Kā atšifrēt vai atgūt šifrētus failus, kas inficēti ar zināmiem šifrējošiem izspiedējvīrusiem.

Pēdējos gados kibernoziedznieki izplata jauna veida vīrusus, kas var šifrēt failus jūsu datorā (vai tīklā), lai viegli nopelnītu no saviem upuriem. Šāda veida vīrusus sauc par izspiedējvīrusiem, un tie var inficēt datorsistēmas, ja datora lietotājs to nedara. pievērsiet uzmanību, atverot pielikumus vai saites no nezināmiem sūtītājiem vai vietnēm, kuras ir uzlauzušas kibernoziedznieki. Pēc manas pieredzes, vienīgais drošais veids, kā pasargāt sevi no šāda veida vīrusiem, ir tīras failu dublējumkopijas, kas tiek glabātas atsevišķā vietā no datora. Piemēram, atvienotā ārējā USB cietajā diskā vai DVD-ROM diskā.

Šajā rakstā ir ietverta svarīga informācija par dažiem zināmiem šifrējošiem izspiedējvīrusiem — kriptvīrusiem, kas bija paredzēti šifrējiet kritiskos failus, kā arī pieejamās opcijas un utilītas, lai atšifrētu šifrētos failus pēc inficēšanās. Es uzrakstīju šo rakstu, lai visu informāciju par pieejamajiem atšifrēšanas rīkiem saglabātu vienuviet, un es centīšos šo rakstu atjaunināt. Lūdzu, dalieties ar mums savā pieredzē un citu jauno informāciju, kas jums varētu būt zināma, lai palīdzētu viens otram.

Kā atšifrēt failus, kas šifrēti no Ransomware — apraksts un zināmie atšifrēšanas rīki — metodes:

RANSOWARE VĀRDS
Kriptomūris
CryptoDefense un How_Decrypt
Cryptorbit vai HowDecrypt
Cryptolocker (Troj/Ransom-ACP), “Trojan. Ransomcrypt. F)
CryptXXX V1, V2, V3 (varianti: .crypt, crypz vai 5 heksadecimālās rakstzīmes)
Locky un AutoLocky (varianti: .locky)
Trojan-Ransom. Win32.Rektors
Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
Trojan-Ransom. Win32.Rakhni
Trojan-Ransom. Win32.Rannoh vai Trojan-Ransom. Win32.Cryakl.
TeslaCrypt (varianti: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc un .vvv)
TeslaCrypt 3.0 (varianti: .xxx, .ttt, .micro, .mp3)
TeslaCrypt 4.0 (faila nosaukums un paplašinājums nav mainīts)

Atjauninājumi 2016. gada jūnijā:

1. Trend Micro ir izlaidusi a Ransomware failu atšifrētājs rīks, lai mēģinātu atšifrēt failus, ko šifrē šādas izspiedējvīrusu grupas:

CryptXXX V1, V2, V3*.crypt, crypz vai 5 heksadecimālās rakstzīmes
CryptXXX V4, V5.5 Heksadecimālās rakstzīmes
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX vai TTT vai MP3 vai MICRO
TeslaCrypt V4.
SNSLocker.RSNSBloķēts
AutoLocky.locky
BadBlock
777.777
XORIST.xorist vai nejaušs paplašinājums
XORBAT.crypted
CERBER V1 <10 nejaušas rakstzīmes>.cerber
Stampado.bloķēta
Nemucod.crypted
Himēra.crypt

* Piezīme: Attiecas uz CryptXXX V3 izspiedējprogrammatūru: šīs konkrētās kriptogrāfijas izpirkuma programmatūras uzlabotās šifrēšanas dēļ dati ir pieejami tikai daļēji atšifrēšana pašlaik ir iespējama failos, kurus ietekmē CryptXXX V3, un jums ir jāizmanto trešās puses labošanas rīks, lai labotu tādi faili kā: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Lai lejupielādētu Trend Micro Ransomware failu atšifrēšanas rīku (un izlasītu norādījumus par tā lietošanu), dodieties uz šo lapu: Trend Micro Ransomware failu atšifrētāja lejupielāde un izmantošana

2. Kasperky ir izlaidusi šādus atšifrēšanas rīkus:

A. Kaspersky RakhniDecryptor rīks ir paredzēts, lai atšifrētu failus, kurus ietekmē*:

* Piezīme: RakhniDecryptor utilīta vienmēr tiek atjaunināta, lai atšifrētu failus no vairākām izspiedējvīrusu ģimenēm.

