Како дешифровати или вратити шифроване датотеке заражене познатим вирусима рансомваре за шифровање.

Последњих година, сајбер криминалци дистрибуирају нову врсту вируса који могу да шифрују датотеке на вашем рачунару (или вашој мрежи) са циљем да лако зараде од својих жртава. Ова врста вируса се назива „Рансомваре“ и могу да заразе рачунарске системе ако корисник рачунара не обратите пажњу када отварате прилоге или везе од непознатих пошиљалаца или сајтова које су хаковали сајбер-криминалци. Према мом искуству, једини сигуран начин да се заштитите од ове врсте вируса јесте да имате чисте резервне копије ваших датотека које се чувају на месту одвојеном од рачунара. На пример, на искљученом екстерном УСБ чврстом диску или на ДВД-Ром-у.

Овај чланак садржи важне информације о неким познатим вирусима рансомваре-а за шифровање који су дизајнирани за шифрујте критичне датотеке плус доступне опције и услужне програме како бисте дешифровали ваше шифроване датотеке након инфекције. Написао сам овај чланак како бих све информације о доступним алатима за дешифровање сачувао на једном месту и трудићу се да овај чланак буде ажуриран. Молимо вас да поделите са нама своје искуство и све друге нове информације које можда знате како бисмо помогли једни другима.

Како дешифровати датотеке шифроване од Рансомваре-а – Опис и познати алати за дешифровање – Методе:

РАНСОВАРЕ НАМЕ
Цриптовалл
ЦриптоДефенсе & Хов_Децрипт
Црипторбит или ХовДецрипт
Цриптолоцкер (Трој/Рансом-АЦП), „Тројан. Рансомцрипт. Ф)
ЦриптКСКСКС В1, В2, В3 (варијанте: .црипт, црипз или 5 хексадецималних знакова)
Лоцки & АутоЛоцки (варијанте: .лоцки)
Тројан-Рансом. Вин32.Рецтор
Тројан-Рансом. Вин32.Ксорист, Тројан-Рансом. МСИЛ.Вандев
Тројан-Рансом. Вин32.Ракхни
Тројан-Рансом. Вин32.Раннох или Тројан-Рансом. Вин32.Цриакл.
ТеслаЦрипт (варијанте: .ецц, .езз, .екк, .киз, .ззз,. ааа, .абц, .ццц, & .ввв)
ТеслаЦрипт 3.0 (варијанте: .ккк, .ттт, .мицро, .мп3)
ТеслаЦрипт 4.0 (име датотеке и екстензија непромењени)

Ажурирања јуна 2016:

1. Тренд Мицро је објавио а Рансомваре Филе Децриптор алат за покушај дешифровања датотека које су шифровале следеће породице рансомвера:

ЦриптКСКСКС В1, В2, В3*.црипт, црипз или 5 хексадецималних знакова
ЦриптКСКСКС В4, В5.5 Хексадецимални знакови
ТеслаЦрипт В1.ЕЦЦ
ТеслаЦрипт В2.ВВВ, ЦЦЦ, ЗЗЗ, ААА, АБЦ, КСИЗ
ТеслаЦрипт В3.КСКСКС или ТТТ или МП3 или МИЦРО
ТеслаЦрипт В4.
СНСЛоцкер.РСНСЛоцкед
АутоЛоцки.лоцки
БадБлоцк
777.777
КСОРИСТ.корист или насумично проширење
КСОРБАТ.криптовано
ЦЕРБЕР В1 <10 насумичних знакова>.цербер
Стампадо.закључано
Немуцод.криптовано
Химера.црипт

* Белешка: Односи се на ЦриптКСКСКС В3 рансомваре: Због напредног шифровања овог конкретног Црипто-Рансомваре-а, само делимични подаци дешифровање је тренутно могуће на датотекама на које утиче ЦриптКСКСКС В3 и морате да користите алат за поправку треће стране да бисте поправили датотеке као што су: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Да бисте преузели Тренд Мицро-ов алат за дешифровање датотека за рансомваре (и прочитали упутства о томе како да га користите), идите на ову страницу: Преузимање и коришћење програма Тренд Мицро Рансомваре Филе Децриптор

2. Касперки је објавио следеће алате за дешифровање:

А. Касперскијев алат РакхниДецриптор је дизајниран да дешифрује датотеке на које утиче*:

* Белешка: Услужни програм РакхниДецриптор се увек ажурира да дешифрује датотеке из неколико породица рансомвера.

