Nos últimos anos, os cibercriminosos distribuíram um novo tipo de vírus que pode criptografar arquivos no seu computador (ou na sua rede) com o objetivo de ganhar dinheiro fácil com suas vítimas. Este tipo de vírus é chamado de “Ransomware” e eles podem infectar sistemas de computador se o usuário do computador não preste atenção ao abrir anexos ou links de remetentes desconhecidos ou sites que foram invadidos por cibercriminosos. Pela minha experiência, a única maneira segura de se manter protegido contra este tipo de vírus, é ter backups limpos de seus arquivos armazenados em local separado do computador. Por exemplo, em um disco rígido USB externo desconectado ou em um DVD-Rom.
Este artigo contém informações importantes sobre alguns ransomware criptografados conhecidos - vírus criptografados que foram projetados para criptografar arquivos críticos, além das opções e utilitários disponíveis para descriptografar seus arquivos criptografados após a infecção. Escrevi este artigo para manter todas as informações para as ferramentas de descriptografia disponíveis em um só lugar e tentarei mantê-lo atualizado. Por favor, compartilhe conosco sua experiência e qualquer outra informação nova que você possa saber para ajudar uns aos outros.
Como descriptografar arquivos criptografados de Ransomware - Descrição e ferramentas de descriptografia conhecidas - Métodos:
- NOME DO RANSOWARE
- Cryptowall
- CryptoDefense e How_Decrypt
- Criptorbit ou HowDecrypt
- Cryptolocker (Troj / Ransom-ACP ”,“ Trojan. Ransomcrypt. F)
- CryptXXX V1, V2, V3 (variantes: .crypt, crypz ou 5 caracteres hexadecimais)
- Locky e AutoLocky (variantes: .locky)
- Trojan-Ransom. Win32.Rector
- Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
- Trojan-Ransom. Win32.Rakhni
- Trojan-Ransom. Win32.Rannoh ou Trojan-Ransom. Win32.Cryakl.
- TeslaCrypt (variantes: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)
- TeslaCrypt 3.0 (variantes: .xxx, .ttt, .micro, .mp3)
- TeslaCrypt 4.0 (nome de arquivo e extensão inalterados)
Atualizações de junho de 2016:
1. Trend Micro lançou um Ransomware File Decryptor ferramenta para tentar descriptografar arquivos criptografados pelas seguintes famílias de ransomware:
CryptXXX V1, V2, V3 *
.crypt, crypz ou 5 caracteres hexadecimais
CryptXXX V4, V5.5 Caracteres hexadecimais
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX ou TTT ou MP3 ou MICRO
TeslaCrypt V4.
SNSLocker.RSNSLocked
AutoLocky.locky
Bloco ruim
777.777
XORIST.xorist ou extensão aleatória
XORBAT.crypted
CERBER V1 <10 caracteres aleatórios> .cerber
Stampado.locked
Nemucod.crypted
Quimera.cripta
* Observação: Aplica-se ao ransomware CryptXXX V3: devido à criptografia avançada deste Crypto-Ransomware específico, apenas dados parciais A descriptografia é atualmente possível em arquivos afetados por CryptXXX V3, e você tem que usar uma ferramenta de reparo de terceiros para reparar seu arquivos como: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Para baixar a ferramenta Ransomware File Decrypter da Trend Micro (e ler as instruções sobre como usá-la), navegue até esta página: Baixando e usando o Trend Micro Ransomware File Decryptor
2. Kasperky lançou as seguintes ferramentas de descriptografia:
UMA. Ferramenta RakhniDecryptor da Kaspersky é projetado para descriptografar arquivos afetados por *:
* Observação: O utilitário RakhniDecryptor é sempre atualizado para descriptografar arquivos de várias famílias de ransomware.
Rakhni
Agente.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Cryptokluchen
Democry
Bitman - TeslaCrypt versão 3 e 4B. Ferramenta RannohDecryptor da Kaspersky é projetado para descriptografar arquivos afetados por:
Rannoh
AutoIt
Fúria
Cribola
Cryakl
CryptXXX versões 1 e 2
Cryptowalll - Informações sobre vírus e opções de descriptografia.
