2016 г.

Дешифровщики

Дешифровщики файлов


   Существует множество программ-вымогателей, которые блокируют работу компьютера, шифруют файлы, а потом вымогают у пользователя, ставшего их жертвой, денежную сумму в немыслимом размере. 


  Сама история вымогательских программ насчитывает, по крайней мере, 10 лет, но за последние два года набрала обороты и кардинально эволюционировала одна группа вымогателей — Крипто-вымогатели (они же шифраторы, криптолокеры, шифровальщики-вымогатели). Начиная с середины 2014 года их производство и распространение понеслось по нарастающей. Год 2016 стал настоящим годом криптовымогателя. 


 Мы создали и поддерживаем в актуальном состоянии специальный блог, посвященный этой проблеме. В нем собираются и публикуются данные о шифровальщиках-вымогателях (криптовымогателях), которые попадают в поле нашего зрения. 

 Данный блог будет посвящён программам, которые помогают пользователям, пострадавшим от криптовымогателей, дешифровать зашифрованные ими файлы. 

  Здесь будет публиковаться список дешифровщиков (дешифраторов, декрипторов, декриптеров) по алфавиту. На каждый дешифровщик будет по возможности создана отдельная страница с доступными инструкциями по использованию на русском или английском языках. Некоторые ссылки в списке ниже ведут на сайты разработчиков дешифровщиков. 


0 - 9
777Decrypt - дешифровщик для 777 Ransomware
8lock8 Decrypter  - дешифровщик для 8lock8 Ransomware


A-a
AES-NI / XData Decrypter - дешифровщик для AES-NI / XData Ransomware
Al-Namrood Decrypter - дешифровщик для Al-Namrood Ransomware
AlphaDecrypter - дешифровщик для Alpha Ransomware
Amnesia Decrypter  дешифровщик для Amnesia Ransomware
Amnesia2 Decrypter  дешифровщик для Amnesia2 Ransomware
Apocalypse Decrypter - дешифровщик для Apocalypse Ransomware
ApocalypseVM Decrypter - дешифровщик для Apocalypse Ransomware
AutoLocky Decrypter - дешифровщик для AutoLocky Ransomware


B-b
BitKangaroo Decrypter - дешифровщик для BitKangaroo Ransomware


C-c
Cry128 Decrypter - дешифровщик для Cry128 Ransomware
Cry9 Decrypter  - дешифровщик для Cry9 Ransomware
CrypBoss Decrypter - дешифровщик для CrypBoss Ransomware
Crypren Decrypter - дешифровщик для Crypren Ransomware
CryptInfinite Decrypter - дешифровщик для CryptInfinite Ransomware
CryptConsole Decrypter  - дешифровщик для CryptConsole Ransomware
CryptoDefense Decrypter - дешифровщик для CryptoDefense Ransomware
CryptON и X3M Decrypter - дешифровщик для CryptON и X3M Ransomware


D-d

Damage Decrypter - дешифровщик для Damage Ransomware
DMALocker1 Decrypter - дешифровщик для DMALocker Ransomware
DMALocker2 Decrypter - дешифровщик для DMALocker2 Ransomware


F-f
Fabiansomware Decrypter - дешифровщик для Fabiansomware Ransomware
FenixLocker Decrypter - дешифровщик для FenixLocker Ransomware


G-g
GhostCrypt Decrypter - дешифровщик для GhostCrypt Ransomware
Globe Decrypter - дешифровщик для Globe Ransomware
Globe2 Decrypter - дешифровщик для Globe2 Ransomware
Globe3 Decrypter дешифровщик для Globe3 Ransomware
GlobeImposter Decrypter дешифровщик для GlobeImposter Ransomware
Gomasom Decrypter - дешифровщик для Gomasom Ransomware


H-h
Harasom Decrypter - дешифровщик для Harasom Ransomware

HiddenTear Bruteforcer - брутфорсер для вымогателей на основе криптоконструктора HiddenTear: 8lock8BankAccountSummary, EDA2, MireWare...

HiddenTear Decrypter - дешифровщик для вымогателей на основе криптоконструктора HiddenTear: 8lock8BankAccountSummary, EDA2, MireWare...

