Hoe u versleutelde bestanden kunt ontsleutelen of terugkrijgen die zijn geïnfecteerd met bekende versleutelende ransomware-virussen.

In de afgelopen jaren verspreiden cybercriminelen een nieuw type virussen die bestanden op uw computer (of uw netwerk) kunnen versleutelen met als doel gemakkelijk geld te verdienen aan hun slachtoffers. Dit type virussen wordt "Ransomware" genoemd en ze kunnen computersystemen infecteren als de gebruiker van de computer dat niet doet let op bij het openen van bijlagen of links van onbekende afzenders of sites die zijn gehackt door cybercriminelen. Volgens mijn ervaring is de enige veilige manier om jezelf te beschermen tegen dit soort virussen, het hebben van schone back-ups van je bestanden op een aparte plaats van je computer. Bijvoorbeeld in een niet-aangesloten externe USB-harde schijf of in dvd-rom's.

Dit artikel bevat belangrijke informatie over enkele bekende versleutelende ransomware-crypt-virussen die zijn ontworpen om versleutel kritieke bestanden plus de beschikbare opties en hulpprogramma's om uw versleutelde bestanden na infectie te ontsleutelen. Ik heb dit artikel geschreven om alle informatie voor de beschikbare decoderingstools op één plek te bewaren en ik zal proberen dit artikel up-to-date te houden. Deel met ons uw ervaring en alle andere nieuwe informatie die u mogelijk weet om elkaar te helpen.

Hoe bestanden te decoderen die zijn versleuteld met Ransomware - Beschrijving en bekende decoderingstools - Methoden:

  • RANSOWARE NAAM
  • Cryptowall
  • CryptoDefense & How_Decrypt
  • Cryptorbit of HowDecrypt
  • Cryptolocker (Troj/Ransom-ACP", "Trojan. Ransomcryptie. F)
  • CryptXXX V1, V2, V3 (varianten: .crypt, crypz of 5 hexadecimale tekens)
  • Locky & AutoLocky (varianten: .locky)
  • Trojan-Ransom. Win32.Rector
  • Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
  • Trojan-Ransom. Win32.Rakhni
  • Trojan-Ransom. Win32.Rannoh of Trojan-Ransom. Win32.Cryakl.
  • TeslaCrypt (varianten: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc en .vvv)
  • TeslaCrypt 3.0 (varianten: .xxx, .ttt, .micro, .mp3)
  • TeslaCrypt 4.0 (bestandsnaam en extensie ongewijzigd)

Update juni 2016:

1. Trend Micro heeft een uitgebracht Ransomware Bestandsdecryptor tool om te proberen bestanden te decoderen die zijn versleuteld door de volgende ransomware-families:

CryptXXX V1, V2, V3*.crypt, crypz of 5 hexadecimale tekens
CryptXXX V4, V5.5 hexadecimale tekens
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX of TTT of MP3 of MICRO
TeslaCrypt V4.
SNSLocker.RSNSVergrendeld
AutoLocky.locky
BadBlock
777.777
XORIST.xorist of willekeurige extensie
XORBAT.versleuteld
CERBER V1 <10 willekeurige tekens>.cerber
Stampado.op slot
Nemucod.versleuteld
chimera.crypt

* Opmerking: Van toepassing op CryptXXX V3-ransomware: vanwege de geavanceerde codering van deze specifieke Crypto-Ransomware, slechts gedeeltelijke gegevens decodering is momenteel mogelijk op bestanden die zijn beïnvloed door CryptXXX V3, en u moet een reparatietool van derden gebruiken om uw bestanden zoals: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Om de Ransomware File Decrypter-tool van Trend Micro te downloaden (en de instructies voor het gebruik ervan te lezen), gaat u naar deze pagina: De Trend Micro Ransomware File Decryptor downloaden en gebruiken

2. Kasperky heeft de volgende decryptor-tools uitgebracht:

A. Kaspersky's RakhniDecryptor-tool is ontworpen om bestanden te decoderen die worden beïnvloed door*:

* Opmerking: Het RakhniDecryptor-hulpprogramma wordt altijd bijgewerkt om bestanden van verschillende ransomware-families te decoderen.

