כיצד לפענח או להחזיר קבצים מוצפנים שנדבקו בווירוסי כופר מוצפנים ידועים.

בשנים האחרונות, פושעי סייבר מפיצים סוג חדש של וירוסים שיכולים להצפין קבצים במחשב שלך (או ברשת שלך) במטרה להרוויח כסף קל מהקורבנות שלהם. סוג זה של וירוסים נקרא "תוכנת כופר" והם יכולים להדביק מערכות מחשב אם המשתמש במחשב אינו שימו לב בעת פתיחת קבצים מצורפים או קישורים משולחים לא ידועים או אתרים שנפרצו על ידי פושעי רשת. לפי הניסיון שלי, הדרך הבטוחה היחידה לשמור על עצמך מפני וירוסים מסוג זה, היא לשמור גיבויים נקיים של הקבצים שלך במקום נפרד מהמחשב שלך. לדוגמה, בכונן קשיח USB חיצוני מנותק או ב-DVD-Rom.

מאמר זה מכיל מידע חשוב על כמה תוכנות כופר מוצפנות ידועות – וירוסי הצפנה אשר תוכננו הצפין קבצים קריטיים בתוספת האפשרויות והכלים הזמינים על מנת לפענח את הקבצים המוצפנים שלך עם ההדבקה. כתבתי מאמר זה על מנת לשמור את כל המידע עבור כלי הפענוח הזמינים במקום אחד ואשתדל לשמור על מאמר זה מעודכן. אנא שתפו אותנו בניסיון שלכם ובכל מידע חדש אחר שאתם עשויים להכיר כדי לעזור אחד לשני.

כיצד לפענח קבצים מוצפנים מ- Ransomware – תיאור וכלי פענוח ידועים – שיטות:

שם RANSOWARE
קיר קריפטו
CryptoDefense & How_Decrypt
Cryptorbit או HowDecrypt

Cryptolocker (Troj/Ransom-ACP", "Trojan. Ransomcrypt. ו)
CryptXXX V1, V2, V3 (גרסאות: .crypt, crypz או 5 תווים הקסדצימליים)
Locky & AutoLocky (וריאציות: .locky)
טרויאני - כופר. Win32.Rector
טרויאני - כופר. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
טרויאני - כופר. Win32.Rakhni
טרויאני - כופר. Win32.Rannoh או Trojan-Ransom. Win32.Cryakl.
TeslaCrypt (וריאציות: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc ו-.vvv)
TeslaCrypt 3.0 (גרסאות: .xxx, .ttt, .micro, .mp3)
TeslaCrypt 4.0 (שם הקובץ וההרחבה ללא שינוי)

עדכונים יוני 2016:

1. טרנד מיקרו שחרר א מפענח קבצי כופר כלי לניסיון לפענח קבצים מוצפנים על ידי משפחות תוכנות הכופר הבאות:

CryptXXX V1, V2, V3*.crypt, crypz או 5 תווים הקסדצימליים
CryptXXX V4, V5.5 תווים הקסדצימליים
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3XXX או TTT או MP3 או MICRO
TeslaCrypt V4.
SNSLocker.RSNSLocked
AutoLocky.נעול
BadBlock
777.777
XORIST.xorist או סיומת אקראית
XORBAT.מוצפן
CERBER V1 <10 תווים אקראיים>.cerber
סטמפדו.נָעוּל
נמוקוד.מוצפן
חֲזוֹן תַעתוּעִים.כּוּך

* הערה: חל על תוכנת כופר CryptXXX V3: עקב ההצפנה המתקדמת של תוכנת הכופר הספציפית הזו, נתונים חלקיים בלבד פענוח אפשרי כרגע בקבצים המושפעים מ- CryptXXX V3, ואתה צריך להשתמש בכלי תיקון של צד שלישי כדי לתקן את קבצים כמו: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

כדי להוריד את הכלי Ransomware File Decrypter של Trend Micro (ולקרוא את ההוראות כיצד להשתמש בו), נווט לדף זה: הורדה ושימוש ב- Trend Micro Ransomware File Decryptor

2. קספרקי הוציאה את כלי הפענוח הבאים:

א. הכלי RakhniDecryptor של קספרסקי נועד לפענח קבצים המושפעים מ*:

* הערה: כלי השירות RakhniDecryptor מתעדכן תמיד כדי לפענח קבצים מכמה משפחות של תוכנות כופר.