HydraCryptDecrypt+UmbreCryptDecrypt - дешифровщик для HydraCrypt и UmbreCrypt Ransomware


J-j
JigSawDecrypter - дешифровщик для JigSaw Ransomware
JigSaw+CryptoHitmanDecrypter - дешифровщик для JigSaw и CryptoHitman Ransomware


K-k
KeyBTC Decrypter - дешифровщик для KeyBTC Ransomware


L-l
LeChiffre Decrypter - дешифровщик для LeChiffre Ransomware


M-m
Marlboro Decrypter - дешифровщик для Marlboro Ransomware
MicroCop Decrypter - дешифровщик для MicroCop (Mircop) Ransomware
MRCR Decrypter  - дешифровщик для MRCR Ransomware


N-n
Nemucod Decrypter - дешифровщик для Nemucod Ransomware
NMoreira Decrypter - дешифровщик для NMoreira Ransomware


O-o
OpenToYou Decrypter - дешифровщик для OpenToYou Ransomware
OzozaLocker Decrypter - дешифровщик для OzozaLocker Ransomware


P-p
Petya Decrypter - дешифровщик для Petya Ransomware
PClockDecrypt - дешифровщик для PClock Ransomware
PClock2Decrypt - дешифровщик для PClock Ransomware
Philadelphia Decrypter - дешифровщик для Philadelphia Ransomware


R-r
Radamant Decrypter - дешифровщик для Radamant Ransomware
RannohDecryptor - дешифровщик для CryptXXX и CryptXXX v.2.0 Ransomware


S-s
Stupid Decrypter - дешифровщик для группы т.н. Stupid Ransomware


T-t
TeslaCrypt Decryption Tool - дешифровщик для TeslaCrypt всех версий
TeslaDecoder - дешифровщик для TeslaCrypt 3.0-4.2 Ransomware
TrueCrypter Decrypter - дешифровщик для TrueCrypter Ransomware


X-x
XoristDecrypt дешифровщик для Xorist Ransomware




Присоединяйтесь к проекту! 

Присылайте ссылки, делитесь наработками, присылайте информацию по дешифровщикам и криптовымогателям. По мере накопления материала она будет опубликована. 



© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, скриншотинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании ссылка на блог и/или автора обязательна.

40 комментариев:

  1. Спасибо. Еще будет информация? В смысле добавляться?

    ОтветитьУдалить
    Ответы
    1. Да, будет, материала накопилось много и нужна помощь. Если готовы помочь, напишите мне в чат, подскажу что надо сделать. Это несложно, но не успеваю.

      Удалить
  2. 0xc030@protonmail.ch
    0xc030@tuta.io
    aes-ni@scryptmail.com
    SORRY! Your files are encrypted.
    File contents are encrypted with random key (AES-256 bit; ECB mode).
    Random key is encrypted with RSA public key (2048 bit).
    Чем расшифровать?

    ОтветитьУдалить
    Ответы
    1. Обратитесь по адресу https://virusinfo.info/forumdisplay.php?f=194 к thyrex.

      Удалить
  3. Здравствуйте.Помогите дешифровать файлы с расширением LanRan

    ОтветитьУдалить
    Ответы
    1. Обратитесь на форум по ссылке.
      https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/
      Создайте тему с названием вымогателя.
      Изучите "Первые шаги". http://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html
      Без их соблюдения вряд ли удастся что-то дешифровать. Тем более у нас ранее был только тестовый образец LanRan-а.

      Удалить
  4. День добрый, помогите дешифровать *.crypted000007

    ОтветитьУдалить
    Ответы
    1. Это новейшая версия Troldesh/Shade . У ЛК есть декрипторы для двух ранних версий.
      См. обновление от 1-5 мая 2017 в конце статьи
      http://id-ransomware.blogspot.ru/2016/06/troldesh-ransomware-email.html
      Вначале написано, что делать . Отправьте файлы здесь: https://www.nomoreransom.org/ru/index.html

      Удалить
    2. Пока все. У меня тоже был случай, когда люди пострадали. Файлы сохранили, через полгода появился декриптер. Все дешифровали утилитой от ЛК.

      Удалить
    3. Ребята очень прошу, если у кого есть способ решения, дайте знать: wagonsoli@gmail.com

      Удалить
    4. Кто найдет панацею, прошу очень ПОМОЧЬ МНЕ
      grigorian@ex.ua

      Удалить
    5. Вообще есть конторы, которые за деньги дешифруют crypted000007. От 5000 руб стоит. Мне даже один файл расшифровали для пробы. Значит есть решение. Неужели тот же Касперский не победил этого шифровальщика?

      Удалить
    6. Эти конторы видимо состоят в доле с мошенниками-вымогателями. Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет.
      "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"
      http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

      Удалить
  5. Кажется мы поймали GlobeImposter 2.0 есть ли декриптор по нему ? и могу ли я чем то помочь в его скором появлении?

    ОтветитьУдалить
  6. Добрый день! ТОже GlobeImposter 2.0. Файлы зашифрованы с расширением .crypt Можете чем то помочь?

    ОтветитьУдалить
  7. Добрый день! Файлы стали с окончанием .crypt . Скорее всего тоже GlobeImposter 2.0. Есть какие то рекомендации?