Rakhni
Agent.iih
Aura
automatisch
Pletor
Rotor
Lamer
Lortok
Cryptokluchen
democratie
Bitman – TeslaCrypt versie 3 en 4

B. RannohDecryptor-tool van Kaspersky is ontworpen om bestanden te decoderen die worden beïnvloed door:

Ranno
AutoIt
Woede
crybool
Cryakl
CryptXXX versies 1 en 2

Cryptowalll - Virusinformatie en decoderingsopties.

De Cryptowall (of "Cryptowall Decrypter”) virus is de nieuwe variant van Cryptodefensie ransomware-virus. Wanneer een computer is geïnfecteerd met Cryptowall ransomware, dan alle kritieke bestanden op de computer (inclusief de bestanden op toegewezen –netwerk-drives als je ingelogd in een netwerk) versleuteld worden met sterke versleuteling, dat maakt het praktisch onmogelijk om te ontsleutelen hen. Na de Cryptowall encryptie, het virus maakt en verzendt de privésleutel (wachtwoord) naar een privéserver om door de crimineel te worden gebruikt om uw bestanden te decoderen. Daarna informeren de criminelen hun slachtoffers dat al hun kritieke bestanden versleuteld zijn en dat de enige manier om ze te ontsleutelen is: betaal een losgeld van $ 500 (of meer) binnen een bepaalde tijdsperiode, anders wordt het losgeld verdubbeld of gaan hun bestanden verloren permanent.

Hoe Cryptowall geïnfecteerde bestanden te decoderen en uw bestanden terug te krijgen:

Als je wilt decoderen Cryptowall versleutelde bestanden en krijg je je bestanden terug, dan heb je deze opties:

A. De eerste optie is om het losgeld te betalen. Als u besluit om dat te doen, gaat u verder met de betaling op eigen risico, omdat volgens ons onderzoek sommige gebruikers hun gegevens terugkrijgen en andere niet. Houd er rekening mee dat criminelen niet de meest betrouwbare mensen ter wereld zijn.

B. De tweede optie is om de geïnfecteerde computer op te schonen en vervolgens uw geïnfecteerde bestanden te herstellen vanaf een schone back-up (als u die heeft).

C. Als u geen schone back-up hebt, is de enige optie die overblijft om uw bestanden in eerdere versies te herstellen van "Schaduwkopieën”. Merk op dat deze procedure alleen werkt in Windows 8, Windows 7 en Vista OS en alleen als de “Systeemherstel” functie was eerder ingeschakeld op uw computer en werd niet uitgeschakeld na de Cryptowall infectie.

  • Referentie link: Hoe u uw bestanden kunt herstellen van schaduwkopieën.

Een gedetailleerde analyse van Cryptowall ransomware infectie en verwijdering is te vinden in dit bericht:

  • Hoe het CryptoWall-virus te verwijderen en uw bestanden te herstellen

CryptoDefense & How_Decrypt - Virusinformatie en decryptie.

Cryptodefensieis een ander ransomware-virus dat alle bestanden op uw computer kan versleutelen, ongeacht hun extensie (bestandstype) met een sterke versleuteling, zodat het praktisch onmogelijk is om ze te ontsleutelen. Het virus kan de “Systeemherstel”-functie op de geïnfecteerde computer en kan alle “Schaduwvolume-kopieën”-bestanden, dus u kunt uw bestanden niet terugzetten naar hun vorige versies. bij infectie Cryptodefensie ransomware virus, maakt twee bestanden aan in elke geïnfecteerde map (“How_Decrypt.txt” en “How_Decrypt.html”) met gedetailleerde instructies over hoe de losgeld om uw bestanden te decoderen en stuurt de privésleutel (wachtwoord) naar een privéserver om door de crimineel te worden gebruikt om uw bestanden.

Een gedetailleerde analyse van Cryptodefensie ransomware infectie en verwijdering is te vinden in dit bericht:

  • Hoe het CryptoDefense-virus te verwijderen en uw bestanden te herstellen

Hoe Cryptodefense-gecodeerde bestanden te decoderen en uw bestanden terug te krijgen:

Om te decoderen Cryptodefensie geïnfecteerde bestanden heeft u deze opties:

A. De eerste optie is om het losgeld te betalen. Als u besluit om dat te doen, gaat u verder met de betaling op eigen risico, omdat volgens ons onderzoek sommige gebruikers hun gegevens terugkrijgen en andere niet. Houd er rekening mee dat criminelen niet de meest betrouwbare mensen ter wereld zijn.