Rakhni
Aģents.iih
Aura
Autoit
Pletors
Rotors
Lamers
Lortoks
Kriptokluchen
Demokrātija
Bitman — TeslaCrypt versija 3 un 4

B. Kaspersky RannohDecryptor rīks ir paredzēts, lai atšifrētu failus, kurus ietekmē:

Rannoh
AutoIt
Dusmas
Kribola
Cryakl
CryptXXX 1. un 2. versija

Cryptowalll — vīrusu informācijas un atšifrēšanas iespējas.

The Kriptomūris (vai "Cryptowall atšifrētājs”) vīruss ir jaunais variants Kriptoaizsardzība ransomware vīruss. Kad dators ir inficēts ar Kriptomūris izspiedējvīrusu, pēc tam visus kritiskos failus datorā (tostarp failus kartētajos tīkla diskos, ja esat pieteikušies tīklā) tiek šifrēti ar spēcīgu šifrēšanu, kas padara to praktiski neiespējamu atšifrēšanu viņiem. Pēc tam, kad Kriptomūris šifrēšanu, vīruss izveido un nosūta privāto atslēgu (paroli) uz privāto serveri, lai noziedznieks to izmantotu jūsu failu atšifrēšanai. Pēc tam noziedznieki informē savus upurus, ka visi viņu kritiskie faili ir šifrēti un vienīgais veids, kā tos atšifrēt, ir samaksājiet izpirkuma maksu 500 $ (vai vairāk) noteiktā laika periodā, pretējā gadījumā izpirkuma maksa tiks dubultota vai viņu faili tiks zaudēti mūžīgs.

Kā atšifrēt Cryptowall inficētos failus un atgūt failus:

Ja vēlaties atšifrēt Kriptomūris šifrētus failus un atgūt savus failus, tad jums ir šādas iespējas:

A. Pirmā iespēja ir samaksāt izpirkuma maksu. Ja nolemjat to darīt, turpiniet ar maksājumu, uzņemoties risku, jo saskaņā ar mūsu pētījumu daži lietotāji atgūst savus datus, bet citi to nedara. Paturiet prātā, ka noziedznieki nav uzticamākie cilvēki uz planētas.

B. Otra iespēja ir notīrīt inficēto datoru un pēc tam atjaunot inficētos failus no tīras dublējuma (ja jums tāda ir).

C. Ja jums nav tīra dublējuma, vienīgā iespēja, kas paliek, ir atjaunot failus iepriekšējās versijās no "Ēnu kopijas”. Ņemiet vērā, ka šī procedūra darbojas tikai operētājsistēmās Windows 8, Windows 7 un Vista OS un tikai tad, ja “Sistēmas atjaunošana” funkcija iepriekš bija iespējota jūsu datorā un netika atspējota pēc Kriptomūris infekcija.

Ieteikuma saite: Kā atjaunot failus no Shadow Copies.

Detalizēta analīze par Kriptomūris Izspiedējvīrusa infekciju un noņemšanu var atrast šajā ziņā:

Kā noņemt CryptoWall vīrusu un atjaunot failus

CryptoDefense & How_Decrypt — informācija par vīrusu un atšifrēšana.

Kriptoaizsardzībair vēl viens ransomware vīruss, kas var šifrēt visus jūsu datorā esošos failus neatkarīgi no to paplašinājuma (faila veida), izmantojot spēcīgu šifrēšanu, tādējādi praktiski neiespējami tos atšifrēt. Vīruss var atspējot "Sistēmas atjaunošana” funkciju inficētajā datorā un var izdzēst visusĒnu sējuma kopijas” failus, tāpēc jūs nevarat atjaunot savus failus uz to iepriekšējām versijām. Pēc inficēšanās Kriptoaizsardzība ransomware vīruss, katrā inficētajā mapē izveido divus failus (“How_Decrypt.txt” un “How_Decrypt.html”) ar detalizētiem norādījumiem, kā apmaksāt izpirkuma maksu, lai atšifrētu jūsu failus, un nosūta privāto atslēgu (paroli) uz privāto serveri, lai noziedznieks to izmantotu jūsu failu atšifrēšanai. failus.