O Cryptowall (ou "Cryptowall Decrypter”) Vírus é a nova variante de Cryptodefense vírus ransomware. Quando um computador é infectado com Cryptowall ransomware, então todos os arquivos críticos no computador (incluindo os arquivos em unidades de rede mapeadas, se você conectado em uma rede) são criptografados com criptografia forte, o que torna praticamente impossível descriptografar eles. Depois de Cryptowall criptografia, o vírus cria e envia a chave privada (senha) para um servidor privado, a fim de ser usada pelo criminoso para descriptografar seus arquivos. Depois disso, os criminosos informam às vítimas que todos os seus arquivos críticos estão criptografados e que a única maneira de descriptografá-los é pagar um resgate de 500 $ (ou mais) em um período de tempo definido, caso contrário o resgate será duplicado ou seus arquivos serão perdidos permanentemente.
Como descriptografar arquivos infectados com Cryptowall e recuperá-los:
Se você quiser descriptografar Cryptowall arquivos criptografados e receba seus arquivos de volta, então você tem estas opções:
UMA. A primeira opção é pagar o resgate. Se você decidir fazer isso, prossiga com o pagamento por sua própria conta e risco, porque de acordo com nossa pesquisa, alguns usuários obtêm seus dados de volta e outros não. Lembre-se de que os criminosos não são as pessoas mais confiáveis do planeta.
B. A segunda opção é limpar o computador infectado e, em seguida, restaurar os arquivos infectados de um backup limpo (se houver).
C. Se você não tiver um backup limpo, a única opção que resta é restaurar seus arquivos em versões anteriores de “Cópias de sombra”. Observe que este procedimento funciona apenas no Windows 8, Windows 7 e Vista OS e somente se o “Restauração do sistema”Recurso foi habilitado anteriormente em seu computador e não foi desabilitado após o Cryptowall infecção.
- Link de referência: Como restaurar seus arquivos de cópias de sombra.
Uma análise detalhada de Cryptowall A infecção e remoção de ransomware podem ser encontradas nesta postagem:
- Como remover o vírus CryptoWall e restaurar seus arquivos
CryptoDefense & How_Decrypt - Informações sobre vírus e descriptografia.
Cryptodefenseé outro vírus ransomware que pode criptografar todos os arquivos em seu computador, independentemente de sua extensão (tipo de arquivo), com criptografia forte de forma que torna praticamente impossível descriptografá-los. O vírus pode desativar o “Restauração do sistema”Recurso no computador infectado e pode excluir todos os“Cópias de volume de sombra”, Para que você não possa restaurar seus arquivos para suas versões anteriores. Após a infecção Cryptodefense vírus ransomware, cria dois arquivos em cada pasta infectada (“How_Decrypt.txt” e “How_Decrypt.html”) com instruções detalhadas sobre como pagar o resgate para descriptografar seus arquivos e enviar a chave privada (senha) para um servidor privado a fim de ser usada pelo criminoso para descriptografar seu arquivos.
Uma análise detalhada de Cryptodefense A infecção e remoção de ransomware podem ser encontradas nesta postagem:
- Como remover o vírus CryptoDefense e restaurar seus arquivos
Como descriptografar arquivos criptografados do Cryptodefense e recuperá-los:
Para descriptografar Cryptodefense arquivos infectados, você tem estas opções:
UMA. A primeira opção é pagar o resgate. Se você decidir fazer isso, prossiga com o pagamento por sua própria conta e risco, pois de acordo com nossa pesquisa, alguns usuários obtêm seus dados de volta e outros não. Lembre-se de que os criminosos não são as pessoas mais confiáveis do planeta.
B. A segunda opção é limpar o computador infectado e, em seguida, restaurar os arquivos infectados de um backup limpo (se houver).
C. Se você não tiver um backup limpo, pode tentar restaurar seus arquivos em versões anteriores de “Cópias de sombra”. Observe que este procedimento funciona apenas no Windows 8, Windows 7 e Vista OS e somente se o “Restauração do sistema”Recurso foi habilitado anteriormente em seu computador e não foi desabilitado após o Cryptodefense infecção.
- Link de referência: Como restaurar seus arquivos de cópias de sombra.
D. Finalmente, se você não tiver um backup limpo e não puder restaurar seus arquivos de “Cópias de sombra”, Então você pode tentar descriptografar Cryptodefense’s arquivos criptografados usando o Descriptografador da Emsisoft Utilitário. Fazer isso:
Notícia importante: Este utilitário funciona apenas para computadores infectados antes de 1º de abril de 2014.
1.Download “Emsisoft Decrypter”Utilitário para o seu computador (por exemplo, o seu Área de Trabalho).