Ракхни
Агент.иих
Аура
Аутоит
Плетор
Ротор
Ламер
Лорток
Цриптоклуцхен
Демокрија
Битман – ТеслаЦрипт верзија 3 и 4

Б. Касперски-јев РаннохДецриптор алат је дизајниран да дешифрује датотеке на које утиче:

Раннох
АутоИт
Фури
Црибола
Цриакл
ЦриптКСКСКС верзије 1 и 2

Цриптовалл – Информације о вирусима и опције дешифровања.

Тхе Цриптовалл (или „Цриптовалл Децриптер”) вирус је нова варијанта Цриптодефенсе рансомваре вирус. Када је рачунар заражен са Цриптовалл рансомваре, затим све критичне датотеке на рачунару (укључујући датотеке на мапираним –мрежним- дисковима ако сте пријављени на мрежу) постају шифровани снажном енкрипцијом, што практично онемогућава дешифровање њих. После Цриптовалл енкрипцијом, вирус креира и шаље приватни кључ (лозинку) на приватни сервер како би га криминалац користио за дешифровање ваших датотека. Након тога, криминалци обавештавају своје жртве да су сви њихови критични фајлови шифровани и да је једини начин да их дешифрују платити откуп од 500$ (или више) у дефинисаном временском периоду, иначе ће откуп бити удвостручен или ће њихови фајлови бити изгубљени трајно.

Како дешифровати датотеке заражене Цриптовалл-ом и вратити ваше датотеке:

Ако желите да дешифрујете Цриптовалл шифроване датотеке и вратите своје датотеке, онда имате ове опције:

А. Прва опција је да платите откупнину. Ако одлучите да то урадите, наставите са плаћањем на сопствену одговорност јер према нашем истраживању неки корисници добијају назад своје податке, а неки не. Имајте на уму да криминалци нису људи од највећег поверења на планети.

Б. Друга опција је да очистите заражени рачунар, а затим да вратите заражене датотеке из чисте резервне копије (ако је имате).

Ц. Ако немате чисту резервну копију, једина опција која остаје је да вратите своје датотеке у претходне верзије из „Схадов Цопиес”. Имајте на уму да ова процедура функционише само у Виндовс 8, Виндовс 7 и Виста ОС и само ако је „Систем Ресторе” функција је претходно била омогућена на вашем рачунару и није онемогућена након Цриптовалл инфекција.

Референтни линк: Како да вратите своје датотеке из Схадов Цопиес.

Детаљна анализа о Цриптовалл Инфекција и уклањање рансомваре-а могу се наћи у овом посту:

Како уклонити ЦриптоВалл вирус и вратити своје датотеке

ЦриптоДефенсе & Хов_Децрипт – Информације о вирусима и дешифровање.

Цриптодефенсеје још један вирус рансомваре који може да шифрује све датотеке на вашем рачунару без обзира на њихову екстензију (тип датотеке) уз јаку енкрипцију, тако да је практично немогуће дешифровати их. Вирус може да онемогући „Систем Ресторе” на зараженом рачунару и може избрисати све „Схадов Волуме Цопиес” датотеке, тако да не можете да вратите своје датотеке на њихове претходне верзије. Након инфекције Цриптодефенсе рансомваре вирус, креира две датотеке у свакој зараженој фасцикли („Хов_Децрипт.ткт“ и „Хов_Децрипт.хтмл“) са детаљним упутствима о томе како да платите откупнине да би дешифровао ваше датотеке и шаље приватни кључ (лозинку) на приватни сервер како би га криминалац користио за дешифровање ваших фајлови.

Детаљна анализа о Цриптодефенсе Инфекција и уклањање рансомваре-а могу се наћи у овом посту:

Како уклонити ЦриптоДефенсе вирус и вратити своје датотеке

Како да дешифрујете Цриптодефенсе шифроване датотеке и вратите своје датотеке:

У циљу дешифровања Цриптодефенсе заражене датотеке имате ове опције:

А. Прва опција је да платите откупнину. Ако одлучите да то урадите, наставите са плаћањем на сопствену одговорност, јер према нашем истраживању, неки корисници добијају назад своје податке, а неки не. Имајте на уму да криминалци нису људи од највећег поверења на планети.