Detalizēta analīze par Kriptoaizsardzība Izspiedējvīrusa infekciju un noņemšanu var atrast šajā ziņā:

Kā noņemt CryptoDefense vīrusu un atjaunot failus

Kā atšifrēt Cryptodefense šifrētos failus un atgūt failus:

Lai atšifrētu Kriptoaizsardzība inficētiem failiem, jums ir šādas iespējas:

B. Otra iespēja ir notīrīt inficēto datoru un pēc tam atjaunot inficētos failus no tīras dublējuma (ja jums tāda ir).

C. Ja jums nav tīra dublējuma, varat mēģināt atjaunot failus iepriekšējās versijās no "Ēnu kopijas”. Ņemiet vērā, ka šī procedūra darbojas tikai operētājsistēmās Windows 8, Windows 7 un Vista OS un tikai tad, ja “Sistēmas atjaunošana” funkcija iepriekš bija iespējota jūsu datorā un netika atspējota pēc Kriptoaizsardzība infekcija.

Ieteikuma saite: Kā atjaunot failus no Shadow Copies.

D. Visbeidzot, ja jums nav tīra dublējuma un jūs nevarat atjaunot failus no "Ēnu kopijas”, tad varat mēģināt atšifrēt Kriptoaizsardzība šifrētus failus, izmantojot Emsisoft atšifrētājs lietderība. Darīt to:

Svarīga piezīme: Šī utilīta darbojas tikai datoros, kas inficēti pirms 2014. gada 1. aprīļa.

1.Lejupielādēt “Emsisoft atšifrētājs” utilīta jūsu datoram (piemēram, jūsu Darbvirsma).

2. Kad lejupielāde ir pabeigta, dodieties uz savu Darbvirsma un "Ekstrakts""decrypt_cryptodefense.zip” failu.

3. Tagad dubultklikšķi palaist "decrypt_cryptodefense” lietderība.

4. Visbeidzot nospiediet "Atšifrēt” pogu, lai atšifrētu failus.

Avots – Papildu informācija: Detalizēta apmācība par to, kā atšifrēt CryptoDefense šifrētus failus, izmantojot Emsisoft atšifrētājs lietderību var atrast šeit: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Cryptorbit vai HowDecrypt — informācija par vīrusu un atšifrēšana.

Kriptorbīts vai HowDecrypt vīruss ir izspiedējvīruss, kas var šifrēt visus jūsu datorā esošos failus. Kad jūsu dators ir inficēts ar Kriptorbīts vīruss, visi jūsu kritiskie faili tiek šifrēti neatkarīgi no to paplašinājuma (faila veida) ar spēcīgu šifrēšanu, kas padara tos praktiski neiespējamu atšifrēt. Vīruss arī izveido divus failus katrā inficētajā datora mapē (“HowDecrypt.txt” un “HowDecrypt.gif”) ar detalizētiem norādījumiem par to, kā samaksāt izpirkuma maksu un atšifrēt failus.

Detalizēta analīze par Kriptorbīts Izspiedējvīrusa infekciju un noņemšanu var atrast šajā ziņā:

Kā noņemt Cryptorbit (HOWDECRYPT) vīrusu un atjaunot failus

Kā atšifrēt Cryptorbit inficētos failus un atgūt failus:

Lai atšifrētu Kriptorbīts šifrētiem failiem, jums ir šādas iespējas:

B. Otra iespēja ir notīrīt inficēto datoru un pēc tam atjaunot inficētos failus no tīras dublējuma (ja jums tāda ir).

Ieteikuma saite: Kā atjaunot failus no Shadow Copies.

