Jak dešifrovat nebo získat zpět zašifrované soubory infikované známými šifrovacími ransomwarovými viry.

V posledních letech kyberzločinci distribuují nový typ virů, které dokážou zašifrovat soubory ve vašem počítači (nebo ve vaší síti) za účelem snadného vydělávání peněz na svých obětech. Tento typ virů se nazývá „Ransomware“ a může infikovat počítačové systémy, pokud uživatel počítače dávejte pozor při otevírání příloh nebo odkazů od neznámých odesílatelů nebo webů, které byly napadeny kyberzločinci. Podle mých zkušeností je jediným bezpečným způsobem, jak se chránit před tímto typem virů, mít čisté zálohy vašich souborů uložené na jiném místě než váš počítač. Například na odpojeném externím pevném disku USB nebo na discích DVD-Rom.

Tento článek obsahuje důležité informace o některých známých šifrovacích ransomwaru – šifrovacích virech, které byly navrženy pro zašifrovat kritické soubory plus dostupné možnosti a nástroje pro dešifrování zašifrovaných souborů při infekci. Tento článek jsem napsal proto, abych měl všechny informace o dostupných dešifrovacích nástrojích na jednom místě, a pokusím se tento článek aktualizovat. Podělte se s námi o své zkušenosti a jakékoli další nové informace, které můžete vědět, abychom si mohli navzájem pomáhat.

Jak dešifrovat soubory zašifrované Ransomwarem – Popis a známé dešifrovací nástroje – Metody:

JMÉNO RANSOWARE
Cryptowall
CryptoDefense & How_Decrypt
Cryptorbit nebo HowDecrypt
Cryptolocker (Troj/Ransom-ACP“, „Trojský kůň. Ransomcrypt. F)
CryptXXX V1, V2, V3 (varianty: .crypt, crypz nebo 5 hexadecimálních znaků)
Locky & AutoLocky (Varianty: .locky)
Trojan-Ransom. Win32.Rektor
Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vanděv
Trojan-Ransom. Win32.Rakhni
Trojan-Ransom. Win32.Rannoh nebo Trojan-Ransom. Win32.Cryakl.
TeslaCrypt (Varianty: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc a .vvv)
TeslaCrypt 3.0 (varianty: .xxx, .ttt, .micro, .mp3)
TeslaCrypt 4.0 (název souboru a přípona nezměněny)

Aktualizace z června 2016:

1. Trend Micro vydala a Ransomware File Decryptor nástroj pro pokus o dešifrování souborů zašifrovaných následujícími rodinami ransomwaru:

CryptXXX V1, V2, V3*.crypt, crypto nebo 5 hexadecimálních znaků
CryptXXX V4, V5.5 Hexadecimální znaky
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX nebo TTT nebo MP3 nebo MICRO
TeslaCrypt V4.
SNSLocker.RSNSLocked
AutoLocky.locky
BadBlock
777.777
XORIST.xorist nebo náhodné rozšíření
XORBAT.šifrované
CERBER V1 <10 náhodných znaků>.cerber
Stampado.zamčeno
Nemucod.šifrované
Chiméra.krypta

* Poznámka: Vztahuje se na CryptXXX V3 ransomware: Vzhledem k pokročilému šifrování tohoto konkrétního Crypto-Ransomwaru, pouze částečná data dešifrování je v současné době možné u souborů ovlivněných CryptXXX V3 a k opravě musíte použít nástroj pro opravu třetí strany. soubory jako: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Chcete-li si stáhnout nástroj Ransomware File Decrypter společnosti Trend Micro (a přečíst si pokyny, jak jej používat), přejděte na tuto stránku: Stažení a používání Trend Micro Ransomware File Decryptor

2. Kašperky vydala následující dešifrovací nástroje:

A. Nástroj RakhniDecryptor společnosti Kaspersky je navržen tak, aby dešifroval soubory ovlivněné*:

* Poznámka: Nástroj RakhniDecryptor je vždy aktualizován, aby dešifroval soubory z několika rodin ransomwaru.

Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Kryptokluchen
Demokracie
Bitman – TeslaCrypt verze 3 a 4

B. Kaspersky nástroj RannohDecryptor je navržen tak, aby dešifroval soubory ovlivněné:

Rannoh
AutoIt
Zuřivost
Krybola
Cryakl
CryptXXX verze 1 a 2

Cryptowell – informace o virech a možnosti dešifrování.