רכני
Agent.iih
הילה
אוטואיט
פלטור
רוטור
לאמר
לורטוק
Cryptokluchen
דמוקרטיה
ביטמן - TeslaCrypt גרסה 3 ו-4

ב. הכלי RannohDecryptor של קספרסקי נועד לפענח קבצים המושפעים מ:

רנו
AutoIt
זעם
קריבולה
קריאקל
CryptXXX גרסאות 1 ו-2

Cryptowalll - מידע על וירוסים ואפשרויות פענוח.

ה קיר קריפטו (או "מפענח Cryptowall”) וירוס הוא הגרסה החדשה של קריפטופנס וירוס תוכנת כופר. כאשר מחשב נגוע ב קיר קריפטו תוכנת כופר, ואז כל הקבצים הקריטיים במחשב (כולל הקבצים בכונני רשת ממופים אם אתה מחובר לרשת) הופכים להצפנות בהצפנה חזקה, מה שהופך את זה כמעט בלתי אפשרי לפענח אוֹתָם. לאחר קיר קריפטו הצפנה, הווירוס יוצר ושולח את המפתח הפרטי (הסיסמה) לשרת פרטי על מנת לשמש מהפושע כדי לפענח את הקבצים שלך. לאחר מכן, הפושעים מודיעים לקורבנותיהם שכל הקבצים הקריטיים שלהם מוצפנים והדרך היחידה לפענח אותם היא שלם כופר של 500$ (או יותר) בפרק זמן מוגדר, אחרת הכופר יוכפל או שהקבצים שלהם יאבדו לִצְמִיתוּת.

כיצד לפענח קבצים נגועים ב- Cryptowall ולהחזיר את הקבצים שלך:

אם אתה רוצה לפענח קיר קריפטו קבצים מוצפנים וקבל את הקבצים שלך בחזרה, אז יש לך את האפשרויות הבאות:

א. האפשרות הראשונה היא לשלם את הכופר. אם תחליט לעשות זאת, המשך בתשלום על אחריותך הבלעדית מכיוון שלפי המחקר שלנו חלק מהמשתמשים מקבלים את הנתונים שלהם בחזרה ואחרים לא. זכור כי פושעים אינם האנשים האמינים ביותר בכדור הארץ.

ב. האפשרות השנייה היא לנקות את המחשב הנגוע ולאחר מכן לשחזר את הקבצים הנגועים שלך מגיבוי נקי (אם יש לך כזה).

ג. אם אין לך גיבוי נקי, האפשרות היחידה שנותרה היא לשחזר את הקבצים שלך בגרסאות קודמות מ"עותקי צל”. שימו לב שהליך זה עובד רק ב-Windows 8, Windows 7 ו-Vista OS ורק אם "שחזור מערכתתכונת ” הופעלה בעבר במחשב שלך ולא הושבתה לאחר ה קיר קריפטו הַדבָּקָה.

קישור להפניה: כיצד לשחזר את הקבצים שלך מ-Shadow Copies.

ניתוח מפורט של קיר קריפטו ניתן למצוא הדבקה והסרה של תוכנת כופר בפוסט הזה:

כיצד להסיר וירוס CryptoWall ולשחזר את הקבצים שלך

CryptoDefense & How_Decrypt - מידע ופענוח וירוסים.

קריפטופנסהוא וירוס כופר נוסף שיכול להצפין את כל הקבצים במחשב שלך ללא קשר לסיומת שלהם (סוג הקובץ) עם הצפנה חזקה כך שזה כמעט בלתי אפשרי לפענח אותם. הנגיף עשוי להשבית את "שחזור מערכת" תכונה במחשב הנגוע ועשויה למחוק את כל "עותקי נפח הצללים", כך שלא תוכל לשחזר את הקבצים שלך לגרסאות הקודמות שלהם. עם הדבקה קריפטופנס וירוס כופר, יוצר שני קבצים בכל תיקיה נגועה ("How_Decrypt.txt" ו-"How_Decrypt.html") עם הוראות מפורטות כיצד לשלם את כופר על מנת לפענח את הקבצים שלך ושולח את המפתח הפרטי (הסיסמה) לשרת פרטי על מנת לשמש את הפושע לפענוח שלך קבצים.