D. Visbeidzot, ja jums nav tīra dublējuma un jūs nevarat atjaunot failus no "Ēnu kopijas”, tad varat mēģināt atšifrēt Kriptorbits šifrētus failus, izmantojot Anti-CryptorBit lietderība. Darīt to:

1.Lejupielādēt “Anti-CryptorBit” utilīta jūsu datoram (piemēram, jūsu Darbvirsma)

2. Kad lejupielāde ir pabeigta, dodieties uz savu Darbvirsma un "Ekstrakts""Anti-CryptorBitV2.zip” failu.

3. Tagad dubultklikšķi lai palaistu Anti-CryptorBitv2 lietderība.

4. Izvēlieties, kāda veida failus vēlaties atgūt. (piem., “JPG”)

5. Visbeidzot izvēlieties mapi, kurā ir bojāti/šifrēti (JPG) faili, un pēc tam nospiediet "Sākt” pogu, lai tos labotu.

Cryptolocker — informācija par vīrusu un atšifrēšana.

Kriptobloķētājs (zināms arī kā "Troj/Ransom-ACP”, “Trojas zirgs. Ransomcrypt. F”) ir Ransomware šķebinošs vīruss (TROJAN), un, kad tas inficē jūsu datoru, tas šifrē visus failus neatkarīgi no to paplašinājuma (faila veida). Sliktās ziņas ar šo vīrusu ir tādas, ka, tiklīdz tas inficē jūsu datoru, jūsu kritiskie faili tiek šifrēti ar spēcīgu šifrēšanu, un tos praktiski nav iespējams atšifrēt. Kad dators ir inficēts ar Cryptolocker vīrusu, upura datorā tiek parādīts informatīvs ziņojums, kurā tiek pieprasīta samaksa (izpirkuma maksa) USD 300 (vai vairāk) apmērā, lai atšifrētu jūsu failus.

Detalizēta analīze par Kriptobloķētājs Izspiedējvīrusa infekciju un noņemšanu var atrast šajā ziņā:

Kā noņemt CryptoLocker Ransomware un atjaunot failus

Kā atšifrēt Cryptolocker inficētos failus un atgūt failus:

Lai atšifrētu Kriptobloķētājs inficētiem failiem, jums ir šādas iespējas:

B. Otra iespēja ir notīrīt inficēto datoru un pēc tam atjaunot inficētos failus no tīras dublējuma (ja jums tāda ir).

Ieteikuma saite: Kā atjaunot failus no Shadow Copies.

D. 2014. gada augustā FireEye & Fox-IT ir izlaiduši jaunu pakalpojumu, kas izgūst privāto atšifrēšanas atslēgu lietotājiem, kuri ir inficēti ar CryptoLocker izpirkuma programmatūru. Pakalpojums tiek sauktsAtšifrētCryptoLocker' (pakalpojums ir pārtraukts), tas ir pieejams visā pasaulē, un, lai to izmantotu, lietotājiem nav jāreģistrējas vai jānorāda kontaktinformācija.

Lai izmantotu šo pakalpojumu, jums ir jāapmeklē šī vietne: (pakalpojums ir pārtraukts) un augšupielādējiet vienu šifrētu CryptoLocker failu no inficētā datora (Piezīme: augšupielādējiet failu, kas nesatur sensitīvu un/vai privātu informāciju). Pēc tam jums ir jānorāda e-pasta adrese, lai saņemtu savu privāto atslēgu, un saite atšifrēšanas rīka lejupielādei. Visbeidzot palaidiet lejupielādēto CryptoLocker atšifrēšanas rīku (lokāli savā datorā) un ievadiet savu privāto atslēgu, lai atšifrētu CryptoLocker šifrētos failus.

Vairāk informācijas par šo pakalpojumu var atrast šeit: FireEye un Fox-IT paziņo par jaunu pakalpojumu CryptoLocker upuriem.

CryptXXX V1, V2, V3 (varianti: .crypt, crypz vai 5 heksadecimālās rakstzīmes).

CryptXXX V1 & CryptXXX V2 ransomware šifrē jūsu failus un pēc inficēšanās katra faila beigās pievieno paplašinājumu ".crypt".
CryptXXX v3 pievieno paplašinājumu ".cryptz" pēc jūsu failu šifrēšanas.

Trojas zirgs CryptXXX šifrē šāda veida failus:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX

Kā atšifrēt CryptXXX failus.

Ja esat inficēts ar CryptXXX 1. vai 2. versiju, izmantojiet Kaspersky RannohDecryptor rīks lai atšifrētu savus failus.