Ц. Ако немате чисту резервну копију, можете покушати да вратите своје датотеке у претходним верзијама из „Схадов Цопиес”. Имајте на уму да ова процедура функционише само у Виндовс 8, Виндовс 7 и Виста ОС и само ако је „Систем Ресторе” функција је претходно била омогућена на вашем рачунару и није онемогућена након Цриптодефенсе инфекција.

Референтни линк: Како да вратите своје датотеке из Схадов Цопиес.

Д. Коначно, ако немате чисту резервну копију и не можете да вратите своје датотеке из „Схадов Цопиес“, онда можете покушати да дешифрујете Цриптодефенсе шифроване датотеке коришћењем Емсисофтов декриптор корисност. Да то уради:

Важно ОБАВЕШТЕЊЕ: Овај услужни програм ради само за рачунаре заражене пре 1. априла 2014.

1.Преузимање “Емсисофт Децриптер” услужни програм на вашем рачунару (нпр Десктоп).

2. Када се преузимање заврши, идите на свој Десктоп и "Екстракт” тхе “децрипт_цриптодефенсе.зип” фајл.

3. Сада дупли клик покренути „децрипт_цриптодефенсе” корисност.

4. На крају притисните „Дешифрујте” дугме за дешифровање датотека.

Извор – Додатне информације: Детаљан водич о томе како дешифровати шифроване датотеке ЦриптоДефенсе користећи Емсисофтов дешифрован услужни програм се може наћи овде: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Црипторбит или ХовДецрипт – информације о вирусима и дешифровање.

Црипторбит или ХовДецрипт вирус је вирус рансомваре који може да шифрује све датотеке на вашем рачунару. Када је ваш рачунар заражен са Црипторбит вирус све ваше критичне датотеке су шифроване без обзира на њихову екстензију (тип датотеке) са јаком енкрипцијом која их чини практично немогућим дешифровањем. Вирус такође креира две датотеке у свакој зараженој фасцикли на вашем рачунару (“ХовДецрипт.ткт” и „ХовДецрипт.гиф”) са детаљним упутствима о томе како можете да платите откупнину и дешифрујете своје датотеке.

Детаљна анализа о Црипторбит Инфекција и уклањање рансомваре-а могу се наћи у овом посту:

Како уклонити Црипторбит (ХОВДЕЦРИПТ) вирус и вратити своје датотеке

Како да дешифрујете Црипторбит заражене датотеке и вратите своје датотеке:

У циљу дешифровања Црипторбит шифроване датотеке имате ове опције:

Ц. Ако немате чисту резервну копију, можете покушати да вратите датотеке у претходним верзијама из „Схадов Цопиес”. Имајте на уму да ова процедура функционише само у Виндовс 8, Виндовс 7 и Виста ОС и само ако је „Систем Ресторе” функција је претходно била омогућена на вашем рачунару и није онемогућена након Црипторбит инфекција.

Референтни линк: Како да вратите своје датотеке из Схадов Цопиес.

Д. Коначно, ако немате чисту резервну копију и не можете да вратите своје датотеке из „Схадов Цопиес” онда можете покушати да дешифрујете Црипторбит’с шифроване датотеке коришћењем Анти-ЦрипторБит корисност. Да то уради:

1.Преузимање “Анти-ЦрипторБит” услужни програм на вашем рачунару (нпр Десктоп)

2. Када се преузимање заврши, идите на свој Десктоп и "Екстракт” тхе “Анти-ЦрипторБитВ2.зип” фајл.

3. Сада дупли клик покренути Анти-ЦрипторБитв2 корисност.

4. Изаберите коју врсту датотека желите да опоравите. (нпр. „ЈПГ“)

5. На крају изаберите фасциклу која садржи оштећене/шифроване (ЈПГ) датотеке и затим притисните „Почетак” дугме да бисте их поправили.

Цриптолоцкер – информације о вирусима и дешифровање.

Цриптолоцкер (такође познат као "Трој/Рансом-АЦП”, “Тројан. Рансомцрипт. Ф”) је рансомваре вирус (ТРОЈАН) и када зарази ваш рачунар, шифрира све датотеке без обзира на њихову екстензију (тип датотеке). Лоша вест са овим вирусом је да, када једном зарази ваш рачунар, ваше критичне датотеке су шифроване снажном енкрипцијом и практично их је немогуће дешифровати. Када је рачунар заражен вирусом Цриптолоцкер, на рачунару жртве се појављује информативна порука која захтева плаћање (откупнину) од 300$ (или више) како би се ваше датотеке дешифровале.