B. De tweede optie is om de geïnfecteerde computer op te schonen en vervolgens uw geïnfecteerde bestanden te herstellen vanaf een schone back-up (als u die heeft).

C. Als u geen schone back-up hebt, kunt u proberen uw bestanden in eerdere versies te herstellen van "Schaduwkopieën”. Merk op dat deze procedure alleen werkt in Windows 8, Windows 7 en Vista OS en alleen als de “Systeemherstel” functie was eerder ingeschakeld op uw computer en was niet uitgeschakeld na de Cryptodefensie infectie.

  • Referentie link: Hoe u uw bestanden kunt herstellen van schaduwkopieën.

D. Ten slotte, als u geen schone back-up hebt en u uw bestanden niet kunt herstellen van "Schaduwkopieën”, dan kunt u proberen te decoderen Cryptodefensie versleutelde bestanden met behulp van de Decryptor van Emsisoft nutsvoorziening. Om dat te doen:

Belangrijke mededeling: Dit hulpprogramma werkt alleen voor computers die vóór 1 april 2014 zijn geïnfecteerd.

1.DownloadenEmsisoft Decrypter”-hulpprogramma op uw computer (bijv. uw Bureaublad).

b2xhvuud_thumb1

2. Wanneer het downloaden is voltooid, navigeert u naar uw Bureaublad en "Extract" de "decrypt_cryptodefense.zip" het dossier.

bestanden decoderen

3. nutsvoorzieningen Dubbelklik uitvoeren van de "decrypt_cryptodefense" nutsvoorziening.

wqv2umur_thumb3

4. Druk tot slot op de “decoderen” knop om uw bestanden te decoderen.

vfdjlsa4_thumb

Bron – Aanvullende informatie: Een gedetailleerde tutorial over het decoderen van met CryptoDefense versleutelde bestanden met behulp van De decrypter van Emsisoft hulpprogramma is hier te vinden: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Cryptorbit of HowDecrypt - Virusinformatie en decodering.

cryptorbit of HoeDecoderen virus is een ransomware-virus dat alle bestanden op uw computer kan versleutelen. Zodra uw computer is geïnfecteerd met cryptorbit virus worden al uw kritieke bestanden versleuteld, ongeacht hun extensie (bestandstype) met een sterke versleuteling die het praktisch onmogelijk maakt om ze te ontsleutelen. Het virus maakt ook twee bestanden aan in elke geïnfecteerde map op uw computer (“HowDecrypt.txt” en “HowDecrypt.gif”) met gedetailleerde instructies over hoe u het losgeld kunt betalen en uw bestanden kunt decoderen.

Een gedetailleerde analyse van cryptorbit ransomware infectie en verwijdering is te vinden in dit bericht:

  • Hoe het Cryptorbit (HOWDECRYPT) virus te verwijderen en uw bestanden te herstellen

Hoe Cryptorbit geïnfecteerde bestanden te decoderen en uw bestanden terug te krijgen:

Om te decoderen cryptorbit versleutelde bestanden heb je deze opties:

A. De eerste optie is om het losgeld te betalen. Als u besluit om dat te doen, gaat u verder met de betaling op eigen risico, omdat volgens ons onderzoek sommige gebruikers hun gegevens terugkrijgen en andere niet.

B. De tweede optie is om de geïnfecteerde computer op te schonen en vervolgens uw geïnfecteerde bestanden te herstellen vanaf een schone back-up (als u die heeft).

C. Als u geen schone back-up hebt, kunt u proberen uw bestanden in eerdere versies te herstellen vanaf "Schaduwkopieën”. Merk op dat deze procedure alleen werkt in Windows 8, Windows 7 en Vista OS en alleen als de “Systeemherstel” functie was eerder ingeschakeld op uw computer en was niet uitgeschakeld na de cryptorbit infectie.

  • Referentie link: Hoe u uw bestanden kunt herstellen van schaduwkopieën.

D. Ten slotte, als u geen schone back-up hebt en u uw bestanden niet kunt herstellen van "Schaduwkopieën” dan kun je proberen te decoderen Cryptorbit's versleutelde bestanden met behulp van de Anti-CryptorBit nutsvoorziening. Om dat te doen:

1.DownloadenAnti-CryptorBit”-hulpprogramma op uw computer (bijv. uw Bureaublad)

anticryptobit-download3_thumb1

2. Wanneer het downloaden is voltooid, navigeert u naar uw Bureaublad en "Extract" de "Anti-CryptorBitV2.zip" het dossier.

sjfeqisk_thumb1

3. nutsvoorzieningen Dubbelklik het runnen van Anti-CryptorBitv2 nutsvoorziening.