The Cryptowall (nebo "Cryptowall Decrypter“) virus je novou variantou Kryptoobrana ransomware virus. Když je počítač infikován Cryptowall ransomware, poté všechny důležité soubory v počítači (včetně souborů na mapovaných síťových discích, pokud jste přihlášeni v síti) se zašifrují silným šifrováním, které prakticky znemožňuje dešifrování jim. Po Cryptowall šifrování, virus vytvoří a odešle soukromý klíč (heslo) na soukromý server, aby jej mohl zločinec použít k dešifrování vašich souborů. Poté zločinci informují své oběti, že všechny jejich kritické soubory jsou zašifrované a jediný způsob, jak je dešifrovat, je zaplatit výkupné ve výši 500 $ (nebo více) v definovaném časovém období, jinak bude výkupné zdvojnásobeno nebo budou ztraceny jejich soubory trvale.

Jak dešifrovat soubory infikované Cryptowall a získat své soubory zpět:

Pokud chcete dešifrovat Cryptowall zašifrované soubory a získat své soubory zpět, pak máte tyto možnosti:

A. První možností je zaplatit výkupné. Pokud se tak rozhodnete, pokračujte v platbě na vlastní riziko, protože podle našeho výzkumu někteří uživatelé svá data dostanou zpět a někteří ne. Mějte na paměti, že zločinci nejsou nejdůvěryhodnější lidé na planetě.

B. Druhou možností je vyčistit infikovaný počítač a poté obnovit infikované soubory z čisté zálohy (pokud nějakou máte).

C. Pokud nemáte čistou zálohu, pak jedinou možností, která zbývá, je obnovit soubory v předchozích verzích z „Stínové kopie”. Všimněte si, že tento postup funguje pouze v operačních systémech Windows 8, Windows 7 a Vista a pouze v případě, že „Obnovení systému” funkce byla dříve na vašem počítači povolena a nebyla deaktivována poté Cryptowall infekce.

Odkaz na doporučení: Jak obnovit soubory ze stínových kopií.

Podrobná analýza Cryptowall Infekci a odstranění ransomwaru lze nalézt v tomto příspěvku:

Jak odstranit virus CryptoWall a obnovit soubory

CryptoDefense & How_Decrypt – Informace o virech a dešifrování.

Kryptoobranaje další ransomware virus, který dokáže zašifrovat všechny soubory ve vašem počítači bez ohledu na jejich příponu (typ souboru) pomocí silného šifrování tak, že prakticky znemožňuje jejich dešifrování. Virus může deaktivovat „Obnovení systémuna infikovaném počítači a může odstranit všechnyStínové objemové kopie” soubory, takže nemůžete obnovit své soubory do jejich předchozích verzí. Při infekci Kryptoobrana ransomware virus, vytvoří v každé infikované složce dva soubory („How_Decrypt.txt“ a „How_Decrypt.html“) s podrobnými pokyny, jak zaplatit výkupné za účelem dešifrování vašich souborů a odeslání soukromého klíče (hesla) na soukromý server, aby ho zločinec použil k dešifrování vašeho soubory.

Podrobná analýza Kryptoobrana Infekci a odstranění ransomwaru lze nalézt v tomto příspěvku:

Jak odstranit virus CryptoDefense a obnovit soubory

Jak dešifrovat šifrované soubory Cryptodefense a získat své soubory zpět:

Aby bylo možné dešifrovat Kryptoobrana infikované soubory máte tyto možnosti:

A. První možností je zaplatit výkupné. Pokud se tak rozhodnete, pokračujte v platbě na vlastní riziko, protože podle našeho průzkumu někteří uživatelé získají svá data zpět a někteří ne. Mějte na paměti, že zločinci nejsou nejdůvěryhodnější lidé na planetě.

B. Druhou možností je vyčistit infikovaný počítač a poté obnovit infikované soubory z čisté zálohy (pokud nějakou máte).

C. Pokud nemáte čistou zálohu, můžete zkusit obnovit soubory v předchozích verzích z „Stínové kopie”. Všimněte si, že tento postup funguje pouze v operačních systémech Windows 8, Windows 7 a Vista a pouze v případě, že „Obnovení systémuFunkce ” byla na vašem počítači dříve povolena a nebyla deaktivována poté Kryptoobrana infekce.