Детаљна анализа о Цриптолоцкер Инфекција и уклањање рансомваре-а могу се наћи у овом посту:

Како уклонити ЦриптоЛоцкер Рансомваре и вратити своје датотеке

Како да дешифрујете датотеке заражене Цриптолоцкер-ом и вратите своје датотеке:

У циљу дешифровања Цриптолоцкер заражене датотеке имате ове опције:

Референтни линк: Како да вратите своје датотеке из Схадов Цопиес.

Д. У августу 2014. ФиреЕие & Фок-ИТ објавили су нову услугу која преузима приватни кључ за дешифровање за кориснике који су заражени ЦриптоЛоцкер рансомваре-ом. Услуга се зове 'ДецриптЦриптоЛоцкер' (услуга је прекинута), доступан је глобално и не захтева од корисника да се региструју или дају контакт информације да би га користили.

Да бисте користили ову услугу морате посетити овај сајт: (услуга је прекинута) и отпремите једну шифровану датотеку ЦриптоЛоцкер са зараженог рачунара (обавештење: отпремите датотеку која не садржи осетљиве и/или приватне информације). Након што то урадите, морате да наведете адресу е-поште да бисте добили свој приватни кључ и везу за преузимање алата за дешифровање. Коначно покрените преузети алат за дешифровање ЦриптоЛоцкер (локално на вашем рачунару) и унесите свој приватни кључ да бисте дешифровали своје ЦриптоЛоцкер шифроване датотеке.

Више информација о овој услузи можете пронаћи овде: ФиреЕие и Фок-ИТ најављују нову услугу за помоћ жртвама ЦриптоЛоцкер-а.

ЦриптКСКСКС В1, В2, В3 (варијанте: .црипт, црипз или 5 хексадецималних знакова).

ЦриптКСКСКС В1 & ЦриптКСКСКС В2 рансомваре шифрује ваше датотеке и додаје екстензију „.црипт“ на крају сваке датотеке након инфекције.
ЦриптКСКСКС в3 додаје екстензију ".цриптз" након шифровања ваших датотека.

Тројанац ЦриптКСКСКС шифрује следеће типове датотека:

.3ДМ, .3ДС, .3Г2, .3ГП, .7З, .АЦЦДБ, .АЕС, .АИ, .АИФ, .АПК, .АПП, .АРЦ, .АСЦ, .АСФ, .АСМ, .АСП, .АСПКС, АСКС, .АВИ, .БМП, .БРД, .БЗ2, .Ц, .ЦЕР, .ЦФГ, .ЦФМ, .ЦГИ, .ЦГМ, .ЦЛАСС, .ЦМД, .ЦПП, .ЦРТ, .ЦС, .ЦСР, .ЦСС, .ЦСВ, .ЦУЕ, .ДБ, .ДБФ, .ДЦХ, .ДЦУ, .ДДС, .ДИФ, .ДИП, .ДЈВ, .ДЈВУ, .ДОЦ, .ДОЦБ, .ДОЦМ, .ДОЦКС, .ДОТ, .ДОТМ, .ДОТКС, .ДТД, .ДВГ, .ДКСФ, .ЕМЛ, .ЕПС, .ФДБ, .ФЛА, .ФЛВ, .ФРМ, .ГАДГЕТ, .ГБК, .ГБР, .ГЕД, .ГИФ, .ГПГ, .ГПКС, .ГЗ, .Х, .Х, .ХТМ, .ХТМЛ, .ХВП, .ИБД, .ИБООКС, .ИФФ, .ИНДД, .ЈАР, .ЈАВА, .ЈКС, .ЈПГ, .ЈС, .ЈСП, .КЕИ, .КМЛ, .КМЗ, .ЛАИ, .ЛАИ6, .ЛДФ, .ЛУА, .М, .М3У, .М4А, .М4В, .МАКС, .МДБ, .МДФ, .МФД, .МИД, .МКВ, .ММЛ, .МОВ, .МП3, .МП4, .МПА, .МПГ, .МС11, .МСИ, .МИД, .МИИ, .НЕФ, .НОТЕ, .ОБЈ, .ОДБ, .ОДГ, .ОДП, .ОДС, .ОДТ, .ОТГ, .ОТП, .ОТС, .ОТТ, .П12, .ПАГЕС, .ПАК, .ПАС, .ПЦТ, .ПДБ, .ПДФ, .ПЕМ, .ПХП, .ПИФ, .ПЛ, .ПЛУГИН, .ПНГ, .ПОТ, .ПОТМ, .ПОТКС, .ППАМ, .ППС, .ППСМ, .ППСКС, .ППТ, .ППТМ, .ППТКС, .ПРФ, .ПРИВ, .ПРИВАТ, .ПС, ПСД, .ПСПИМАГЕ, .ПИ, .КЦОВ2, .РА, .РАР, .РАВ, .РМ, .РСС, .РТФ, .СЦХ, .СДФ, .СХ, .СИТКС, .СЛДКС, .СЛК, .СЛН, .СКЛ, .СКЛИТЕ, .СКЛИТЕ, .СРТ, .СТЦ, .СТД, .СТИ, .СТВ, .СВГ, .СВФ, .СКСЦ, .СКСД, .СКСИ, .СКСМ, .СКСВ, .ТАР, .ТБК, .ТЕКС, .ТГА, .ТГЗ, .ТХМ, .ТИФ, .ТИФФ, .ТЛБ, .ТМП, .ТКСТ, .УОП, .УОТ, .ВБ, .ВБС, .ВЦФ, .ВЦКСПРО, .ВДИ, .ВМДК, .ВМКС, .ВОБ, .ВАВ, .ВКС, .ВМА, .ВМВ, .ВПД, .ВПС, .ВСФ, .КСЦОДЕПРОЈ, .КСХТМЛ, .КСЛЦ, .КСЛМ, .КСЛР, .КСЛС, .КСЛСБ, .КСЛСМ, .КСЛСКС, .КСЛТ, .КСЛТМ, .КСЛТКС, .КСЛВ, .КСМЛ, .ИУВ,.ЗИП, .ЗИПКС