Anti-CryptorBit-V2_thumb1

4. Kies welk type bestanden u wilt herstellen. (bijv. "JPG")

2driv1i3_thumb

5. Kies ten slotte de map die de beschadigde/gecodeerde (JPG) bestanden bevat en druk vervolgens op de "Begin” knop om ze te repareren.

decrypt-cryptorbit-files_thumb

Cryptolocker - Virusinformatie en decodering.

Cryptolocker (ook gekend als "Troj/Ransom-ACP”, “Trojaans. Ransomcryptie. F”) is een Ransomware-vervelend virus (TROJAN) en wanneer het uw computer infecteert, versleutelt het alle bestanden, ongeacht hun extensie (bestandstype). Het slechte nieuws van dit virus is dat, zodra het uw computer infecteert, uw kritieke bestanden worden versleuteld met een sterke versleuteling en dat het praktisch onmogelijk is om ze te ontsleutelen. Zodra een computer is geïnfecteerd met het Cryptolocker-virus, verschijnt er een informatiebericht op de computer van het slachtoffer waarin een betaling (losgeld) van $ 300 (of meer) wordt gevraagd om uw bestanden te decoderen.

Een gedetailleerde analyse van Cryptolocker ransomware infectie en verwijdering is te vinden in dit bericht:

  • Hoe CryptoLocker Ransomware te verwijderen en uw bestanden te herstellen

Hoe Cryptolocker geïnfecteerde bestanden te decoderen en uw bestanden terug te krijgen:

Om te decoderen Cryptolocker geïnfecteerde bestanden heeft u deze opties:

A. De eerste optie is om het losgeld te betalen. Als u besluit om dat te doen, gaat u verder met de betaling op eigen risico, omdat volgens ons onderzoek sommige gebruikers hun gegevens terugkrijgen en andere niet.

B. De tweede optie is om de geïnfecteerde computer op te schonen en vervolgens uw geïnfecteerde bestanden te herstellen vanaf een schone back-up (als u die heeft).

C. Als u geen schone back-up hebt, kunt u proberen uw bestanden in eerdere versies te herstellen vanaf "Schaduwkopieën”. Merk op dat deze procedure alleen werkt in Windows 8, Windows 7 en Vista OS en alleen als de “Systeemherstel” functie was eerder ingeschakeld op uw computer en was niet uitgeschakeld na de Cryptolocker infectie.

  • Referentie link: Hoe u uw bestanden kunt herstellen van schaduwkopieën.

D. In augustus 2014, Vuuroog & Fox-IT hebben een nieuwe service uitgebracht die de persoonlijke decoderingssleutel ophaalt voor gebruikers die zijn geïnfecteerd door de CryptoLocker-ransomware. De dienst heet 'DecryptCryptoLocker' (de dienst is gestopt), het is wereldwijd beschikbaar en vereist niet dat gebruikers zich registreren of contactgegevens verstrekken om het te gebruiken.

Om van deze dienst gebruik te kunnen maken, moet u deze site bezoeken: (de service is gestopt) en upload één versleuteld CryptoLocker-bestand vanaf de geïnfecteerde computer (Let op: upload een bestand dat geen gevoelige en/of privégegevens bevat). Nadat je dat hebt gedaan, moet je een e-mailadres opgeven om je privésleutel te ontvangen en een link om de decoderingstool te downloaden. Voer ten slotte de gedownloade CryptoLocker-decoderingstool uit (lokaal op uw computer) en voer uw privésleutel in om uw met CryptoLocker versleutelde bestanden te decoderen.

Meer informatie over deze dienst vind je hier: FireEye en Fox-IT kondigen nieuwe service aan om slachtoffers van CryptoLocker te helpen.

DecryptCryptoLocker

CryptXXX V1, V2, V3 (varianten: .crypt, crypz of 5 hexadecimale tekens).

  • CryptXXX V1 & CryptXXX V2 ransomware versleutelt uw bestanden en voegt na infectie de extensie ".crypt" toe aan het einde van elk bestand.
  • CryptXXX v3 voegt de extensie ".cryptz" toe na het versleutelen van uw bestanden.