ניתוח מפורט של קריפטופנס ניתן למצוא הדבקה והסרה של תוכנת כופר בפוסט הזה:

כיצד להסיר וירוס CryptoDefense ולשחזר את הקבצים שלך

כיצד לפענח קבצים מוצפנים מסוג Cryptodefense ולהחזיר את הקבצים שלך:

על מנת לפענח קריפטופנס קבצים נגועים יש לך את האפשרויות הבאות:

א. האפשרות הראשונה היא לשלם את הכופר. אם תחליט לעשות זאת, המשך בתשלום על אחריותך בלבד, כי לפי המחקר שלנו, חלק מהמשתמשים מקבלים את הנתונים שלהם בחזרה ואחרים לא. זכור כי פושעים אינם האנשים האמינים ביותר בכדור הארץ.

ב. האפשרות השנייה היא לנקות את המחשב הנגוע ולאחר מכן לשחזר את הקבצים הנגועים שלך מגיבוי נקי (אם יש לך כזה).

ג. אם אין לך גיבוי נקי, תוכל לנסות לשחזר את הקבצים שלך בגרסאות קודמות מ"עותקי צל”. שימו לב שהליך זה עובד רק ב-Windows 8, Windows 7 ו-Vista OS ורק אם "שחזור מערכתתכונת ” הופעלה בעבר במחשב שלך ולא הושבתה לאחר ה קריפטופנס הַדבָּקָה.

קישור להפניה: כיצד לשחזר את הקבצים שלך מ-Shadow Copies.

ד. לבסוף, אם אין לך גיבוי נקי ואינך מסוגל לשחזר את הקבצים שלך מ"עותקי צל", אז אתה יכול לנסות לפענח של Cryptodefense קבצים מוצפנים באמצעות ה המפענח של Emsisoft תוֹעֶלֶת. לעשות את זה:

הודעה חשובה: כלי זה פועל רק עבור מחשבים שנדבקו לפני ה-1 באפריל 2014.

1.הורד “מפענח Emsisoft" למחשב שלך (למשל שלך שולחן עבודה).

2. כשההורדה תושלם, נווט אל שלך שולחן עבודה ו"לחלץ" ה "decrypt_cryptodefense.zip"קובץ.

3. עַכשָׁיו לחץ לחיצה כפולה להפעיל את "decrypt_cryptodefense" תוֹעֶלֶת.

4. לבסוף לחץ על "פענוח" כדי לפענח את הקבצים שלך.

מקור – מידע נוסף: מדריך מפורט כיצד לפענח קבצים מוצפנים CryptoDefense באמצעות המפענח של Emsisoft כלי השירות ניתן למצוא כאן: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Cryptorbit או HowDecrypt - מידע ופענוח וירוסים.

קריפטורביט אוֹ HowDecrypt וירוס הוא וירוס כופר שיכול להצפין את כל הקבצים במחשב שלך. ברגע שהמחשב שלך נדבק ב קריפטורביט וירוס כל הקבצים הקריטיים שלך מוצפנים ללא קשר לסיומת שלהם (סוג הקובץ) עם הצפנה חזקה שמאפשרת למעשה לפענח אותם. הווירוס גם יוצר שני קבצים בכל תיקיה נגועה במחשב שלך ("HowDecrypt.txt” ו-“HowDecrypt.gif”) עם הוראות מפורטות כיצד תוכל לשלם את הכופר ולפענח את הקבצים שלך.

ניתוח מפורט של קריפטורביט ניתן למצוא הדבקה והסרה של תוכנת כופר בפוסט הזה:

כיצד להסיר וירוס Cryptorbit (HOWDECRYPT) ולשחזר את הקבצים שלך

כיצד לפענח קבצים נגועים ב- Cryptorbit ולהחזיר את הקבצים שלך:

על מנת לפענח קריפטורביט קבצים מוצפנים יש לך את האפשרויות הבאות:

א. האפשרות הראשונה היא לשלם את הכופר. אם תחליט לעשות זאת, המשך בתשלום על אחריותך הבלעדית מכיוון שלפי המחקר שלנו חלק מהמשתמשים מקבלים את הנתונים שלהם בחזרה ואחרים לא.

ב. האפשרות השנייה היא לנקות את המחשב הנגוע ולאחר מכן לשחזר את הקבצים הנגועים שלך מגיבוי נקי (אם יש לך כזה).

