Kako dešifrirati ali vrniti šifrirane datoteke, okužene z znanimi šifrirnimi virusi izsiljevalske programske opreme.

MiscellaneaDec 19, 2021

V zadnjih letih kibernetski kriminalci distribuirajo novo vrsto virusov, ki lahko šifrirajo datoteke na vašem računalniku (ali omrežju) z namenom, da od svojih žrtev zaslužijo lahek denar. Te vrste virusov imenujemo »Ransomware« in lahko okužijo računalniške sisteme, če uporabnik računalnika ne bodite pozorni, ko odpirate priloge ali povezave neznanih pošiljateljev ali spletnih mest, ki so jih vdrli kibernetski kriminalci. Po mojih izkušnjah je edini varen način, da se zaščitite pred tovrstnimi virusi, da imate čiste varnostne kopije datotek, shranjene na ločenem mestu od računalnika. Na primer na odklopljenem zunanjem trdem disku USB ali na DVD-Romih.

Ta članek vsebuje pomembne informacije o nekaterih znanih šifrirnih ransomware – kriptovirusih, ki so bili zasnovani za šifrirajte kritične datoteke ter razpoložljive možnosti in pripomočke za dešifriranje vaših šifriranih datotek ob okužbi. Ta članek sem napisal, da bi vse informacije o razpoložljivih orodjih za dešifriranje obdržali na enem mestu in poskušal bom ta članek posodabljati. Prosimo, delite z nami svojo izkušnjo in vse druge nove informacije, ki jih morda poznate, da si lahko pomagamo.

Kako dešifrirati datoteke, šifrirane iz Ransomware – Opis in znana orodja za dešifriranje – Metode:

  • IME RANSOWARE
  • Cryptowall
  • CryptoDefence & How_Decrypt
  • Cryptorbit ali HowDecrypt
  • Cryptolocker (Troj/Ransom-ACP), »Trojan. Ransomcrypt. F)
  • CryptXXX V1, V2, V3 (Različice: .crypt, crypz ali 5 šestnajstiških znakov)
  • Locky & AutoLocky (različice: .locky)
  • Trojan-Ransom. Win32.Rektor
  • Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
  • Trojan-Ransom. Win32.Rakhni
  • Trojan-Ransom. Win32.Rannoh ali Trojan-Ransom. Win32.Cryakl.
  • TeslaCrypt (Različice: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc in .vvv)
  • TeslaCrypt 3.0 (Različice: .xxx, .ttt, .micro, .mp3)
  • TeslaCrypt 4.0 (ime datoteke in razširitev nespremenjena)

Posodobitve junija 2016:

1. Trend Micro je izdal a Dešifriranje datotek z izsiljevalsko programsko opremo orodje za poskus dešifriranja datotek, ki jih šifrirajo naslednje družine izsiljevalske programske opreme:

CryptXXX V1, V2, V3*.crypt, crypz ali 5 šestnajstiških znakov
CryptXXX V4, V5.5 Šestnajstiški znaki
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX ali TTT ali MP3 ali MICRO
TeslaCrypt V4.
SNSLocker.RSNSZaklenjeno
AutoLocky.locky
BadBlock
777.777
XORIST.xorist ali naključna razširitev
XORBAT.kriptirano
CERBER V1 <10 naključnih znakov>.cerber
Stampado.zaklenjeno
Nemucod.kriptirano
Himera.kripta

* Opomba: Velja za izsiljevalsko programsko opremo CryptXXX V3: zaradi naprednega šifriranja te posebne Crypto-Ransomware, samo delni podatki dešifriranje je trenutno možno za datoteke, na katere vpliva CryptXXX V3, in za popravilo morate uporabiti orodje za popravilo tretje osebe datoteke, kot so: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Če želite prenesti Trend Micro's Ransomware File Decrypter orodje (in prebrati navodila za uporabo), se pomaknite na to stran: Prenos in uporaba programa Trend Micro Ransomware File Decryptor

2. Kasperky je izdal naslednja orodja za dešifriranje:

A. Kasperskyjevo orodje RakhniDecryptor je zasnovan za dešifriranje datotek, na katere vpliva*:

* Opomba: Pripomoček RakhniDecryptor je vedno posodobljen za dešifriranje datotek iz več družin izsiljevalske programske opreme.

Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Kriptokluchen
Demokrija
Bitman – TeslaCrypt različice 3 in 4

B. Kasperskyjevo orodje RannohDecryptor je zasnovan za dešifriranje datotek, na katere vpliva:

Rannoh
AutoIt
Besnost
Crybola
Cryakl
CryptXXX različice 1 in 2

Cryptowall – Informacije o virusih in možnosti dešifriranja.

The Cryptowall (ali “Cryptowall Decrypter”) virus je nova različica Kriptoobramba ransomware virus. Ko je računalnik okužen z Cryptowall ransomware, nato vse kritične datoteke v računalniku (vključno z datotekami na preslikanih –omrežnih-pogonih, če ste prijavljeni v omrežje) postanejo šifrirani z močnim šifriranjem, zaradi česar je dešifriranje praktično nemogoče njim. Po Cryptowall šifriranje, virus ustvari in pošlje zasebni ključ (geslo) zasebnemu strežniku, da ga kriminalec uporabi za dešifriranje vaših datotek. Po tem zločinci obvestijo svoje žrtve, da so vse njihove kritične datoteke šifrirane in da jih lahko dešifrirajo edini način. plačati odkupnino v višini 500 $ (ali več) v določenem časovnem obdobju, sicer se bo odkupnina podvojila ali pa bodo njihove datoteke izgubljene trajno.

Kako dešifrirati datoteke, okužene s Cryptowall, in pridobiti datoteke nazaj:

Če želite dešifrirati Cryptowall šifrirane datoteke in vrnitev datotek, potem imate te možnosti:

A. Prva možnost je plačilo odkupnine. Če se odločite za to, nadaljujte s plačilom na lastno odgovornost, saj po naši raziskavi nekateri uporabniki dobijo svoje podatke nazaj, drugi pa ne. Ne pozabite, da kriminalci niso najbolj zaupanja vredni ljudje na planetu.

B. Druga možnost je, da očistite okuženi računalnik in nato obnovite okužene datoteke iz čiste varnostne kopije (če jo imate).

C. Če nimate čiste varnostne kopije, je edina možnost, ki ostane, obnovitev datotek v prejšnjih različicah iz »Senčne kopije”. Upoštevajte, da ta postopek deluje samo v operacijskih sistemih Windows 8, Windows 7 in Vista in samo, če je prikazano »Obnovitev sistema” je bila prej omogočena v vašem računalniku in ni bila onemogočena po Cryptowall okužba.

  • Referenčna povezava: Kako obnoviti datoteke iz senčnih kopij.

Podrobna analiza Cryptowall Okužba z ransomware in odstranitev najdete v tej objavi:

  • Kako odstraniti virus CryptoWall in obnoviti datoteke

CryptoDefense & How_Decrypt – Informacije o virusih in dešifriranje.

Kriptoobrambaje še en virus izsiljevalske programske opreme, ki lahko šifrira vse datoteke v vašem računalniku ne glede na njihovo razširitev (vrsto datoteke) z močnim šifriranjem, tako da jih je praktično nemogoče dešifrirati. Virus lahko onemogoči »Obnovitev sistema” na okuženem računalniku in lahko izbriše vse “Kopije senčnega obsega” datotek, zato svojih datotek ne morete obnoviti na prejšnje različice. Ob okužbi Kriptoobramba ransomware virus, ustvari dve datoteki v vsaki okuženi mapi (»How_Decrypt.txt« in »How_Decrypt.html«) s podrobnimi navodili, kako plačati odkupnino za dešifriranje vaših datotek in pošlje zasebni ključ (geslo) zasebnemu strežniku, da ga kriminalec uporabi za dešifriranje vaših datoteke.

Podrobna analiza Kriptoobramba Okužba z ransomware in odstranitev najdete v tej objavi:

  • Kako odstraniti virus CryptoDefense in obnoviti datoteke

Kako dešifrirati šifrirane datoteke Cryptodefense in pridobiti datoteke nazaj:

Za dešifriranje Kriptoobramba okužene datoteke imate te možnosti:

A. Prva možnost je plačilo odkupnine. Če se odločite za to, nadaljujte s plačilom na lastno odgovornost, saj po naši raziskavi nekateri uporabniki dobijo svoje podatke nazaj, drugi pa ne. Ne pozabite, da kriminalci niso najbolj zaupanja vredni ljudje na planetu.