Odkaz na doporučení: Jak obnovit soubory ze stínových kopií.

D. A konečně, pokud nemáte čistou zálohu a nejste schopni obnovit soubory z „Stínové kopie“, pak se můžete pokusit dešifrovat Kryptoobrana šifrované soubory pomocí Decryptor společnosti Emsisoft užitečnost. Udělat to:

Důležité oznámení: Tento nástroj funguje pouze pro počítače infikované před 1. dubnem 2014.

1.Stažení “Emsisoft Decrypter” do vašeho počítače (např plocha počítače).

2. Po dokončení stahování přejděte do svého plocha počítače a "Výpis"ta"decrypt_cryptodefense.zip“.

3. Nyní dvojklik spustit „decrypt_cryptodefense” užitečnost.

4. Nakonec stiskněte tlačítko „Dešifrovat” pro dešifrování souborů.

Zdroj – další informace: Podrobný návod, jak dešifrovat šifrované soubory CryptoDefense pomocí Dešifrovač Emsisoftu utility najdete zde: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Cryptorbit nebo HowDecrypt – informace o virech a dešifrování.

Kryptorbit nebo HowDecrypt virus je ransomware virus, který dokáže zašifrovat všechny soubory ve vašem počítači. Jakmile je váš počítač infikován Kryptorbit virus všechny vaše důležité soubory jsou zašifrovány bez ohledu na jejich příponu (typ souboru) pomocí silného šifrování, které prakticky znemožňuje jejich dešifrování. Virus také vytvoří dva soubory v každé infikované složce ve vašem počítači (“HowDecrypt.txt“ a „HowDecrypt.gif“) s podrobnými pokyny, jak můžete zaplatit výkupné a dešifrovat své soubory.

Podrobná analýza Kryptorbit Infekci a odstranění ransomwaru lze nalézt v tomto příspěvku:

Jak odstranit virus Cryptorbit (HOWDECRYPT) a obnovit soubory

Jak dešifrovat soubory infikované Cryptorbit a získat své soubory zpět:

Aby bylo možné dešifrovat Kryptorbit šifrované soubory máte tyto možnosti:

B. Druhou možností je vyčistit infikovaný počítač a poté obnovit infikované soubory z čisté zálohy (pokud nějakou máte).

Odkaz na doporučení: Jak obnovit soubory ze stínových kopií.

D. A konečně, pokud nemáte čistou zálohu a nejste schopni obnovit soubory z „Stínové kopie“, pak se můžete pokusit dešifrovat Kryptorbit šifrované soubory pomocí Anti-CryptorBit užitečnost. Udělat to:

1.Stažení “Anti-CryptorBit” do vašeho počítače (např plocha počítače)

2. Po dokončení stahování přejděte do svého plocha počítače a "Výpis"ta"Anti-CryptorBitV2.zip“.

3. Nyní dvojklik spustit Anti-CryptorBitv2 užitečnost.

4. Vyberte typ souborů, které chcete obnovit. (např. „JPG“)

5. Nakonec vyberte složku, která obsahuje poškozené/šifrované soubory (JPG), a poté stiskněte „Start“, abyste je opravili.

Cryptolocker – informace o virech a dešifrování.

Cryptolocker (také známý jako "Troj/Ransom-ACP”, “Trojský. Ransomcrypt. F”) je ransomwarový ošklivý virus (TROJAN) a když infikuje váš počítač, zašifruje všechny soubory bez ohledu na jejich příponu (typ souboru). Špatnou zprávou tohoto viru je, že jakmile infikuje váš počítač, vaše důležité soubory jsou zašifrovány silným šifrováním a je prakticky nemožné je dešifrovat. Jakmile je počítač napaden virem Cryptolocker, objeví se na počítači oběti informační zpráva požadující platbu (výkupné) ve výši 300 $ (nebo více) za dešifrování vašich souborů.