2. Quando o download for concluído, navegue até o seu Área de Trabalho e "Extrair" a "decrypt_cryptodefense.zip" Arquivo.
3. Agora Duplo click para executar o “decrypt_cryptodefense ” Utilitário.
4. Por fim, pressione o botão “Descriptografar”Para descriptografar seus arquivos.
Fonte - Informações adicionais: Um tutorial detalhado sobre como descriptografar arquivos criptografados CryptoDefense usando Decifrador da Emsisoft utilitário pode ser encontrado aqui: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit ou HowDecrypt - Informações sobre vírus e descriptografia.
Criptórbita ou HowDecrypt virus é um vírus ransomware que pode criptografar todos os arquivos do seu computador. Assim que o seu computador estiver infectado com Criptórbita vírus todos os seus arquivos críticos são criptografados, independentemente de sua extensão (tipo de arquivo), com criptografia forte que torna praticamente impossível descriptografá-los. O vírus também cria dois arquivos em cada pasta infectada em seu computador (“HowDecrypt.txt”E“ HowDecrypt.gif ”) com instruções detalhadas sobre como você pode pagar o resgate e descriptografar seus arquivos.
Uma análise detalhada de Criptórbita A infecção e remoção de ransomware podem ser encontradas nesta postagem:
- Como remover o vírus Cryptorbit (HOWDECRYPT) e restaurar seus arquivos
Como descriptografar arquivos infectados com Cryptorbit e recuperá-los:
Para descriptografar Criptórbita arquivos criptografados, você tem estas opções:
UMA. A primeira opção é pagar o resgate. Se você decidir fazer isso, prossiga com o pagamento por sua própria conta e risco, porque de acordo com nossa pesquisa, alguns usuários obtêm seus dados de volta e outros não.
B. A segunda opção é limpar o computador infectado e, em seguida, restaurar os arquivos infectados de um backup limpo (se houver).
C. Se você não tiver um backup limpo, pode tentar restaurar seus arquivos em versões anteriores de “Cópias de sombra”. Observe que este procedimento funciona apenas no Windows 8, Windows 7 e Vista OS e somente se o “Restauração do sistema”Recurso foi habilitado anteriormente em seu computador e não foi desabilitado após o Criptórbita infecção.
- Link de referência: Como restaurar seus arquivos de cópias de sombra.
D. Finalmente, se você não tiver um backup limpo e não puder restaurar seus arquivos de “Cópias de sombra”Então você pode tentar descriptografar Criptórbita arquivos criptografados usando o Anti-CryptorBit Utilitário. Fazer isso:
1.Download “Anti-CryptorBit”Utilitário para o seu computador (por exemplo, o seu Área de Trabalho)
2. Quando o download for concluído, navegue até o seu Área de Trabalho e "Extrair" a "Anti-CryptorBitV2.zip" Arquivo.
3. Agora Duplo click para executar o Anti-CryptorBitv2 Utilitário.
4. Escolha o tipo de arquivo que deseja recuperar. (por exemplo, “JPG”)
5. Por fim, escolha a pasta que contém os arquivos corrompidos / criptografados (JPG) e pressione o botão “Começar”Para corrigi-los.
Cryptolocker - Informações sobre vírus e descriptografia.
Cryptolocker (também conhecido como "Troj / Ransom-ACP”, “Trojan. Ransomcrypt. F”) É um vírus desagradável Ransomware (TROJAN) e, quando infecta o seu computador, criptografa todos os arquivos, independentemente de sua extensão (tipo de arquivo). A má notícia com este vírus é que, uma vez infectado seu computador, seus arquivos críticos são criptografados com criptografia forte e é praticamente impossível descriptografá-los. Depois que um computador é infectado com o vírus Cryptolocker, uma mensagem de informação aparece no computador da vítima exigindo um pagamento (resgate) de 300 $ (ou mais) para descriptografar seus arquivos.
Uma análise detalhada de Cryptolocker A infecção e remoção de ransomware podem ser encontradas nesta postagem:
- Como remover o CryptoLocker Ransomware e restaurar seus arquivos
Como descriptografar arquivos infectados com Cryptolocker e recuperá-los:
Para descriptografar Cryptolocker arquivos infectados, você tem estas opções:
UMA. A primeira opção é pagar o resgate. Se você decidir fazer isso, prossiga com o pagamento por sua própria conta e risco, porque de acordo com nossa pesquisa, alguns usuários obtêm seus dados de volta e outros não.