ג. אם אין לך גיבוי נקי, אז אתה יכול לנסות לשחזר את הקבצים שלך בגרסאות קודמות מ"עותקי צל”. שימו לב שהליך זה עובד רק ב-Windows 8, Windows 7 ו-Vista OS ורק אם "שחזור מערכתתכונת ” הופעלה בעבר במחשב שלך ולא הושבתה לאחר ה קריפטורביט הַדבָּקָה.

קישור להפניה: כיצד לשחזר את הקבצים שלך מ-Shadow Copies.

ד. לבסוף, אם אין לך גיבוי נקי ואינך מסוגל לשחזר את הקבצים שלך מ"עותקי צל" אז אתה יכול לנסות לפענח של Cryptorbit קבצים מוצפנים באמצעות ה Anti-CryptorBit תוֹעֶלֶת. לעשות את זה:

1.הורד “Anti-CryptorBit" למחשב שלך (למשל שלך שולחן עבודה)

2. כשההורדה תושלם, נווט אל שלך שולחן עבודה ו"לחלץ" ה "Anti-CryptorBitV2.zip"קובץ.

3. עַכשָׁיו לחץ לחיצה כפולה להפעיל את Anti-CryptorBitv2 תוֹעֶלֶת.

4. בחר איזה סוג של קבצים אתה רוצה לשחזר. (למשל "JPG")

5. לבסוף בחר את התיקיה המכילה את הקבצים הפגומים/מוצפנים (JPG) ולאחר מכן לחץ על "הַתחָלָה" כפתור כדי לתקן אותם.

Cryptolocker - מידע ופענוח וירוסים.

Cryptolocker (ידוע גם כ "Troj/Ransom-ACP”, “טרויאני. Ransomcrypt. ו”) הוא וירוס כופר (TROJAN) וכאשר הוא מדביק את המחשב שלך, הוא מצפין את כל הקבצים ללא קשר לסיומת שלהם (סוג הקובץ). החדשות הרעות עם הווירוס הזה הן שברגע שהוא מדביק את המחשב שלך, הקבצים הקריטיים שלך מוצפנים בהצפנה חזקה וכמעט בלתי אפשרי לפענח אותם. ברגע שמחשב נגוע בווירוס Cryptolocker, מופיעה הודעת מידע במחשב של הקורבן הדורשת תשלום (כופר) של 300$ (או יותר) על מנת לפענח את הקבצים שלך.

ניתוח מפורט של Cryptolocker ניתן למצוא הדבקה והסרה של תוכנת כופר בפוסט הזה:

כיצד להסיר CryptoLocker Ransomware ולשחזר את הקבצים שלך

כיצד לפענח קבצים נגועים ב- Cryptolocker ולהחזיר את הקבצים שלך:

על מנת לפענח Cryptolocker קבצים נגועים יש לך את האפשרויות הבאות:

ב. האפשרות השנייה היא לנקות את המחשב הנגוע ולאחר מכן לשחזר את הקבצים הנגועים שלך מגיבוי נקי (אם יש לך כזה).

קישור להפניה: כיצד לשחזר את הקבצים שלך מ-Shadow Copies.

ד. באוגוסט 2014, FireEye & Fox-IT פרסמו שירות חדש המאחזר את מפתח הפענוח הפרטי עבור משתמשים שנדבקו בתוכנת הכופר CryptoLocker. השירות נקרא 'DecryptCryptoLocker' (השירות הופסק), הוא זמין ברחבי העולם ואינו מחייב את המשתמשים להירשם או לספק מידע ליצירת קשר כדי להשתמש בו.

על מנת להשתמש בשירות זה עליך לבקר באתר זה: (השירות הופסק) והעלה קובץ CryptoLocker מוצפן אחד מהמחשב הנגוע (שים לב: העלה קובץ שאינו מכיל מידע רגיש ו/או פרטי). לאחר שתעשה זאת, עליך לציין כתובת אימייל על מנת לקבל את המפתח הפרטי שלך וקישור להורדת כלי הפענוח. לבסוף הפעל את כלי הפענוח CryptoLocker שהורדת (מקומי במחשב שלך) והזן את המפתח הפרטי שלך כדי לפענח את הקבצים המוצפנים שלך CryptoLocker.