De trojan CryptXXX versleutelt de volgende soorten bestanden:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX

Hoe CryptXXX-bestanden te decoderen.

Als je geïnfecteerd bent met CryptXXX Versie 1 of Versie 2, gebruik dan RannohDecryptor-tool van Kaspersky om uw bestanden te decoderen.

Als je geïnfecteerd bent met CryptXXX Versie 3, gebruik dan Trend Micro's Ransomware File Decryptor. *

Opmerking: Vanwege de geavanceerde versleuteling van het CryptXXX V3-virus is momenteel slechts gedeeltelijke gegevensontsleuteling mogelijk en moet u een reparatietool van een derde partij gebruiken om uw bestanden te herstellen, zoals: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Locky & AutoLocky (varianten: .locky)

Locky ransomware versleutelt uw bestanden met behulp van RSA-2048- en AES-128-codering en na de infectie worden al uw bestanden hernoemd met een unieke bestandsnaam van 32 tekens met de extensie ".locky" (bijv. "1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky virus kan lokale of netwerkstations infecteren en maakt tijdens infectie een bestand aan met de naam "_HELP_instructions.html" op elke geïnfecteerde map, met instructies over hoe u het losgeld kunt betalen en uw bestanden kunt decoderen met behulp van de TOR-browser.

AutoLocky is een andere variant van het Locky-virus. Het belangrijkste verschil tussen Locky en Autolocky is dat Autolocky de oorspronkelijke naam van het bestand tijdens infectie niet zal veranderen. (bijv. als een bestand de naam "Document1.doc" vóór infectie hernoemt de Autolocky het naar "Document1.doc.locky")

Hoe .LOCKY-bestanden te decoderen:

  1. De eerste optie is om de geïnfecteerde computer op te schonen en vervolgens uw geïnfecteerde bestanden te herstellen vanaf een schone back-up (als u die heeft).
  2. De tweede optie, als je geen schone back-up hebt, is om je bestanden in eerdere versies te herstellen van "Schaduwkopieën”. Hoe u uw bestanden kunt herstellen van schaduwkopieën.
  3. De 3e optie is om de. te gebruiken Emsisoft's Decrypter voor AutoLocky om uw bestanden te decoderen. (De decrypter-tool werkt alleen voor: Autolocky).

Trojan-Ransom. Win32.Rector - Virusinformatie en decodering.

De Trojaanse rector versleutelt bestanden met de volgende extensies: .doc, .jpg, .pdf.rar, en na de infectie het maakt ze onbruikbaar. Zodra uw bestanden zijn geïnfecteerd met Trojaanse rector, dan worden de extensies van de geïnfecteerde bestanden gewijzigd in .VSCRYPT, .BESMET, .KORREKTOR of .BLOK en dit maakt ze onbruikbaar. Wanneer u de geïnfecteerde bestanden probeert te openen, wordt er een bericht in Cyrillische tekens op uw scherm weergegeven met het verzoek om losgeld en de details voor de betaling. De cybercrimineel die de. maakt Trojaanse rector genaamd "††KOPPEKTOP†† en vraagt ​​om met hem te communiceren via e-mail of ICQ (EMAIL: [email protected] / ICQ: 557973252 of 481095) om instructies te geven over hoe u uw bestanden kunt ontgrendelen.

Hoe bestanden te decoderen die zijn geïnfecteerd met Trojan Rector en uw bestanden terug te krijgen:

Advies: Kopieer alle geïnfecteerde bestanden naar een aparte map en sluit alle geopende programma's voordat u doorgaat met het scannen en decoderen van de getroffen bestanden.

1. Downloaden Rector Decryptorhulpprogramma (van Kaspersky Labs) naar jouw computer.

2. Wanneer het downloaden is voltooid, voert u. uit RectorDecryptor.exe.

3. Druk de "Start scan” knop om uw schijven te scannen op de versleutelde bestanden.

afbeelding

4. Laat de RectorDecryptor hulpprogramma om de versleutelde bestanden te scannen en te decoderen (met extensies .vscrypt, .geïnfecteerd, .bloc, .korrektor) en selecteer vervolgens de optie om "Versleutelde bestanden verwijderen na decodering” als de decodering succesvol was. *

* Na de decodering vindt u een rapportlogboek van het scan-/decoderingsproces in de hoofdmap van uw C:\-station (bijv. "C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).