B. A segunda opção é limpar o computador infectado e, em seguida, restaurar os arquivos infectados de um backup limpo (se houver).
C. Se você não tiver um backup limpo, pode tentar restaurar seus arquivos em versões anteriores de “Cópias de sombra”. Observe que este procedimento funciona apenas no Windows 8, Windows 7 e Vista OS e somente se o “Restauração do sistema”Recurso foi habilitado anteriormente em seu computador e não foi desabilitado após o Cryptolocker infecção.
- Link de referência: Como restaurar seus arquivos de cópias de sombra.
D. Em agosto de 2014, FireEye & Fox-IT lançaram um novo serviço que recupera a chave de descriptografia privada para usuários que foram infectados pelo ransomware CryptoLocker. O serviço é denominado 'DecryptCryptoLocker' (o serviço foi descontinuado), está disponível globalmente e não exige que os usuários se registrem ou forneçam informações de contato para usá-lo.
Para utilizar este serviço, você deve visitar este site: (o serviço foi descontinuado) e fazer upload de um arquivo criptografado do CryptoLocker do computador infectado (Aviso: faça upload de um arquivo que não contenha informações confidenciais e / ou privadas). Depois de fazer isso, você deve especificar um endereço de e-mail para receber sua chave privada e um link para baixar a ferramenta de descriptografia. Por fim, execute a ferramenta de descriptografia CryptoLocker baixada (localmente em seu computador) e insira sua chave privada para descriptografar seus arquivos criptografados do CryptoLocker.
Mais informações sobre este serviço podem ser encontradas aqui: FireEye e Fox-IT anunciam novo serviço para ajudar vítimas do CryptoLocker.
CryptXXX V1, V2, V3 (variantes: .crypt, crypz ou 5 caracteres hexadecimais).
- CryptXXX V1 & CryptXXX V2 O ransomware criptografa seus arquivos e adiciona a extensão ".crypt" no final de cada arquivo após a infecção.
- CryptXXX v3 adiciona a extensão ".cryptz" após a criptografia de seus arquivos.
O trojan CryptXXX criptografa os seguintes tipos de arquivos:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX
Como descriptografar arquivos CryptXXX.
Se você estiver infectado com CryptXXX Versão 1 ou Versão 2, use Ferramenta RannohDecryptor da Kaspersky para descriptografar seus arquivos.
Se você estiver infectado com CryptXXX Versão 3, use Descriptografador de arquivo ransomware da Trend Micro. *
Observação: Devido à criptografia avançada do vírus CryptXXX V3, apenas a descriptografia parcial dos dados é possível e você deve usar uma ferramenta de reparo de terceiros para reparar seus arquivos, como: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Locky e AutoLocky (variantes: .locky)
Locky O ransomware criptografa seus arquivos usando criptografia RSA-2048 e AES-128 e, após a infecção, todos os seus arquivos são renomeados com um nome de arquivo exclusivo - 32 caracteres com a extensão ".locky" (por exemplo, "1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky o vírus pode infectar unidades locais ou de rede e, durante a infecção, cria um arquivo chamado "_HELP_instructions.html"em todas as pastas infectadas, com instruções sobre como você pode pagar o resgate e descriptografar seus arquivos usando o navegador TOR.
AutoLocky é outra variante do vírus Locky. A principal diferença entre o Locky e o Autolocky é que o Autolocky não altera o nome original do arquivo durante a infecção. (por exemplo, se um arquivo for denominado "Document1.doc"antes da infecção, o Autolocky o renomeia para"Document1.doc.locky")
Como descriptografar arquivos .LOCKY:
- A primeira opção é limpar o computador infectado e, em seguida, restaurar os arquivos infectados de um backup limpo (se houver).
- A segunda opção, se você não tiver um backup limpo, é restaurar seus arquivos em versões anteriores de “Cópias de sombra”. Como restaurar seus arquivos de cópias de sombra.
- A terceira opção é usar o Decrypter da Emsisoft para AutoLocky para descriptografar seus arquivos. (A ferramenta de descriptografia está funcionando apenas para Autolocky).
Trojan-Ransom. Win32.Rector - Informações sobre vírus e descriptografia.