Како дешифровати ЦриптКСКСКС датотеке.

Ако сте заражени ЦриптКСКСКС верзијом 1 или верзијом 2, користите Касперски-јев РаннохДецриптор алат да дешифрујете своје датотеке.

Ако сте заражени ЦриптКСКСКС верзијом 3, користите Тренд Мицро-ов програм за дешифровање датотека за рансомваре. *

Белешка: Због напредног шифровања вируса ЦриптКСКСКС В3, тренутно је могуће само делимично дешифровање података и морате да користите алат за поправку треће стране да бисте поправили своје датотеке као што су: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Лоцки & АутоЛоцки (варијанте: .лоцки)

Лоцки рансомваре шифрује ваше датотеке користећи РСА-2048 и АЕС-128 енкрипцију и након инфекције све ваше датотеке се преименују са јединственим – 32 карактера – именом датотеке са екстензијом „.лоцки“ (нпр.1Е776633Б7Е6ДФЕ7АЦД1Б1А5Е9577БЦЕ.лоцки"). Лоцки вирус може да инфицира локалне или мрежне дискове и током инфекције креира датотеку под називом "_ХЕЛП_инструцтионс.хтмл" на сваком зараженом фолдеру, са упутствима о томе како можете да платите откупнину и дешифрујете своје датотеке помоћу ТОР претраживача.

АутоЛоцки је још једна варијанта Лоцки вируса. Главна разлика између Лоцки-ја и Аутолоцки-ја је у томе што Аутолоцки неће променити оригинално име датотеке током инфекције. (нпр. ако је датотека названа "Документ1.доц" пре инфекције, Аутолоцки га преименује у "Документ1.доц.лоцки")

Како дешифровати .ЛОЦКИ датотеке:

Прва опција је да очистите заражени рачунар, а затим да вратите заражене датотеке из чисте резервне копије (ако је имате).
Друга опција, ако немате чисту резервну копију, је да вратите своје датотеке у претходне верзије из „Схадов Цопиес”. Како да вратите своје датотеке из Схадов Цопиес.
Трећа опција је да користите Емсисофтов дешифровање за АутоЛоцки да дешифрујете своје датотеке. (Алат за дешифровање ради само за Аутолоцки).

Тројан-Рансом. Вин32.Рецтор – Информације о вирусима и дешифровање.