Ja esat inficēts ar CryptXXX 3. versiju, izmantojiet Trend Micro Ransomware failu atšifrētājs. *

Piezīme: Pateicoties uzlabotajai CryptXXX V3 vīrusa šifrēšanai, pašlaik ir iespējama tikai daļēja datu atšifrēšana, un jums ir jāizmanto trešās puses labošanas rīks, lai labotu savus failus, piemēram: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Locky un AutoLocky (varianti: .locky)

Locky ransomware šifrē jūsu failus, izmantojot RSA-2048 un AES-128 šifrēšanu, un pēc inficēšanās visi jūsu faili tiek pārdēvēti ar unikālu – 32 rakstzīmēm – faila nosaukumu ar paplašinājumu ".locky" (piemēram, "1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky vīruss var inficēt lokālos vai tīkla diskus un inficēšanās laikā izveido failu ar nosaukumu "_HELP_instructions.html" katrā inficētajā mapē ar instrukcijām, kā maksāt izpirkuma maksu un atšifrēt failus, izmantojot TOR pārlūkprogrammu.

AutoLocky ir vēl viens Locky vīrusa variants. Galvenā atšķirība starp Locky un Autolocky ir tā, ka Autolocky infekcijas laikā nemainīs faila sākotnējo nosaukumu. (piem., ja failam ir nosaukums "Dokuments1.docPirms inficēšanās Autolocky to pārdēvē parDokuments1.doc.locky")

Kā atšifrēt .LOCKY failus:

Pirmā iespēja ir notīrīt inficēto datoru un pēc tam atjaunot inficētos failus no tīras dublējuma (ja jums tāda ir).
Otrā iespēja, ja jums nav tīra dublējuma, ir atjaunot failus iepriekšējās versijās no "Ēnu kopijas”. Kā atjaunot failus no Shadow Copies.
Trešā iespēja ir izmantot Emsisoft atšifrētājs AutoLocky lai atšifrētu savus failus. (Atšifrēšanas rīks darbojas tikai Autolocky).

Trojan-Ransom. Win32.Rector — informācija par vīrusu un atšifrēšana.

The Trojas rektors šifrē failus ar šādiem paplašinājumiem: .doc, .jpg, .pdf.rar, un pēc inficēšanās to padara tos nelietojamus. Kad jūsu faili ir inficēti ar Trojas rektors, tad inficēto failu paplašinājumi tiek mainīti uz .VSCRYPT, .INFICĒTS, .KORREKTOR vai .BLOC un tas padara tos nelietojamus. Mēģinot atvērt inficētos failus, ekrānā tiek parādīts ziņojums ar kirilicas rakstzīmēm, kas satur izpirkuma pieprasījumu un maksājuma informāciju. Kibernoziedznieks, kurš veido Trojas rektors sauc par “††KOPPEKTOPS†† un lūdz sazināties ar viņu pa e-pastu vai ICQ (EMAIL: [email protected] / ICQ: 557973252 vai 481095), lai sniegtu norādījumus par failu atbloķēšanu.

Kā atšifrēt ar Trojan Rector inficētos failus un atgūt failus:

Padoms: Kopējiet visus inficētos failus atsevišķā direktorijā un aizveriet visas atvērtās programmas, pirms turpināt skenēt un atšifrēt ietekmētos failus.

1. Lejupielādēt Rektors Atšifrētājslietderība (no Kaspersky Labs) savā datorā.

2. Kad lejupielāde ir pabeigta, palaidiet RectorDecryptor.exe.

3. Nospiediet "Sākt skenēšanu” pogu, lai skenētu jūsu diskus, lai atrastu šifrētos failus.

4. Ļaujiet RectorDecryptor utilīta šifrēto failu skenēšanai un atšifrēšanai (ar paplašinājumiem .vscrypt, .infected, .bloc, .korrektor) un pēc tam atlasiet opciju “Pēc atšifrēšanas izdzēsiet šifrētos failus”, ja atšifrēšana bija veiksmīga. *

* Pēc atšifrēšanas varat atrast skenēšanas/atšifrēšanas procesa atskaites žurnālu sava C:\ diska saknē (piemēram, "C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).