O Trojan Rector criptografa arquivos com as seguintes extensões: .doc, .jpg, .pdf.rar, e depois da infecção isto torna-os inutilizáveis. Assim que seus arquivos estiverem infectados com Trojan Rector, então as extensões dos arquivos infectados são alteradas para .VSCRYPT, .INFETADO, .KORREKTOR ou .BLOCO e isso os torna inutilizáveis. Quando você tenta abrir os arquivos infectados, uma mensagem em caracteres cirílicos é exibida na tela, contendo o pedido de resgate e os detalhes do pagamento. O cibercriminoso que faz o Trojan Rector chamado "††KOPPEKTOP†† e pede para se comunicar com ele por e-mail ou ICQ (EMAIL: [email protected] / ICQ: 557973252 ou 481095) para dar instruções sobre como desbloquear seus arquivos.
Como descriptografar arquivos infectados com Trojan Rector e recuperá-los:
Adendo: Copie todos os arquivos infectados em um diretório separado e feche todos os programas abertos antes de verificar e descriptografar os arquivos afetados.
1. Download Rector Decryptorutilitário (de Kaspersky Labs) para o seu computador.
2. Quando o download for concluído, execute RectorDecryptor.exe.
3. Aperte o "Inicia escaneamento”Para escanear seus drives para os arquivos criptografados.
4. Deixe o RectorDecryptor utilitário para escanear e descriptografar os arquivos criptografados (com extensões .vscrypt, .infected, .bloc, .korrektor) e selecione a opção “Exclua os arquivos criptografados após a descriptografia”Se a descriptografia foi bem-sucedida. *
* Após a descriptografia, você pode encontrar um registro de relatório do processo de digitalização / descriptografia na raiz de sua unidade C: \ (por exemplo, “C: \ RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).
5. Finalmente, continue a verificar e limpar seu sistema de programas de malware que possam existir nele.
Fonte - Informações adicionais:http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev - Informações sobre vírus e descriptografia.
OTrojan Ransom Xorist & Trojan Ransom Valdev, criptografa arquivos com as seguintes extensões:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, guerra, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, átomo, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, eua, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disco, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Após a infecção,Trojan Ransom Xorist compromete a segurança do seu computador, torna o seu computador instável e exibe mensagens na tela exigindo um resgate para descriptografar os arquivos infectados. As mensagens também contêm informações sobre como pagar o resgate para obter o utilitário de descriptografia dos cibercriminosos.
Como descriptografar arquivos infectados com Trojan Win32.Xorist ou Trojan MSIL.Vandev:
Adendo: Copie todos os arquivos infectados em um diretório separado e feche todos os programas abertos antes de verificar e descriptografar os arquivos afetados.
1. Download Xorist Decryptorutilitário (de Kaspersky Labs) para o seu computador.
2. Quando o download for concluído, execute XoristDecryptor.exe.
Observação: Se você deseja excluir os arquivos criptografados quando a descriptografia for concluída, clique no botão “Alterar parâmetros”E marque a opção“Exclua os arquivos criptografados após a descriptografia”Caixa de seleção em“Opções adicionais”.
3. Aperte o "Inicia escaneamento" botão.
4. Insira o caminho de pelo menos um arquivo criptografado e aguarde até que o utilitário descriptografe os arquivos criptografados.
5. Se a descriptografia for bem-sucedida, reinicie o computador e verifique e limpe o sistema de programas de malware que possam existir nele.
Fonte - Informações adicionais: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom. Win32.Rakhni - Informações sobre vírus e descriptografia.
O Trojan Ransom Rakhni criptografa arquivos alterando as extensões de arquivo da seguinte maneira:
Após a criptografia, seus arquivos ficam inutilizáveis e a segurança do sistema fica comprometida. Também o Trojan-Ransom. Win32.Rakhni cria um arquivo em seu %DADOS DO APLICATIVO% pasta chamada “exit.hhr.oshit”Que contém a senha criptografada para os arquivos infectados.
Aviso: O Trojan-Ransom. Win32.Rakhni cria o “exit.hhr.oshit”Arquivo que contém uma senha criptografada para os arquivos do usuário. Se este arquivo permanecer no computador, ele fará a descriptografia com o RakhniDecryptor utilitário mais rápido. Se o arquivo foi removido, ele pode ser recuperado com utilitários de recuperação de arquivo. Depois que o arquivo for recuperado, coloque-o em %DADOS DO APLICATIVO% e execute a varredura com o utilitário mais uma vez.