5. Ga ten slotte door met het controleren en opschonen van uw systeem van malwareprogramma's die erop kunnen bestaan.

Bron – Aanvullende informatie:http://support.kaspersky.com/viruses/disinfection/4264#block2

Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev – Virusinformatie en decodering.

DeTrojan Ransom Xorist & Trojan Ransom Valdev, versleutelt bestanden met de volgende extensies:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, aas, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, inkt, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, auto, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, oorlog, xpi, z02, z04, zap, zipx, dierentuin, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atoom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, groot, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, kaart, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, triest, sav, scm, scx, sdt, spr, sud, uax, umx, uNR, uop, Verenigde Staten van Amerika, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, schijf, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, wmt, wks, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, kabeljauw, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, uil, pl, plc, pli, pm, res, rnc, rsrc, dus, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Na de infectie,Trojan Ransom Xorist brengt de beveiliging van uw computer in gevaar, maakt uw computer onstabiel en geeft berichten op uw scherm weer waarin losgeld wordt gevraagd om de geïnfecteerde bestanden te decoderen. De berichten bevatten ook informatie over hoe het losgeld te betalen om het decoderingshulpprogramma van de cybercriminelen te krijgen.

Hoe bestanden te decoderen die zijn geïnfecteerd met Trojan Win32.Xorist of Trojan MSIL.Vandev:

Advies: Kopieer alle geïnfecteerde bestanden naar een aparte map en sluit alle geopende programma's voordat u doorgaat met het scannen en decoderen van de getroffen bestanden.

1. Downloaden Xorist Decryptorhulpprogramma (van Kaspersky Labs) naar jouw computer.

2. Wanneer het downloaden is voltooid, voert u. uit XoristDecryptor.exe.

Opmerking: Als u de gecodeerde bestanden wilt verwijderen wanneer de decodering is voltooid, klikt u op de knop "Wijzig parameters” optie en vink de “Versleutelde bestanden verwijderen na decodering” selectievakje onder “Toegevoegde opties”.

3. Druk de "Start scan" knop.

afbeelding

4. Voer het pad van ten minste één versleuteld bestand in en wacht tot het hulpprogramma de versleutelde bestanden decodeert.

5. Als de decodering is gelukt, start u uw computer opnieuw op en scant en reinigt u uw systeem van eventuele malwareprogramma's.

Bron – Aanvullende informatie: http://support.kaspersky.com/viruses/disinfection/2911#block2

Trojan-Ransom. Win32.Rakhni – Virusinformatie en decodering.

De Trojan Ransom Rakhni versleutelt bestanden door bestandsextensies als volgt te wijzigen:

..
..
..
..
..
..
..
..
..
..pizda@qq_com

Na de codering zijn uw bestanden onbruikbaar en is uw systeembeveiliging in gevaar. Ook de Trojan-Ransom. Win32.Rakhni maakt een bestand aan op uw %APP DATA% map met de naam "exit.hhr.oshit” dat het versleutelde wachtwoord voor de geïnfecteerde bestanden bevat.

Waarschuwing: De Trojan-Ransom. Win32.Rakhni creëert de “exit.hhr.oshit”-bestand dat een gecodeerd wachtwoord voor de bestanden van de gebruiker bevat. Als dit bestand op de computer blijft staan, zal het ontsleuteld worden met de RakhniDecryptor nut sneller. Als het bestand is verwijderd, kan het worden hersteld met hulpprogramma's voor bestandsherstel. Nadat het bestand is hersteld, plaatst u het in %APP DATA% en voer de scan nogmaals uit met het hulpprogramma.

%APP DATA% map locatie:

  • WindowsXP: C:\Documenten en instellingen\\Applicatiegegevens
  • Vensters 7/8: C:\Gebruikers\\AppData\Roaming

Hoe u bestanden kunt ontsleutelen die zijn geïnfecteerd met Trojan Rakhni en uw bestanden terugkrijgen:

1. Downloaden Rakhni-decryptorhulpprogramma (van Kaspersky Labs) naar jouw computer.

2. Wanneer het downloaden is voltooid, voert u. uit RakhniDecryptor.exe.

Opmerking: Als u de gecodeerde bestanden wilt verwijderen wanneer de decodering is voltooid, klikt u op de knop "Wijzig parameters” optie en vink de “Versleutelde bestanden verwijderen na decodering” selectievakje onder “Toegevoegde opties”.