B. Druga možnost je, da očistite okuženi računalnik in nato obnovite okužene datoteke iz čiste varnostne kopije (če jo imate).

C. Če nimate čiste varnostne kopije, lahko poskusite obnoviti datoteke v prejšnjih različicah iz »Senčne kopije”. Upoštevajte, da ta postopek deluje samo v operacijskih sistemih Windows 8, Windows 7 in Vista in samo, če je prikazano »Obnovitev sistema” je bila funkcija prej omogočena v vašem računalniku in ni bila onemogočena po Kriptoobramba okužba.

  • Referenčna povezava: Kako obnoviti datoteke iz senčnih kopij.

D. Končno, če nimate čiste varnostne kopije in ne morete obnoviti datotek iz »Senčne kopije«, potem lahko poskusite dešifrirati Kriptoobramba šifrirane datoteke z uporabo Emsisoftov dekriptor uporabnost. Če želite to narediti:

Pomembno obvestilo: Ta pripomoček deluje samo za računalnike, okužene pred 1. aprilom 2014.

1.PrenesiEmsisoft Decrypter” pripomoček za vaš računalnik (npr namizje).

b2xhvuud_thumb1

2. Ko je prenos končan, se pomaknite do svojega namizje in "Ekstrakt", "decrypt_cryptodefense.zip" mapa.

dešifrirati datoteke

3. zdaj dvojni klik zagnati "decrypt_cryptodefense” uporabnost.

wqv2umur_thumb3

4. Na koncu pritisnite "Dešifrirajte” za dešifriranje datotek.

vfdjlsa4_thumb

Vir – Dodatne informacije: Podrobna vadnica o tem, kako dešifrirati šifrirane datoteke CryptoDefense z uporabo Emsisoftov dešifriranje pripomoček najdete tukaj: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Cryptorbit ali HowDecrypt – Informacije o virusih in dešifriranje.

Cryptorbit oz KakoDecrypt virus je virus izsiljevalske programske opreme, ki lahko šifrira vse datoteke v vašem računalniku. Ko je vaš računalnik okužen s Cryptorbit virus so vse vaše kritične datoteke šifrirane ne glede na njihovo razširitev (vrsto datoteke) z močnim šifriranjem, zaradi česar jih je praktično nemogoče dešifrirati. Virus ustvari tudi dve datoteki v vsaki okuženi mapi na vašem računalniku (“HowDecrypt.txt” in “HowDecrypt.gif”) s podrobnimi navodili, kako lahko plačate odkupnino in dešifrirate svoje datoteke.

Podrobna analiza Cryptorbit Okužba z ransomware in odstranitev najdete v tej objavi:

  • Kako odstraniti virus Cryptorbit (HOWDECRYPT) in obnoviti svoje datoteke

Kako dešifrirati okužene datoteke s Cryptorbit in pridobiti datoteke nazaj:

Za dešifriranje Cryptorbit šifrirane datoteke imate te možnosti:

A. Prva možnost je plačilo odkupnine. Če se odločite za to, nadaljujte s plačilom na lastno odgovornost, saj po naši raziskavi nekateri uporabniki dobijo svoje podatke nazaj, drugi pa ne.

B. Druga možnost je, da očistite okuženi računalnik in nato obnovite okužene datoteke iz čiste varnostne kopije (če jo imate).

C. Če nimate čiste varnostne kopije, lahko poskusite obnoviti datoteke v prejšnjih različicah iz »Senčne kopije”. Upoštevajte, da ta postopek deluje samo v operacijskih sistemih Windows 8, Windows 7 in Vista in samo, če je prikazano »Obnovitev sistema” je bila funkcija prej omogočena v vašem računalniku in ni bila onemogočena po Cryptorbit okužba.

  • Referenčna povezava: Kako obnoviti datoteke iz senčnih kopij.