5. Visbeidzot turpiniet pārbaudīt un attīrīt sistēmu no ļaunprātīgas programmatūras programmām, kas tajā var pastāvēt.

Avots – Papildu informācija:http://support.kaspersky.com/viruses/disinfection/4264#block2

Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev — informācija par vīrusu un atšifrēšana.

TheTrojas Ransom Xorist & Trojas zirgs Ransom Valdev, šifrē failus ar šādiem paplašinājumiem:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, neapstrādāts, saf, val, vilnis, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rums, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, tinte, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, akts, adt, mērķis, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, tagad, odm, bieži, pwi, rng, rtx, palaist, ssa, teksts, unx, wbk, wsh, 7z, loka, ari, arj, automašīna, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, karš, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atoms, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, karte, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, skumji, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, asv, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disks, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, v, vm xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, vāciņš, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Pēc inficēšanās,Trojas Ransom Xorist apdraud jūsu datora drošību, padara datoru nestabilu un ekrānā parāda ziņojumus, kas pieprasa izpirkuma maksu, lai atšifrētu inficētos failus. Ziņojumos ir arī informācija par to, kā samaksāt izpirkuma maksu, lai no kibernoziedzniekiem iegūtu atšifrēšanas utilītu.

Kā atšifrēt failus, kas inficēti ar Trojas zirgu Win32.Xorist vai Trojas zirgu MSIL.Vandev:

Padoms: Kopējiet visus inficētos failus atsevišķā direktorijā un aizveriet visas atvērtās programmas, pirms turpināt skenēt un atšifrēt ietekmētos failus.

1. Lejupielādēt Xorist atšifrētājslietderība (no Kaspersky Labs) savā datorā.

2. Kad lejupielāde ir pabeigta, palaidiet XoristDecryptor.exe.

Piezīme: Ja vēlaties dzēst šifrētos failus, kad atšifrēšana ir pabeigta, noklikšķiniet uz "Mainiet parametrus" opciju un atzīmējiet "Pēc atšifrēšanas izdzēsiet šifrētos failus" izvēles rūtiņa zem "Papildu opcijas”.

3. Nospiediet "Sākt skenēšanu” pogu.

4. Ievadiet vismaz viena šifrētā faila ceļu un pēc tam pagaidiet, līdz utilīta atšifrē šifrētos failus.

5. Ja atšifrēšana bija veiksmīga, restartējiet datoru un pēc tam skenējiet un notīriet sistēmu no ļaunprātīgas programmatūras programmām, kas tajā var būt.

Avots – Papildu informācija: http://support.kaspersky.com/viruses/disinfection/2911#block2

Trojan-Ransom. Win32.Rakhni — informācija par vīrusu un atšifrēšana.

The Trojas Ransom Rakhni šifrē failus, mainot failu paplašinājumus šādi:

..
..
..
..
..
..
..
..
..
..pizda@qq_com

Pēc šifrēšanas jūsu faili ir nelietojams un jūsu sistēmas drošība ir apdraudēta. Arī Trojan-Ransom. Win32.Rakhni izveido failu jūsu %APLIKĀCIJAS DATI% mape ar nosaukumu "iziet.hhr.oshit”, kas satur inficēto failu šifrētu paroli.

Brīdinājums: The Trojan-Ransom. Win32.Rakhni izveido "iziet.hhr.oshit” failu, kurā ir šifrēta lietotāja failu parole. Ja šis fails paliek datorā, tas veiks atšifrēšanu, izmantojot RakhniDecryptor lietderība ātrāk. Ja fails ir noņemts, to var atgūt, izmantojot failu atkopšanas utilītas. Kad fails ir atkopts, ievietojiet to %APLIKĀCIJAS DATI% un vēlreiz palaidiet skenēšanu ar utilītu.