מידע נוסף על שירות זה ניתן למצוא כאן: FireEye ו-Fox-IT מכריזות על שירות חדש שיעזור לקורבנות CryptoLocker.

CryptXXX V1, V2, V3 (גרסאות: .crypt, crypz או 5 תווים הקסדצימליים).

CryptXXX V1 & CryptXXX V2 תוכנת כופר מצפינה את הקבצים שלך ומוסיפה את הסיומת ".crypt" בסוף כל קובץ לאחר ההדבקה.
CryptXXX v3 מוסיף את הסיומת ".cryptz" לאחר הצפנה של הקבצים שלך.

הטרויאני CryptXXX מצפין את סוגי הקבצים הבאים:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX

כיצד לפענח קבצי CryptXXX.

אם אתה נגוע ב- CryptXXX גרסה 1 או גרסה 2, השתמש הכלי RannohDecryptor של קספרסקי כדי לפענח את הקבצים שלך.

אם אתה נגוע ב- CryptXXX גרסה 3, השתמש מפענח קבצי הכופר של Trend Micro. *

הערה: בשל ההצפנה המתקדמת של וירוס CryptXXX V3, רק פענוח חלקי אפשרי כרגע ואתה צריך להשתמש בכלי תיקון של צד שלישי כדי לתקן את הקבצים שלך כמו: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Locky & AutoLocky (וריאציות: .locky)

לוקי תוכנת כופר מצפינה את הקבצים שלך באמצעות הצפנת RSA-2048 ו-AES-128 ולאחר ההדבקה כל הקבצים שלך משתנים בשם קובץ ייחודי – 32 תווים- עם הסיומת ".locky" (למשל ".1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). לוקי וירוס יכול להדביק כוננים מקומיים או רשתות ובמהלך ההדבקה יוצר קובץ בשם "_HELP_instructions.htmlבכל תיקיה נגועה, עם הוראות כיצד תוכל לשלם את הכופר ולפענח את הקבצים שלך באמצעות דפדפן TOR.

AutoLocky הוא גרסה נוספת של וירוס Locky. ההבדל העיקרי בין Locky ל-Autolocky הוא ש-Autolocky לא ישנה את השם המקורי של הקובץ במהלך ההדבקה. (לדוגמה, אם קובץ נקרא "Document1.doc"לפני ההדבקה, האוטולוקי משנה את שמו ל"Document1.doc.locky")

כיצד לפענח קובצי LOCKY:

האפשרות הראשונה היא לנקות את המחשב הנגוע ולאחר מכן לשחזר את הקבצים הנגועים שלך מגיבוי נקי (אם יש לך כזה).
האפשרות השנייה, אם אין לך גיבוי נקי, היא לשחזר את הקבצים שלך בגרסאות קודמות מ"עותקי צל”. כיצד לשחזר את הקבצים שלך מ-Shadow Copies.
האפשרות השלישית היא להשתמש ב- המפענח של Emsisoft עבור AutoLocky כדי לפענח את הקבצים שלך. (כלי המפענח פועל רק עבור אוטולוקי).

טרויאני - כופר. Win32.Rector - מידע ופענוח וירוסים.

ה רקטור טרויאני מצפין קבצים עם הסיומות הבאות: .doc, .jpg, .pdf.rar, ואחרי ההדבקה זה הופך אותם לבלתי שמישים. ברגע שהקבצים שלך נגועים ב רקטור טרויאני, לאחר מכן ישתנו הסיומות של הקבצים הנגועים ל .VSCRYPT, .נגוע, .KORREKTOR אוֹ .גוּשׁ וזה הופך אותם לבלתי שמישים. כאשר אתה מנסה לפתוח את הקבצים הנגועים, מוצגת על המסך הודעה בתווים קיריליים המכילה את דרישת הכופר ואת פרטי התשלום. פושע הסייבר שעושה את רקטור טרויאני שקוראים לו "††KOPPEKTOP†† ומבקש לתקשר איתו באמצעות דואר אלקטרוני או ICQ (EMAIL: [email protected] / ICQ: 557973252 או 481095) כדי לתת הוראות כיצד לבטל את נעילת הקבצים שלך.

כיצד לפענח קבצים נגועים ברקטור טרויאני ולהחזיר את הקבצים שלך:

עֵצָה: העתק את כל הקבצים הנגועים לספרייה נפרדת וסגור את כל התוכניות הפתוחות לפני שתמשיך לסרוק ולפענח את הקבצים המושפעים.