D. Končno, če nimate čiste varnostne kopije in ne morete obnoviti datotek iz »Senčne kopije«, potem lahko poskusite dešifrirati Cryptorbit's šifrirane datoteke z uporabo Anti-CryptorBit uporabnost. Če želite to narediti:

1.PrenesiAnti-CryptorBit” pripomoček za vaš računalnik (npr namizje)

anticryptobit-download3_thumb1

2. Ko je prenos končan, se pomaknite do svojega namizje in "Ekstrakt", "Anti-CryptorBitV2.zip" mapa.

sjfeqisk_thumb1

3. zdaj dvojni klik zagnati Anti-CryptorBitv2 uporabnost.

Anti-CryptorBit-V2_thumb1

4. Izberite vrsto datotek, ki jih želite obnoviti. (npr. »JPG«)

2driv1i3_thumb

5. Na koncu izberite mapo, ki vsebuje poškodovane/šifrirane (JPG) datoteke in nato pritisnite »Začni”, da jih popravite.

decrypt-cryptorbit-files_thumb

Cryptolocker – Informacije o virusih in dešifriranje.

Cryptolocker (poznan tudi kot "Troj/Ransom-ACP”, “trojanski. Ransomcrypt. F”) je grozen virus Ransomware (TROJAN) in ko okuži vaš računalnik, šifrira vse datoteke ne glede na njihovo razširitev (vrsto datoteke). Slaba novica tega virusa je, da ko okuži vaš računalnik, so vaše kritične datoteke šifrirane z močnim šifriranjem in jih je praktično nemogoče dešifrirati. Ko je računalnik okužen z virusom Cryptolocker, se na žrtvinem računalniku prikaže informacijsko sporočilo, ki zahteva plačilo (odkupnino) v višini 300 $ (ali več), da bi dešifrirali vaše datoteke.

Podrobna analiza Cryptolocker Okužba z ransomware in odstranitev najdete v tej objavi:

  • Kako odstraniti CryptoLocker Ransomware in obnoviti datoteke

Kako dešifrirati datoteke, okužene s Cryptolockerjem, in pridobiti datoteke nazaj:

Za dešifriranje Cryptolocker okužene datoteke imate te možnosti:

A. Prva možnost je plačilo odkupnine. Če se odločite za to, nadaljujte s plačilom na lastno odgovornost, saj po naši raziskavi nekateri uporabniki dobijo svoje podatke nazaj, drugi pa ne.

B. Druga možnost je, da očistite okuženi računalnik in nato obnovite okužene datoteke iz čiste varnostne kopije (če jo imate).

C. Če nimate čiste varnostne kopije, lahko poskusite obnoviti datoteke v prejšnjih različicah iz »Senčne kopije”. Upoštevajte, da ta postopek deluje samo v operacijskih sistemih Windows 8, Windows 7 in Vista in samo, če je prikazano »Obnovitev sistema” je bila funkcija prej omogočena v vašem računalniku in ni bila onemogočena po Cryptolocker okužba.

  • Referenčna povezava: Kako obnoviti datoteke iz senčnih kopij.

D. avgusta 2014 FireEye & Fox-IT so izdali novo storitev, ki pridobi zasebni ključ za dešifriranje za uporabnike, ki so bili okuženi z izsiljevalsko programsko opremo CryptoLocker. Storitev se imenuje 'DecryptCryptoLocker' (storitev je ukinjena), je na voljo po vsem svetu in od uporabnikov ne zahteva registracije ali posredovanja kontaktnih podatkov, da bi jo lahko uporabljali.

Za uporabo te storitve morate obiskati to spletno mesto: (storitev je ukinjena) in naložite eno šifrirano datoteko CryptoLocker iz okuženega računalnika (Obvestilo: naložite datoteko, ki ne vsebuje občutljivih in/ali zasebnih podatkov). Ko to storite, morate določiti e-poštni naslov, da boste prejeli svoj zasebni ključ in povezavo za prenos orodja za dešifriranje. Končno zaženite preneseno orodje za dešifriranje CryptoLocker (lokalno v vašem računalniku) in vnesite svoj zasebni ključ za dešifriranje šifriranih datotek CryptoLocker.

Več informacij o tej storitvi najdete tukaj: FireEye in Fox-IT napovedujeta novo storitev za pomoč žrtvam CryptoLocker.