Тхе Тројан Рецтор шифрује датотеке са следећим екстензијама: .доц, .јпг, .пдф.рар, и после инфекције то чини их неупотребљивим. Једном када су ваше датотеке заражене са Тројански ректор, онда се екстензије заражених датотека мењају у .ВСЦРИПТ, .ЗАРАЖЕН, .КОРРЕКТОР или .БЛОЦ а то их чини неупотребљивим. Када покушате да отворите заражене датотеке, тада се на екрану приказује порука исписана ћирилицом која садржи захтев за откупнину и детаље за плаћање. Сајбер криминалац који прави Тројан Рецтор под називом „††КОППЕКТОП†† и тражи да комуницира са њим путем мејла или ИЦК-а (ЕМАИЛ: в-мартјанов@маил.ру / ИЦК: 557973252 или 481095) да би му дао упутства како да откључаш своје фајлове.

Како дешифровати датотеке заражене Тројан Рецтор-ом и вратити ваше датотеке:

савет: Копирајте све заражене датотеке у посебан директоријум и затворите све отворене програме пре него што наставите са скенирањем и дешифровањем захваћених датотека.

1. Преузимање Рецтор Децрипторкорисност (од Касперски Лабс) на рачунар.

2. Када се преузимање заврши, покрените РецторДецриптор.еке.

3. Притисните "Започни скенирање” да бисте скенирали ваше дискове у потрази за шифрованим датотекама.

4. Нека РецторДецриптор услужни програм за скенирање и дешифровање шифрованих датотека (са екстензијама .всцрипт, .инфецтед, .блоц, .корректор) а затим изаберите опцију за „Избришите шифроване датотеке након дешифровања” ако је дешифровање било успешно. *

* Након дешифровања можете пронаћи евиденцију извештаја процеса скенирања/дешифровања у корену вашег Ц:\ диска (нпр.Ц:\РецторДецриптор.2.3.7.0_10.02.2011_15.31.43_лог.ткт”).

5. Коначно наставите да проверавате и чистите свој систем од злонамерних програма који могу да постоје на њему.

Извор – Додатне информације:http://support.kaspersky.com/viruses/disinfection/4264#block2

Тројан-Рансом. Вин32.Ксорист, Тројан-Рансом. МСИЛ.Вандев – Информације о вирусима и дешифровање.

ТхеТројан Рансом Ксорист & Тројанац Рансом Валдев, шифрује датотеке са следећим екстензијама:

доц, клс, доцк, клск, дб, мп3, вав, јпг, јпег, ткт, ртф, пдф, рар, зип, псд, мси, тиф, вма, лнк, гиф, бмп, ппт, пптк, доцм, клсм, ппс, ппск, ппд, тифф, епс, пнг, аце, дјву, кмл, цдр, мак, вмв, ави, вав, мп4, пдд, хтмл, цсс, пхп, аац, ац3, амф, амр, мид, миди, ммф, мод, мп1, мпа, мпга, мпу, нрт, ога, огг, пбф, ра, рам, сирово, саф, вал, талас, вов, впк, 3г2, 3гп, 3гп2, 3мм, амк, авс, бик, бин, дир, дивк, двк, ево, флв, ктк, тцх, ртс, рум, рв, сцн, срт, стк, сви, свф, трп, вдо, вм, вмд, вммп, вмк, ввк, квид, 3д, 3д4, 3дф8, пбс, ади, аис, аму, арр, бмц, бмф, цаг, цам, днг, инк, јиф, јифф, јпц, јпф, јпв, маг, миц, мип, мсп, нав, нцд, одц, оди, опф, киф, ктик, срф, квд, абв, ацт, адт, аим, анс, асц, асе, бдп, бдр, биб, боц, црд, диз, дот, дотм, дотк, дви, дке, млк, ерр, еуц, фак, фдр, фдс, гтхр, идк, квд, лп2, лтр, човек, мбок, мсг, нфо, сада, одм, често, пви, рнг, ртк, рун, сса, тект, унк, вбк, всх, 7з, арц, ари, арј, ауто, цбр, цбз, гз, гзиг, јгз, пак, пцв, пуз, р00, р01, р02, р03, рев, сдн, сен, сфс, сфк, сх, схар, схр, скк, тбз2, тг, тлз, вси, вад, вар, кпи, з02, з04, зап, зипк, зоо, ипа, ису, јар, јс, удф, адр, ап, аро, аса, асцк, асхк, асмк, асп, аспк, аср, атом, бмл, цер, цмс, црт, дап, хтм, моз, свр, урл, вдгт, абк, биц, велики, блп, бсп, цгф, цхк, цол, цти, дем, елф, фф, гам, грф, х3м, х4р, ивд, лдб, лгп, лвл, мап, мд3, мдл, мм6, мм7, мм8, ндс, пбп, ппф, пвф, пкп, сад, сав, сцм, сцк, сдт, спр, суд, уак, умк, унр, уоп, уса, уск, ут2, ут3, утц, утк, увк, укк, вмф, втф, в3г, в3к, втд, втф, ццд, цд, цсо, диск, дмг, двд, фцд, флп, имг, исо, исз, мд0, мд1, мд2, мдф, мдс, нрг, нри, вцд, вхд, снп, бкф, аде, адпб, диц, ццх, цтт, дал, ддц, ддцк, дек, диф, дии, итдб, итл, кмз, лцд, лцф, мбк, мдн, одф, одп, одс, паб, пкб, пкх, пот, потк, пптм, пса, кдф, кел, ргн, ррт, рсв, рте, сдб, сдц, сдс, скл, стт, т01, т03, т05, тцк, тхмк, ткд, ткф, упои, вмт, вкс, вкс, клц, клр, клсб, клтк, лтм, клвк, мцд, цап, цц, цод, цп, цпп, цс, цси, дцп, дцу, дев, доб, док, дпк, дпл, дпр, дск, дсп, екл, ек, ф90, фла, за, фпп, јав, јава, лби, сова, пл, плц, пли, пм, рес, рнц, рсрц, со, свд, тпу, тпк, ту, тур, вц, иаб, 8ба, 8бц, 8бе, 8бф, 8би8, би8, 8бл, 8бс, 8бк, 8би, 8ли, аип, амкк, апе, апи, мкп, окт, кпк, ктр, кла, клам, клл, клв, кпт, цфг, цвф, дбб, слт, бп2, бп3, бпл, цлр, дбк, јц, потм, ппсм, прц, прт, схв, стд, вер, впл, клм, ипс, мд3.