1. הורד רקטור מפענחכלי עזר (מ מעבדות קספרסקי) למחשב שלך.

2. כשההורדה תושלם, הפעל RectorDecryptor.exe.

3. הקש על "התחל סריקה" כדי לסרוק את הכוננים שלך לאיתור הקבצים המוצפנים.

4. תן ל RectorDecryptor כלי לסריקה ולפענוח הקבצים המוצפנים (עם הרחבות .vscrypt, .infected, .bloc, .korrektor) ולאחר מכן בחר באפשרות "מחק קבצים מוצפנים לאחר הפענוח" אם הפענוח הצליח. *

* לאחר הפענוח תוכל למצוא יומן דיווח של תהליך הסריקה/פענוח לשורש כונן ה-C:\ שלך (למשל "C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).

5. לבסוף המשך לבדוק ולנקות את המערכת שלך מתוכנות תוכנות זדוניות שעשויות להתקיים בה.

מקור – מידע נוסף:http://support.kaspersky.com/viruses/disinfection/4264#block2

טרויאני - כופר. Win32.Xorist, Trojan-Ransom. MSIL.Vandev - מידע ופענוח וירוסים.

הכופר טרויאני Xorist & כופר טרויאני Valdev, מצפין קבצים עם הסיומות הבאות:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, שאלות נפוצות, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, wmd, wmd, wmd, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

לאחר ההדבקה,כופר טרויאני Xorist פוגע באבטחת המחשב, הופך את המחשב לבלתי יציב ומציג הודעות על המסך הדורשות כופר על מנת לפענח את הקבצים הנגועים. ההודעות מכילות גם מידע כיצד לשלם את הכופר כדי לקבל את כלי הפענוח מפושעי הסייבר.

כיצד לפענח קבצים נגועים בטרויאני Win32.Xorist או טרויאני MSIL.Vandev:

1. הורד מפענח Xoristכלי עזר (מ מעבדות קספרסקי) למחשב שלך.

2. כשההורדה תושלם, הפעל XoristDecryptor.exe.

הערה: אם ברצונך למחוק את הקבצים המוצפנים לאחר השלמת הפענוח, לחץ על "שנה פרמטרים" אפשרות וסמן את "מחק קבצים מוצפנים לאחר הפענוח" תיבת סימון מתחת "אפשרויות נוספות”.

3. הקש על "התחל סריקה" כפתור.

4. הזן את הנתיב של לפחות קובץ מוצפן אחד ולאחר מכן המתן עד שתוכנית השירות תפענח את הקבצים המוצפנים.

5. אם הפענוח הצליח, הפעל מחדש את המחשב ולאחר מכן סרוק ונקה את המערכת מתוכנות תוכנות זדוניות שעשויות להתקיים בה.

מקור – מידע נוסף: http://support.kaspersky.com/viruses/disinfection/2911#block2

טרויאני - כופר. Win32.Rakhni - מידע ופענוח וירוסים.

ה כופר טרויאני Rakhni מצפין קבצים על ידי שינוי סיומות קבצים באופן הבא:

..
..
..
..
..
..
..
..
..
..pizda@qq_com

לאחר ההצפנה, הקבצים שלך אינם ניתנים לשימוש ואבטחת המערכת שלך נפגעת. וגם ה טרויאני - כופר. Win32.Rakhni יוצר קובץ על שלך %APPDATA% תיקייה בשם "יציאה.ההר.ושיט" המכיל את הסיסמה המוצפנת עבור הקבצים הנגועים.

אַזהָרָה: ה טרויאני - כופר. Win32.Rakhni יוצר את "יציאה.ההר.ושיט” קובץ המכיל סיסמה מוצפנת לקבצי המשתמש. אם הקובץ הזה נשאר במחשב, הוא יבצע פענוח עם RakhniDecryptor שירות מהיר יותר. אם הקובץ הוסר, ניתן לשחזר אותו בעזרת כלי עזר לשחזור קבצים. לאחר שחזור הקובץ, הכנס אותו לתוך %APPDATA% והפעל שוב את הסריקה עם כלי השירות.