DecryptCryptoLocker

CryptXXX V1, V2, V3 (Različice: .crypt, crypz ali 5 šestnajstiških znakov).

  • CryptXXX V1 & CryptXXX V2 ransomware šifrira vaše datoteke in doda pripono ".crypt" na koncu vsake datoteke po okužbi.
  • CryptXXX v3 doda razširitev ".cryptz" po šifriranju vaših datotek.

Trojanski CryptXXX šifrira naslednje vrste datotek:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .BOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX

Kako dešifrirati datoteke CryptXXX.

Če ste okuženi s CryptXXX različice 1 ali različice 2, uporabite Kasperskyjevo orodje RannohDecryptor za dešifriranje vaših datotek.

Če ste okuženi s CryptXXX različice 3, uporabite Trend Micro's Ransomware File Decryptor. *

Opomba: Zaradi naprednega šifriranja virusa CryptXXX V3 je trenutno možno le delno dešifriranje podatkov in za popravilo datotek morate uporabiti orodje za popravilo tretje osebe, kot so: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Locky & AutoLocky (različice: .locky)

Locky Izsiljevalska programska oprema šifrira vaše datoteke s šifriranjem RSA-2048 in AES-128 in po okužbi se vse vaše datoteke preimenujejo z edinstvenim – 32-znakovnim imenom datoteke s pripono ».locky« (npr.1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky virus lahko okuži lokalne ali omrežne pogone in med okužbo ustvari datoteko z imenom "_HELP_instructions.html" v vsaki okuženi mapi z navodili, kako lahko plačate odkupnino in dešifrirate svoje datoteke z brskalnikom TOR.

AutoLocky je še ena različica virusa Locky. Glavna razlika med Lockyjem in Autolockyjem je, da Autolocky med okužbo ne bo spremenil izvirnega imena datoteke. (npr. če je datoteka imenovana "Dokument 1.doc"pred okužbo ga Autolocky preimenuje v "Dokument1.doc.locky")

Kako dešifrirati datoteke .LOCKY:

  1. Prva možnost je, da očistite okuženi računalnik in nato obnovite okužene datoteke iz čiste varnostne kopije (če jo imate).
  2. Druga možnost, če nimate čiste varnostne kopije, je obnovitev datotek v prejšnjih različicah iz »Senčne kopije”. Kako obnoviti datoteke iz senčnih kopij.
  3. Tretja možnost je uporaba Emsisoftov Decrypter za AutoLocky za dešifriranje vaših datotek. (Orodje za dešifriranje deluje samo za Samodejno zaklepanje).

Trojan-Ransom. Win32.Rector – Informacije o virusih in dešifriranje.

The Trojanski rektor šifrira datoteke z naslednjimi končnicami: .doc, .jpg, .pdf.rar, in po okužbi to jih naredi neuporabne. Ko so vaše datoteke okužene z Trojanski rektor, nato se razširitve okuženih datotek spremenijo v .VSCRYPT, .OKUŽEN, .KORREKTOR oz .BLOC in zaradi tega so neuporabni. Ko poskušate odpreti okužene datoteke, se na vašem zaslonu prikaže sporočilo v cirilici, ki vsebuje zahtevo za odkupnino in podrobnosti za plačilo. Spletni kriminalec, ki naredi Trojanski rektor imenovano "††KOPPEKTOP†† in prosi za komunikacijo z njim po e-pošti ali ICQ (EMAIL: [email protected] / ICQ: 557973252 ali 481095), da bi mu dal navodila, kako odkleniti svoje datoteke.

Kako dešifrirati datoteke, okužene s Trojan Rector, in pridobiti datoteke nazaj:

nasvet: Kopirajte vse okužene datoteke v ločen imenik in zaprite vse odprte programe, preden nadaljujete s skeniranjem in dešifriranjem prizadetih datotek.

1. Prenesi Rektor Dešifratoruporabnost (od Kaspersky Labs) na svoj računalnik.

2. Ko je prenos končan, zaženite RectorDecryptor.exe.

3. Pritisnite "Začnite skeniranje” gumb za skeniranje vaših pogonov za šifrirane datoteke.

slika

4. Naj RectorDecryptor pripomoček za skeniranje in dešifriranje šifriranih datotek (s razširitvami .vscrypt, .infected, .bloc, .korrektor) in nato izberite možnost za "Po dešifriranju izbrišite šifrirane datoteke«, če je bilo dešifriranje uspešno. *

* Po dešifriranju lahko najdete dnevnik poročil o postopku skeniranja/dešifriranja v korenu vašega pogona C:\ (npr.C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).