Након инфекције,Тројан Рансом Ксорист компромитује безбедност вашег рачунара, чини ваш рачунар нестабилним и приказује поруке на вашем екрану које захтевају откуп да би се дешифровале заражене датотеке. Поруке такође садрже информације о томе како платити откупнину да бисте добили услужни програм за дешифровање од сајбер криминалаца.

Како дешифровати датотеке заражене Тројанцем Вин32.Ксорист или Тројанцем МСИЛ.Вандев:

1. Преузимање Ксорист Децрипторкорисност (од Касперски Лабс) на рачунар.

2. Када се преузимање заврши, покрените КсористДецриптор.еке.

Белешка: Ако желите да избришете шифроване датотеке када се дешифровање заврши, кликните на „Промените параметре” опцију и означите „Избришите шифроване датотеке након дешифровања” поље за потврду испод “Додатне опције”.

3. Притисните "Започни скенирање” дугме.

4. Унесите путању до најмање једне шифроване датотеке, а затим сачекајте док услужни програм не дешифрује шифроване датотеке.

5. Ако је дешифровање било успешно, поново покрените рачунар, а затим скенирајте и очистите систем од малвера који можда постоје на њему.

Извор – Додатне информације: http://support.kaspersky.com/viruses/disinfection/2911#block2

Тројан-Рансом. Вин32.Ракхни – Информације о вирусима и дешифровање.

Тхе Тројанац Рансом Ракхни шифрује датотеке променом екстензија датотека на следећи начин:

..
..
..
..
..
..
..
..
..
..пизда@кк_цом

Након шифровања, ваше датотеке су неупотребљиве и безбедност вашег система је угрожена. Такође и Тројан-Рансом. Вин32.Ракхни креира датотеку на вашем %АППДАТА% фасцикла под називом „екит.ххр.осхит” који садржи шифровану лозинку за заражене датотеке.

Упозорење: Тхе Тројан-Рансом. Вин32.Ракхни ствара „екит.ххр.осхит” датотека која садржи шифровану лозинку за датотеке корисника. Ако ова датотека остане на рачунару, извршиће дешифровање помоћу РакхниДецриптор корисност брже. Ако је датотека уклоњена, може се опоравити помоћу услужних програма за опоравак датотека. Након што се датотека опорави, ставите је у %АППДАТА% и још једном покрените скенирање помоћу услужног програма.