3. Druk de "Start scan” knop om uw schijven te scannen op versleutelde bestanden.

afbeelding

4. Voer het pad in van ten minste één versleuteld bestand (bijv. "bestand.doc.vergrendeld”) en wacht tot het hulpprogramma het wachtwoord van de “exit.hhr.oshit”-bestand (let op de Waarschuwing) en decodeert uw bestanden.

Bron – Aanvullende informatie: http://support.kaspersky.com/viruses/disinfection/10556#block2

Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) - Virusinformatie en decodering.

De Trojaans paard of Trojaans Cryakl versleutelt alle bestanden op uw computer op de volgende manier:

  • In het geval van een Trojan-Ransom. Win32.Ranno infectie, bestandsnamen en extensies worden gewijzigd volgens de sjabloon vergrendeld-..
  • In het geval van een Trojan-Ransom. Win32.Cryakl infectie, wordt de tag {CRYPTENDBLACKDC} toegevoegd aan het einde van bestandsnamen.

Hoe u bestanden kunt decoderen die zijn geïnfecteerd met Trojan Rannoh of Trojan Cryakl en uw bestanden terugkrijgen:

Belangrijk: DeRannoh-decryptor hulpprogramma decodeert bestanden door één versleuteld en één ontsleuteld bestand te vergelijken. Dus als je de. wilt gebruiken Rannoh-decryptor hulpprogramma om bestanden te decoderen, moet u een originele kopie hebben van ten minste één versleuteld bestand vóór de infectie (bijvoorbeeld van een schone back-up).

1. Downloaden Rannoh-decryptorhulpprogramma op uw computer.

2. Wanneer het downloaden is voltooid, voert u. uit RannohDecryptor.exe

Opmerking: Als u de versleutelde bestanden wilt verwijderen nadat het ontsleutelen is voltooid, klikt u op de knop "Wijzig parameters” optie en vink de “Versleutelde bestanden verwijderen na decodering” selectievakje onder “Toegevoegde opties”.

3. Druk de "Start scan" knop.

afbeelding

4. Lees de "Informatie benodigd” bericht en klik vervolgens op “Doorgaan” en specificeer het pad naar een originele kopie van ten minste één versleuteld bestand vóór de infectie (schoon - origineel - bestand) en het pad naar het versleutelde bestand (geïnfecteerd - versleuteld -bestand).

afbeelding

5. Na de decodering vindt u een rapportlogboek van het scan-/decoderingsproces in de hoofdmap van uw C:\-station. (bijv. “C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).

Bron – Aanvullende informatie: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (varianten: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc en .vvv)

De TeslaCrypt ransomware virus voegt de volgende extensies toe aan uw bestanden: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc en .vvv.

Hoe TeslaCrypt-bestanden te decoderen:

Als je geïnfecteerd bent met het TeslaCrypt-virus, gebruik dan een van deze tools om je bestanden te decoderen:

  1. Tesla-decoder: Meer informatie en instructies over het gebruik TeslaDecoder vindt u in dit artikel:  http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
  2. Trend Micro Ransomware Bestandsdecryptor.

TeslaCrypt V3.0 (varianten: .xxx, .ttt, .micro, .mp3)

De TeslaCrypt 3.0 ransomware virus voegt de volgende extensies toe aan uw bestanden: .xxx, .ttt, .micro & .mp3

Hoe TeslaCrypt V3.0-bestanden te decoderen:

Als je besmet bent met TeslaCrypt 3.0 probeer vervolgens uw bestanden te herstellen met:

  1. Trend's Micro Ransomware File Decryptor hulpmiddel.
  2. RakhniDecryptor (Doe-het-zelfgids)
  3. Tesla-decoder (Doe-het-zelfgids)
  4. Tesladecrypt – McAfee

TeslaCrypt V4.0 (Bestandsnaam en extensie zijn ongewijzigd)

Probeer een van de volgende hulpprogramma's om TeslaCrypt V4-bestanden te decoderen:

  1. Trend's Micro Ransomware File Decryptor hulpmiddel.
  2. RakhniDecryptor (Doe-het-zelfgids)
  3. Tesla-decoder (Doe-het-zelfgids)

EnzoS.
8 oktober 2016 om 8:01 uur