5. Končno nadaljujte s preverjanjem in čiščenjem sistema pred zlonamernimi programi, ki morda obstajajo v njem.

Vir – Dodatne informacije:http://support.kaspersky.com/viruses/disinfection/4264#block2

Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev – Informacije o virusih in dešifriranje.

TheTrojan Ransom Xorist & Trojanec Ransom Valdev, šifrira datoteke z naslednjimi končnicami:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, val, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, človek, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, avto, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, zemljevid, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wks, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Po okužbi,Trojan Ransom Xorist ogroža varnost vašega računalnika, naredi vaš računalnik nestabilen in na zaslonu prikaže sporočila, ki zahtevajo odkupnino, da bi dešifrirali okužene datoteke. Sporočila vsebujejo tudi informacije o tem, kako plačati odkupnino, da bi od kibernetičnih kriminalcev pridobili pripomoček za dešifriranje.

Kako dešifrirati datoteke, okužene s Trojancem Win32.Xorist ali Trojancem MSIL.Vandev:

nasvet: Kopirajte vse okužene datoteke v ločen imenik in zaprite vse odprte programe, preden nadaljujete s skeniranjem in dešifriranjem prizadetih datotek.

1. Prenesi Xorist Decryptoruporabnost (od Kaspersky Labs) na svoj računalnik.

2. Ko je prenos končan, zaženite XoristDecryptor.exe.

Opomba: Če želite izbrisati šifrirane datoteke, ko je dešifriranje končano, kliknite »Spremenite parametre” in označite možnost “Po dešifriranju izbrišite šifrirane datoteke” potrditveno polje pod “Dodatne možnosti”.

3. Pritisnite "Začnite skeniranje” gumb.

slika

4. Vnesite pot vsaj ene šifrirane datoteke in počakajte, da pripomoček dešifrira šifrirane datoteke.

5. Če je bilo dešifriranje uspešno, znova zaženite računalnik in nato skenirajte in očistite sistem pred zlonamernimi programi, ki morda obstajajo v njem.

Vir – Dodatne informacije: http://support.kaspersky.com/viruses/disinfection/2911#block2

Trojan-Ransom. Win32.Rakhni – Informacije o virusih in dešifriranje.

The Trojan Ransom Rakhni šifrira datoteke tako, da spremeni razširitve datotek na naslednji način:

..
..
..
..
..
..
..
..
..
..pizda@qq_com

Po šifriranju so vaše datoteke neuporabne in varnost vašega sistema je ogrožena. Tudi Trojan-Ransom. Win32.Rakhni ustvari datoteko na vašem %PODATKI APLIKACIJE% mapa z imenom "izhod.hhr.oshit«, ki vsebuje šifrirano geslo za okužene datoteke.

Opozorilo: The Trojan-Ransom. Win32.Rakhni ustvarja "izhod.hhr.oshit” datoteko, ki vsebuje šifrirano geslo za uporabniške datoteke. Če ta datoteka ostane v računalniku, bo dešifrirala z RakhniDecryptor uporabnost hitreje. Če je bila datoteka odstranjena, jo je mogoče obnoviti s pripomočki za obnovitev datotek. Ko je datoteka obnovljena, jo vstavite %PODATKI APLIKACIJE% in še enkrat zaženite skeniranje s pripomočkom.

%PODATKI APLIKACIJE% lokacija mape:

  • Windows XP: C:\Documents and Settings\\Aplikacijski podatki
  • Windows 7/8: C:\Uporabniki\\AppData\Gostovanje

Kako dešifrirati datoteke, okužene s trojancem Rakhni, in pridobiti datoteke nazaj:

1. Prenesi Rakhni Decryptoruporabnost (od Kaspersky Labs) na svoj računalnik.

2. Ko je prenos končan, zaženite RakhniDecryptor.exe.

Opomba: Če želite izbrisati šifrirane datoteke, ko je dešifriranje končano, kliknite »Spremenite parametre” in označite možnost “Po dešifriranju izbrišite šifrirane datoteke” potrditveno polje pod “Dodatne možnosti”.