%АППДАТА% локација фасцикле:

Виндовс хр: Ц:\Доцументс анд Сеттингс\\Информације о алпикацији
Виндовс 7/8: Ц:\Корисници\\АппДата\Роаминг

Како дешифровати датотеке заражене Тројанцем Ракхни и вратити ваше датотеке:

1. Преузимање Ракхни Децрипторкорисност (од Касперски Лабс) на рачунар.

2. Када се преузимање заврши, покрените РакхниДецриптор.еке.

3. Притисните "Започни скенирање” дугме за скенирање ваших дискова у потрази за шифрованим датотекама.

4. Унесите путању најмање једне шифроване датотеке (нпр.филе.доц.лоцкед”), а затим сачекајте док услужни програм не поврати лозинку из „екит.ххр.осхит” фајл (имајте на уму Упозорење) и дешифрује ваше датотеке.

Извор – Додатне информације: http://support.kaspersky.com/viruses/disinfection/10556#block2

Тројан-Рансом. Вин32.Раннох (Тројан-Рансом. Вин32.Цриакл) – Информације о вирусима и дешифровање.

Тхе Тројан Раннох или Тројан Цриакл шифрује све датотеке на вашем рачунару на следећи начин:

У случају а Тројан-Рансом. Вин32.Раннох инфекције, имена датотека и екстензије ће бити промењени у складу са шаблоном закључаним-..
У случају а Тројан-Рансом. Вин32.Цриакл инфекције, ознака {ЦРИПТЕНДБЛАЦКДЦ} се додаје на крај назива датотека.

Како дешифровати датотеке заражене Тројанцем Раннох или Тројан Цриакл и вратити своје датотеке:

Важно: ТхеРаннох Децриптор услужни програм дешифрује датотеке упоређујући једну шифровану и једну дешифровану датотеку. Дакле, ако желите да користите Раннох Децриптор услужни програм за дешифровање датотека морате имати оригиналну копију најмање једне шифроване датотеке пре инфекције (нпр. из чисте резервне копије).

1. Преузимање Раннох Децрипторуслужни програм за ваш рачунар.

2. Када се преузимање заврши, покрените РаннохДецриптор.еке

3. Притисните "Започни скенирање” дугме.

4. Прочитајте "Потребне информације” поруку, а затим кликните на „Настави” и наведите путању до оригиналне копије најмање једне шифроване датотеке пре инфекције (чист – оригинал – датотека) и путању до шифроване датотеке (заражена – шифрована -датотека).

5. Након дешифровања, можете пронаћи евиденцију извештаја процеса скенирања/дешифровања у корену вашег Ц:\ диска. (на пример. "Ц:\РаннохДецриптор.1.1.0.0_02.05.2012_15.31.43_лог.ткт”).

Извор – Додатне информације: http://support.kaspersky.com/viruses/disinfection/8547#block1

ТеслаЦрипт (варијанте: .ецц, .езз, .екк, .киз, .ззз,. ааа, .абц, .ццц, & .ввв)

Тхе ТеслаЦрипт рансомваре вирус додаје следеће екстензије вашим датотекама: .ецц, .езз, .екк, .киз, .ззз,. ааа, .абц, .ццц, & .ввв.

Како дешифровати ТеслаЦрипт датотеке:

Ако сте заражени ТеслаЦрипт вирусом, користите један од ових алата за дешифровање датотека:

ТеслаДекодер: Више информација и упутства о употреби ТеслаДецодер може се наћи у овом чланку: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
Тренд Мицро Рансомваре Филе Децриптор.

ТеслаЦрипт В3.0 (варијанте: .ккк, .ттт, .мицро, .мп3)

Тхе ТеслаЦрипт 3.0 рансомваре вирус додаје следеће екстензије вашим датотекама: .ккк, .ттт, .мицро & .мп3

Како дешифровати ТеслаЦрипт В3.0 датотеке:

Ако сте заражени са ТеслаЦрипт 3.0 затим покушајте да опоравите своје датотеке помоћу:

Трендов Мицро Рансомваре Филе Децриптор оруђе.
РакхниДецриптор (Како водити)
Тесла декодер (Како водити)
Тесладецрипт – МцАфее

ТеслаЦрипт В4.0 (име датотеке и екстензија су непромењени)

Да бисте дешифровали ТеслаЦрипт В4 датотеке, испробајте један од следећих услужних програма:

Трендов Мицро Рансомваре Филе Децриптор оруђе.
РакхниДецриптор (Како водити)
Тесла декодер (Како водити)

ЕнзоС.
8. октобар 2016. у 8:01