    ОтветитьУдалить
  8. По GlobeImposter есть отдельная тема https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

    ОтветитьУдалить
  9. Здравствуйте! Клиенты принесли комп.
    Заражён GlobeImposter 2.0, файлы с расширением ..726
    Удалили всё ESET'ом. При желании могу восстановить сами файлы вируса, они же .vbs скрипты и отправить.
    Прочёл, что дешифраторов на данный тип шифровальщика - не существует. Помогут ли Вам файлы вируса? Если да, то скажите - чего и куда выслать можно.

    ОтветитьУдалить
    Ответы
    1. С этим крипто-вымогателем ситуация на сегодняшний день такова: нет возможности дешифровать файлы без уплаты выкупа. Расширений много разных с 3х-4х-5х знаками и пр.. Не успеваем добавлять сюда: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Тема поддержки: https://www.bleepingcomputer.com/forums/t/644166/globeimposter-crypt-pscrypt-ext-back-fileshtml-ransomware-support/
      Файлы можно отправлять туда.

      Удалить
  10. Тоже отметился это шифратор. По почте прилетел.
    Девочка и открыла.
    Почистил теневую копию бекапа.
    Придется ждать дешифратор

    ОтветитьУдалить
  11. GlobeImposter 2.0 имеет сейчас много итераций. Используется широко, потому что недешифруем пока. И в ближайшее время вряд ли будет. Собирайте зашифрованные файлы в папку "Зашифрованное" вместе с записками (обязательно!) и сохраняйте. Систему придется переустановить и в дальнейшем придерживаться рекомендаций, описанных в статье "10 способов защиты от шифровальщиков-вымогателей"
    http://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html
    Нельзя экономить на защите!

    ОтветитьУдалить
  12. Я опубликовал последние обновления по новым итерациям GlobeImposter в конце статьи
    https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
    Будут новые - добавляйте там.

    ОтветитьУдалить
  13. У меня есть помимо HPLaserJetService.exe (вирус) и файл c именем {1f777390-0b42-11e3-80ad-806e6f6e6963} и содержимым состоящим из ID (512 символов) и ключа (256 символов). Может эта информация поможет в создании дешифратора?

    ОтветитьУдалить
  14. Здравствуйте! Ничего не слышно про Ishtar Ransomware(((((?

    ОтветитьУдалить
    Ответы
    1. Ответил Вам на email. Новостей нет.

      Удалить
  15. День добрый, а про такой crypted000007 есть новости

    ОтветитьУдалить
    Ответы
    1. Нет пока. Все ждут. См. мои комментарии от 8 мая и 4 августа.

      Удалить
  16. Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Зашифрованные файлы имеют разные расширения: stu, uvw, yyz, efg, ccd, cde, abc, jjk, ijk, nop, mmn, qqr, vxy, zza, aaa, jkl и т.д. В каждой зашифрованной папке располагается README.txt файл с сообщением "files encrypted write you country to komar@tuta.io"
    Возможна ли расшифровка?

    ОтветитьУдалить
    Ответы
    1. Для Cryakl нет расшифровки. Уже давно бушует. Судя по новому email - одна из новый модификаций. Тем более нет дешифровщика. Даже антивирусные "гиганты" ничего не могут поделать.

      Удалить
  17. Trojan encoder 11539 v3 слышно что нибудь?

    ОтветитьУдалить
    Ответы
    1. Видимо, вы имеете ввиду Fake Globe (GlobeImposter 2.0).
      Описание: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Много модификаций. На него нет дешифровщика.
      Файлы нужно собрать, возможно что-то появится в будущем.

      Удалить
  18. Добрый день словили шифровальщик расширение файлов .coded
    если что есть оригинальные файлы и зашифрованные.
    очень нужна помощь

    ОтветитьУдалить
    Ответы
    1. Возможно, это Fake Globe (GlobeImposter-2). В обновлении от 7 августа было такое расширение заш-файлов. Ссылка: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Для этого семейства пока нет никакого дешифровщика. Рекомендуем сделать бэкап зашифрованных файлов.

      Удалить
  19. Люди, а что с этим новым трояном .arena? Беда. Все базы 1С зашифровались. Требуют 1 биткоин ((

    ОтветитьУдалить
    Ответы
    1. Наше описание здесь: https://id-ransomware.blogspot.ru/2017/08/arena-ransomware.html
      Дешифровщика пока нет. Рекомендуем сделать бэкап зашифрованных файлов.

      Удалить
    2. Добрый день.
      Поймали - email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-285088181-22.11.2017 21@04@476141204.fname-README.txt.fairytail
      После перезагрузки продолжает шифровать, как вытащить ключ для дешифровки?

      Удалить
    3. Вероятно это Cryakl
      Пробуйте по инструкции инструмент Rannoh Decryptor
      https://noransom.kaspersky.com/ru/

      Удалить