%APLIKĀCIJAS DATI% mapes atrašanās vieta:

Windows XP: C:\Dokumenti un iestatījumi\\Lietojumprogrammas dati
Windows 7/8: C:\Lietotāji\\AppData\Viesabonēšana

Kā atšifrēt ar Trojas Rakhni inficētos failus un atgūt failus:

1. Lejupielādēt Rakhni atšifrētājslietderība (no Kaspersky Labs) savā datorā.

2. Kad lejupielāde ir pabeigta, palaidiet RakhniDecryptor.exe.

3. Nospiediet "Sākt skenēšanu” pogu, lai skenētu jūsu diskus, lai atrastu šifrētus failus.

4. Ievadiet vismaz viena šifrētā faila ceļu (piemēram, "file.doc.locked) un pēc tam pagaidiet, līdz utilīta atgūst paroli noiziet.hhr.oshit” failu (ņemiet vērā Brīdinājums) un atšifrē jūsu failus.

Avots – Papildu informācija: http://support.kaspersky.com/viruses/disinfection/10556#block2

Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) — informācija par vīrusu un atšifrēšana.

The Trojas zirgs Rannoh vai Trojas cryakl šifrē visus jūsu datorā esošos failus šādā veidā:

Gadījumā, ja a Trojan-Ransom. Win32.Rannoh infekcija, failu nosaukumi un paplašinājumi tiks mainīti atbilstoši bloķētajai veidnei-..
Gadījumā, ja a Trojan-Ransom. Win32.Cryakl inficēšanās gadījumā failu nosaukumu beigās tiek pievienots tags {CRYPTENDBLACKDC}.

Kā atšifrēt failus, kas inficēti ar Trojas zirgu Rannoh vai Trojan Cryakl, un atgūt failus:

Svarīgs: TheRannoh atšifrētājs utilīta atšifrē failus, salīdzinot vienu šifrētu un vienu atšifrētu failu. Tātad, ja vēlaties izmantot Rannoh atšifrētājs utilīta failu atšifrēšanai, pirms inficēšanās jums ir jābūt vismaz viena šifrēta faila oriģinālai kopijai (piemēram, no tīras dublējuma).

1. Lejupielādēt Rannoh atšifrētājsutilīta jūsu datoram.

2. Kad lejupielāde ir pabeigta, palaidiet RannohDecryptor.exe

3. Nospiediet "Sākt skenēšanu” pogu.

4. Lasīt "Nepieciešama informācija" ziņojumu un pēc tam noklikšķiniet uz "Turpināt” un norādiet ceļu uz vismaz viena šifrēta faila oriģinālo kopiju pirms inficēšanās (tīrs – oriģināls – fails) un ceļu uz šifrēto failu (inficētais – šifrēts – fails).

5. Pēc atšifrēšanas varat atrast skenēšanas/atšifrēšanas procesa atskaites žurnālu sava C:\ diska saknē. (piemēram, "C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).

Avots – Papildu informācija: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (varianti: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc un .vvv)

The TeslaCrypt ransomware vīruss pievieno jūsu failiem šādus paplašinājumus: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc un .vvv.

Kā atšifrēt TeslaCrypt failus:

Ja esat inficēts ar TeslaCrypt vīrusu, izmantojiet kādu no šiem rīkiem, lai atšifrētu savus failus:

TeslaDecoder: Plašāka informācija un norādījumi par lietošanu TeslaDecoder var atrast šajā rakstā: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
Trend Micro Ransomware failu atšifrētājs.

TeslaCrypt V3.0 (varianti: .xxx, .ttt, .micro, .mp3)

The TeslaCrypt 3.0 ransomware vīruss pievieno jūsu failiem šādus paplašinājumus: .xxx, .ttt, .micro un .mp3

Kā atšifrēt TeslaCrypt V3.0 failus:

Ja esat inficēts ar TeslaCrypt 3.0 pēc tam mēģiniet atgūt failus, izmantojot:

Trend Micro Ransomware failu atšifrētājs rīks.
RakhniDecryptor (Kā vadīt)
Tesla dekoderis (Kā vadīt)
Tesladecrypt — McAfee

TeslaCrypt V4.0 (faila nosaukums un paplašinājums nav mainīts)

Lai atšifrētu TeslaCrypt V4 failus, izmēģiniet kādu no šīm utilītprogrammām:

Trend Micro Ransomware failu atšifrētājs rīks.
RakhniDecryptor (Kā vadīt)
Tesla dekoderis (Kā vadīt)

EnzoS.
2016. gada 8. oktobris plkst. 8:01