%DADOS DO APLICATIVO% localização da pasta:
-
Windows XP: C: \ Documents and Settings \
\Dados de aplicativos -
Windows 7/8: C: \ Usuários \
\ AppData \ Roaming
Como descriptografar arquivos infectados com Trojan Rakhni e recuperá-los:
1. Download Rakhni Decryptorutilitário (de Kaspersky Labs) para o seu computador.
2. Quando o download for concluído, execute RakhniDecryptor.exe.
Observação: Se você deseja excluir os arquivos criptografados quando a descriptografia for concluída, clique no botão “Alterar parâmetros”E marque a opção“Exclua os arquivos criptografados após a descriptografia”Caixa de seleção em“Opções adicionais”.
3. Aperte o "Inicia escaneamento”Para verificar se há arquivos criptografados em suas unidades.
4. Insira o caminho de pelo menos um arquivo criptografado (por exemplo, “file.doc.locked”) E aguarde até que o utilitário recupere a senha do“exit.hhr.oshit”Arquivo (lembre-se do Aviso) e descriptografa seus arquivos.
Fonte - Informações adicionais: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) - Informações sobre vírus e descriptografia.
O Trojan Rannoh ou Trojan Cryakl criptografa todos os arquivos em seu computador da seguinte maneira:
- No caso de um Trojan-Ransom. Win32.Rannoh infecção, nomes de arquivos e extensões serão alterados de acordo com o modelo bloqueado-
. . - No caso de um Trojan-Ransom. Win32.Cryakl infecção, a tag {CRYPTENDBLACKDC} é adicionada ao final dos nomes dos arquivos.
Como descriptografar arquivos infectados com Trojan Rannoh ou Trojan Cryakl e obter seus arquivos de volta:
Importante: ORannoh Decryptor utilitário descriptografa arquivos comparando um arquivo criptografado e um descriptografado. Então, se você quiser usar o Rannoh Decryptor utilitário para descriptografar arquivos, você deve possuir uma cópia original de pelo menos um arquivo criptografado antes da infecção (por exemplo, de um backup limpo).
1. Download Rannoh Decryptorutilitário para o seu computador.
2. Quando o download for concluído, execute RannohDecryptor.exe
Observação: Se você deseja excluir os arquivos criptografados assim que a descriptografia for concluída, clique no botão “Alterar parâmetros”E marque a opção“Exclua os arquivos criptografados após a descriptografia”Caixa de seleção em“Opções adicionais”.
3. Aperte o "Inicia escaneamento" botão.
4. Leia o "Informação necessária”Mensagem e clique em“Continuar”E especifique o caminho para uma cópia original de pelo menos um arquivo criptografado antes da infecção (limpo - original - arquivo) e o caminho para o arquivo criptografado (infectado - arquivo criptografado).
5. Após a descriptografia, você pode encontrar um log de relatório do processo de digitalização / descriptografia na raiz da unidade C: \. (por exemplo. "C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).
Fonte - Informações adicionais: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (variantes: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)
O TeslaCrypt O vírus ransomware adiciona as seguintes extensões aos seus arquivos: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv.
Como descriptografar arquivos TeslaCrypt:
Se você estiver infectado com o vírus TeslaCrypt, use uma destas ferramentas para descriptografar seus arquivos:
- TeslaDecoder: Mais informações e instruções sobre como usar TeslaDecoder pode ser encontrado neste artigo: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
- Trend Micro Ransomware File Decryptor.
TeslaCrypt V3.0 (variantes: .xxx, .ttt, .micro, .mp3)
O TeslaCrypt 3.0 O vírus ransomware adiciona as seguintes extensões aos seus arquivos: .xxx, .ttt, .micro e .mp3
Como descriptografar arquivos TeslaCrypt V3.0:
Se você está infectado com TeslaCrypt 3.0 em seguida, tente recuperar seus arquivos com:
- Micro Ransomware File Decryptor da Trend ferramenta.
- RakhniDecryptor (Como orientar)
- Tesla Decoder (Como orientar)
- Tesladecrypt - McAfee
TeslaCrypt V4.0 (o nome do arquivo e a extensão não foram alterados)
Para descriptografar arquivos TeslaCrypt V4, tente um dos seguintes utilitários:
- Micro Ransomware File Decryptor da Trend ferramenta.
- RakhniDecryptor (Como orientar)
- Tesla Decoder (Como orientar)
EnzoS.
8 de outubro de 2016 às 8:01