Podrobná analýza Cryptolocker Infekci a odstranění ransomwaru lze nalézt v tomto příspěvku:

Jak odstranit CryptoLocker Ransomware a obnovit soubory

Jak dešifrovat soubory infikované Cryptolockerem a získat své soubory zpět:

Aby bylo možné dešifrovat Cryptolocker infikované soubory máte tyto možnosti:

B. Druhou možností je vyčistit infikovaný počítač a poté obnovit infikované soubory z čisté zálohy (pokud nějakou máte).

Odkaz na doporučení: Jak obnovit soubory ze stínových kopií.

D. V srpnu 2014 FireEye & Fox-IT vydali novou službu, která získává soukromý dešifrovací klíč pro uživatele, kteří byli infikováni ransomwarem CryptoLocker. Služba se nazývá 'DecryptCryptoLocker' (služba byla ukončena), je k dispozici globálně a nevyžaduje od uživatelů registraci ani poskytnutí kontaktních údajů, aby ji mohli používat.

Abyste mohli používat tuto službu, musíte navštívit tyto stránky: (služba byla ukončena) a nahrajte jeden zašifrovaný soubor CryptoLocker z infikovaného počítače (Upozornění: nahrajte soubor, který neobsahuje citlivé a/nebo soukromé informace). Poté musíte zadat e-mailovou adresu, abyste mohli obdržet svůj soukromý klíč a odkaz ke stažení dešifrovacího nástroje. Nakonec spusťte stažený dešifrovací nástroj CryptoLocker (místně na vašem počítači) a zadejte svůj soukromý klíč k dešifrování vašich šifrovaných souborů CryptoLocker.

Více informací o této službě naleznete zde: FireEye a Fox-IT oznamují novou službu na pomoc obětem CryptoLocker.

CryptXXX V1, V2, V3 (Varianty: .crypt, crypz nebo 5 hexadecimálních znaků).

CryptXXX V1 & CryptXXX V2 ransomware zašifruje vaše soubory a na konec každého souboru po infekci přidá příponu „.crypt“.
CryptXXX v3 přidá příponu „.cryptz“ po zašifrování vašich souborů.

Trojský kůň CryptXXX šifruje následující typy souborů:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX

Jak dešifrovat soubory CryptXXX.

Pokud jste infikováni CryptXXX verze 1 nebo verze 2, použijte Kaspersky nástroj RannohDecryptor k dešifrování souborů.

Pokud jste infikováni CryptXXX verze 3, použijte Ransomware File Decryptor společnosti Trend Micro. *

Poznámka: Vzhledem k pokročilému šifrování viru CryptXXX V3 je v současné době možné pouze částečné dešifrování dat a k opravě souborů musíte použít nástroj pro opravu třetí strany, jako například: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Locky & AutoLocky (Varianty: .locky)

Locky ransomware zašifruje vaše soubory pomocí šifrování RSA-2048 a AES-128 a po infekci jsou všechny vaše soubory přejmenovány jedinečným – 32znakovým – názvem souboru s příponou „.locky“ (např.1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky virus může infikovat místní nebo síťové disky a během infekce vytvoří soubor s názvem "_HELP_instructions.html“ v každé infikované složce s pokyny, jak můžete zaplatit výkupné a dešifrovat své soubory pomocí prohlížeče TOR.

AutoLocky je další variantou viru Locky. Hlavní rozdíl mezi Locky a Autolocky je ten, že Autolocky nezmění původní název souboru během infekce. (např. pokud se soubor jmenuje "Dokument1.doc"před infekcí jej Autolocky přejmenuje na"Dokument1.doc.locky")

Jak dešifrovat soubory .LOCKY:

První možností je vyčistit infikovaný počítač a poté obnovit infikované soubory z čisté zálohy (pokud nějakou máte).
Druhou možností, pokud nemáte čistou zálohu, je obnovit soubory v předchozích verzích z „Stínové kopie”. Jak obnovit soubory ze stínových kopií.
Třetí možností je použít Emsisoft's Decrypter pro AutoLocky k dešifrování souborů. (Nástroj dešifrování funguje pouze pro Autolocky).

Trojan-Ransom. Win32.Rector – Informace o virech a dešifrování.