3. Pritisnite "Začnite skeniranje” za skeniranje vaših pogonov za šifrirane datoteke.

slika

4. Vnesite pot vsaj ene šifrirane datoteke (npr.datoteka.doc.zaklenjena”) in nato počakajte, da pripomoček obnovi geslo iz »izhod.hhr.oshit” datoteko (upoštevajte Opozorilo) in dešifrira vaše datoteke.

Vir – Dodatne informacije: http://support.kaspersky.com/viruses/disinfection/10556#block2

Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) – Informacije o virusih in dešifriranje.

The Trojan Rannoh oz Trojan Cryakl šifrira vse datoteke na vašem računalniku na naslednji način:

  • V primeru a Trojan-Ransom. Win32.Rannoh okužba, imena datotek in razširitve bodo spremenjena v skladu s predlogo zaklenjeno-..
  • V primeru a Trojan-Ransom. Win32.Cryakl okužbe, se oznaka {CRYPTENDBLACKDC} doda na konec imen datotek.

Kako dešifrirati datoteke, okužene s Trojan Rannoh ali Trojan Cryakl, in pridobiti svoje datoteke nazaj:

Pomembno: TheRannoh Decryptor pripomoček dešifrira datoteke tako, da primerja eno šifrirano in eno dešifrirano datoteko. Torej, če želite uporabiti Rannoh Decryptor pripomoček za dešifriranje datotek morate imeti originalno kopijo vsaj ene šifrirane datoteke pred okužbo (npr. iz čiste varnostne kopije).

1. Prenesi Rannoh Decryptorpripomoček za vaš računalnik.

2. Ko je prenos končan, zaženite RannohDecryptor.exe

Opomba: Če želite izbrisati šifrirane datoteke, ko je dešifriranje končano, kliknite »Spremenite parametre” in označite možnost “Po dešifriranju izbrišite šifrirane datoteke” potrditveno polje pod “Dodatne možnosti”.

3. Pritisnite "Začnite skeniranje” gumb.

slika

4. Preberi "Zahtevane informacije” sporočilo in nato kliknite “Nadaljuj” in podajte pot do izvirne kopije vsaj ene šifrirane datoteke pred okužbo (čisti – izvirnik – datoteka) in pot do šifrirane datoteke (okužena – šifrirana -datoteka).

slika

5. Po dešifriranju lahko najdete dnevnik poročil o postopku skeniranja/dešifriranja v korenu vašega pogona C:\. (npr. "C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).

Vir – Dodatne informacije: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (Različice: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc in .vvv)

The TeslaCrypt ransomware virus vašim datotekam doda naslednje razširitve: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc in .vvv.

Kako dešifrirati datoteke TeslaCrypt:

Če ste okuženi z virusom TeslaCrypt, uporabite eno od teh orodij za dešifriranje datotek:

  1. TeslaDekoder: Več informacij in navodil za uporabo TeslaDekoder najdete v tem članku:  http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
  2. Trend Micro Ransomware File Decryptor.

TeslaCrypt V3.0 (Različice: .xxx, .ttt, .micro, .mp3)

The TeslaCrypt 3.0 ransomware virus vašim datotekam doda naslednje razširitve: .xxx, .ttt, .micro & .mp3

Kako dešifrirati datoteke TeslaCrypt V3.0:

Če ste okuženi z TeslaCrypt 3.0 nato poskusite obnoviti svoje datoteke z:

  1. Trendov Micro Ransomware File Decryptor orodje.
  2. RakhniDecryptor (Kako voditi)
  3. Tesla dekoder (Kako voditi)
  4. Tesladecrypt – McAfee

TeslaCrypt V4.0 (ime in razširitev datoteke sta nespremenjena)

Če želite dešifrirati datoteke TeslaCrypt V4, poskusite z enim od naslednjih pripomočkov:

  1. Trendov Micro Ransomware File Decryptor orodje.
  2. RakhniDecryptor (Kako voditi)
  3. Tesla dekoder (Kako voditi)

EnzoS.
8. oktober 2016 ob 8.01