%APPDATA% מיקום התיקייה:

Windows XP: C:\Documents and Settings\\ נתוני יישום
Windows 7/8: C:\Users\\AppData\Roaming

כיצד לפענח קבצים נגועים ב-Trojan Rakhni ולהחזיר את הקבצים שלך:

1. הורד מפענח רכניכלי עזר (מ מעבדות קספרסקי) למחשב שלך.

2. כשההורדה תושלם, הפעל RakhniDecryptor.exe.

3. הקש על "התחל סריקה" כדי לסרוק את הכוננים שלך לאיתור קבצים מוצפנים.

4. הזן את הנתיב של לפחות קובץ מוצפן אחד (למשל "file.doc.locked") ולאחר מכן המתן עד שהכלי ישחזר את הסיסמה מ-"יציאה.ההר.ושיט" קובץ (שים לב אַזהָרָה) ומפענח את הקבצים שלך.

מקור – מידע נוסף: http://support.kaspersky.com/viruses/disinfection/10556#block2

טרויאני - כופר. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) - מידע ופענוח וירוסים.

ה טרויאני ראנו אוֹ קריאקל טרויאני מצפין את כל הקבצים במחשב שלך בצורה הבאה:

במקרה של א טרויאני - כופר. Win32.Rannoh זיהום, שמות קבצים ותוספות ישתנו בהתאם לתבנית הנעולה-..
במקרה של א טרויאני - כופר. Win32.Cryakl זיהום, התג {CRYPTENDBLACKDC} נוסף לסוף שמות הקבצים.

כיצד לפענח קבצים נגועים עם Trojan Rannoh או Trojan Cryakl ולהחזיר את הקבצים שלך:

חָשׁוּב: הRannoh Decryptor כלי השירות מפענח קבצים על ידי השוואה של קובץ אחד מוצפן ואחד מפוענח. אז אם אתה רוצה להשתמש ב Rannoh Decryptor כלי לפענוח קבצים עליך להיות בעל עותק מקורי של לפחות קובץ מוצפן אחד לפני ההדבקה (למשל מגיבוי נקי).

1. הורד Rannoh Decryptorכלי עזר למחשב שלך.

2. כשההורדה תושלם, הפעל RannohDecryptor.exe

3. הקש על "התחל סריקה" כפתור.

4. קרא את ה "מידע נדרש" הודעה ולאחר מכן לחץ על "לְהַמשִׁיך” וציין את הנתיב לעותק מקורי של לפחות קובץ מוצפן אחד לפני ההדבקה (נקי – מקורי – קובץ) ואת הנתיב לקובץ המוצפן (נגוע – קובץ מוצפן).

5. לאחר הפענוח, תוכל למצוא יומן דיווח של תהליך הסריקה/פענוח לשורש כונן ה-C:\ שלך. (למשל "C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).

מקור – מידע נוסף: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (וריאציות: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc ו-.vvv)

ה TeslaCrypt וירוס כופר מוסיף את ההרחבות הבאות לקבצים שלך: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc ו-.vvv.

כיצד לפענח קבצי TeslaCrypt:

אם אתה נגוע בווירוס TeslaCrypt אז השתמש באחד מהכלים הבאים כדי לפענח את הקבצים שלך:

TeslaDecoder: מידע נוסף והוראות שימוש TeslaDecoder ניתן למצוא במאמר זה: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
מפענח קבצים של Trend Micro Ransomware.

TeslaCrypt V3.0 (גרסאות: .xxx, .ttt, .micro, .mp3)

ה TeslaCrypt 3.0 וירוס כופר מוסיף את ההרחבות הבאות לקבצים שלך: .xxx, .ttt, .micro ו-.mp3

כיצד לפענח קבצי TeslaCrypt V3.0:

אם נדבקת ב TeslaCrypt 3.0 לאחר מכן נסה לשחזר את הקבצים שלך עם:

מפענח קבצי Micro Ransomware של Trend כְּלִי.
RakhniDecryptor (איך להדריך)
מפענח טסלה (איך להדריך)
Tesladecrypt – McAfee

TeslaCrypt V4.0 (שם הקובץ והסיומת לא השתנו)

כדי לפענח קבצי TeslaCrypt V4, נסה את אחת מהכלים הבאים:

מפענח קבצי Micro Ransomware של Trend כְּלִי.
RakhniDecryptor (איך להדריך)
מפענח טסלה (איך להדריך)

אנזוS.
8 באוקטובר 2016 בשעה 8:01 בבוקר