The Trojský rektor šifruje soubory s následujícími příponami: .doc, .jpg, .pdf.rar, a po infekci to činí je nepoužitelnými. Jakmile jsou vaše soubory infikovány Trojský rektor, pak se přípony infikovaných souborů změní na .VSCRYPT, .INFIKOVANÝ, .KOREKTOR nebo .BLOK a to je činí nepoužitelnými. Když se pokusíte otevřít infikované soubory, zobrazí se na obrazovce zpráva ve znacích azbuky, která obsahuje požadavek na výkupné a podrobnosti o platbě. Kyberzločinec, který dělá Trojský rektor volala "††KOPPEKTOP†† a požádá o komunikaci prostřednictvím e-mailu nebo ICQ (EMAIL: [email protected] / ICQ: 557973252 nebo 481095), aby mu dal pokyny, jak odemknout své soubory.

Jak dešifrovat soubory infikované programem Trojan Rector a získat své soubory zpět:

Rada: Zkopírujte všechny infikované soubory do samostatného adresáře a zavřete všechny spuštěné programy, než budete pokračovat ve skenování a dešifrování postižených souborů.

1. Stažení Rector Decryptorutility (od Kaspersky Labs) do vašeho počítače.

2. Po dokončení stahování spusťte RectorDecryptor.exe.

3. Zmáčkni "Začni skenovat” pro vyhledání zašifrovaných souborů na disku.

4. Nech RectorDecryptor nástroj pro skenování a dešifrování zašifrovaných souborů (s příponami .vscrypt, .infected, .bloc, .korrektor) a poté vyberte možnost „Po dešifrování smažte zašifrované soubory“, pokud bylo dešifrování úspěšné. *

* Po dešifrování můžete najít protokol o procesu skenování/dešifrování v kořenovém adresáři vašeho disku C:\ (např.C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).

5. Nakonec pokračujte v kontrole a čištění systému od škodlivých programů, které v něm mohou existovat.

Zdroj – další informace:http://support.kaspersky.com/viruses/disinfection/4264#block2

Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev – Informace o virech a dešifrování.

TheTrojský kůň Ransom Xorist & Trojan Ransom Valdev, šifruje soubory s následujícími příponami:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, inkoust, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, tečka, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, oblouk, ari, arj, auto, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, mapa, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, smutný, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmdb, xks, w xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Po infekci,Trojský kůň Ransom Xorist ohrožuje zabezpečení vašeho počítače, činí váš počítač nestabilním a na obrazovce zobrazuje zprávy požadující výkupné za dešifrování infikovaných souborů. Zprávy obsahují také informace o tom, jak zaplatit výkupné, abyste od kyberzločinců získali nástroj pro dešifrování.

Jak dešifrovat soubory infikované trojským koněm Win32.Xorist nebo trojským koněm MSIL.Vandev:

1. Stažení Xorist Decryptorutility (od Kaspersky Labs) do vašeho počítače.

2. Po dokončení stahování spusťte XoristDecryptor.exe.

Poznámka: Pokud chcete po dokončení dešifrování smazat zašifrované soubory, klikněte na „Změňte parametry“ a zaškrtněte možnost “Po dešifrování smažte zašifrované soubory“ zaškrtávací políčko pod “Další možnosti”.

3. Zmáčkni "Začni skenovat" knoflík.

4. Zadejte cestu alespoň k jednomu zašifrovanému souboru a počkejte, dokud obslužný program zašifrované soubory nerozšifruje.

5. Pokud bylo dešifrování úspěšné, restartujte počítač a poté prohledejte a vyčistěte systém od škodlivých programů, které v něm mohou existovat.

Zdroj – další informace: http://support.kaspersky.com/viruses/disinfection/2911#block2

Trojan-Ransom. Win32.Rakhni – Informace o virech a dešifrování.

The Trojan Ransom Rakhni šifruje soubory změnou přípon souborů následovně:

..
..
..
..
..
..
..
..
..
..pizda@qq_com

Po zašifrování jsou vaše soubory nepoužitelné a zabezpečení vašeho systému je ohroženo. Také Trojan-Ransom. Win32.Rakhni vytvoří soubor na vašem %DATA APLIKACÍ% složka s názvem „exit.hhr.oshit“, který obsahuje zašifrované heslo pro infikované soubory.

Varování: The Trojan-Ransom. Win32.Rakhni vytváří „exit.hhr.oshit” soubor, který obsahuje zašifrované heslo k souborům uživatele. Pokud tento soubor zůstane v počítači, provede se dešifrování pomocí RakhniDecryptor utility rychleji. Pokud byl soubor odstraněn, lze jej obnovit pomocí nástrojů pro obnovu souborů. Po obnovení souboru jej vložte do %DATA APLIKACÍ% a znovu spusťte skenování pomocí nástroje.

%DATA APLIKACÍ% umístění složky:

Windows XP: C:\Documents and Settings\\Aplikační data
Windows 7/8: C:\Users\\AppData\Roaming

Jak dešifrovat soubory infikované Trojanem Rakhni a získat své soubory zpět:

1. Stažení Rakhni Decryptorutility (od Kaspersky Labs) do vašeho počítače.

2. Po dokončení stahování spusťte RakhniDecryptor.exe.

3. Zmáčkni "Začni skenovat” pro skenování vašich disků na zašifrované soubory.

4. Zadejte cestu alespoň jednoho zašifrovaného souboru (např.file.doc.locked“) a poté počkejte, dokud nástroj neobnoví heslo z „exit.hhr.oshit” soubor (pamatujte na to Varování) a dešifruje vaše soubory.

Zdroj – další informace: http://support.kaspersky.com/viruses/disinfection/10556#block2

Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) – Informace o virech a dešifrování.

The Trojan Rannoh nebo Trojan Cryakl zašifruje všechny soubory ve vašem počítači následujícím způsobem:

V případě a Trojan-Ransom. Win32.Rannoh infekce, názvy souborů a přípony se změní podle šablony uzamčeno-..
V případě a Trojan-Ransom. Win32.Cryakl infekce se na konec názvů souborů přidá značka {CRYPTENDBLACKDC}.

Jak dešifrovat soubory infikované Trojan Rannoh nebo Trojan Cryakl a získat své soubory zpět:

Důležité: TheRannoh Decryptor nástroj dešifruje soubory porovnáním jednoho zašifrovaného a jednoho dešifrovaného souboru. Pokud tedy chcete použít Rannoh Decryptor nástroj k dešifrování souborů, musíte před infekcí vlastnit originální kopii alespoň jednoho zašifrovaného souboru (např. z čisté zálohy).

1. Stažení Rannoh Decryptorutility do vašeho počítače.

2. Po dokončení stahování spusťte RannohDecryptor.exe

3. Zmáčkni "Začni skenovat" knoflík.

4. Číst "Požadované informace“ a poté klikněte na „Pokračovat“ a zadejte cestu k originální kopii alespoň jednoho zašifrovaného souboru před infekcí (čistý – originál – soubor) a cestu k zašifrovanému souboru (infikovaný – zašifrovaný – soubor).

5. Po dešifrování můžete najít protokol o procesu skenování/dešifrování v kořenovém adresáři vašeho disku C:\. (např. “C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).

Zdroj – další informace: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (Varianty: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc a .vvv)

The TeslaCrypt ransomware virus přidá do vašich souborů následující přípony: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc a .vvv.

Jak dešifrovat soubory TeslaCrypt:

Pokud jste infikováni virem TeslaCrypt, použijte k dešifrování souborů jeden z těchto nástrojů:

TeslaDecoder: Další informace a pokyny k použití TeslaDecoder najdete v tomto článku: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
Trend Micro Ransomware File Decryptor.

TeslaCrypt V3.0 (varianty: .xxx, .ttt, .micro, .mp3)

The TeslaCrypt 3.0 ransomware virus přidá do vašich souborů následující přípony: .xxx, .ttt, .micro & .mp3

Jak dešifrovat soubory TeslaCrypt V3.0:

Pokud jste nakažení TeslaCrypt 3.0 pak se pokuste obnovit své soubory pomocí:

Trend Micro Ransomware File Decryptor nástroj.
RakhniDecryptor (Jak vést)
Tesla dekodér (Jak vést)
Tesladecrypt – McAfee

TeslaCrypt V4.0 (název a přípona souboru se nezměnily)

Chcete-li dešifrovat soubory TeslaCrypt V4, vyzkoušejte jeden z následujících nástrojů:

Trend Micro Ransomware File Decryptor nástroj.
RakhniDecryptor (Jak vést)
Tesla dekodér (Jak vést)

EnzoS.
8. října 2016 v 8:01