Under de senaste åren har cyberkriminella distribuerat en ny typ av virus som kan kryptera filer på din dator (eller ditt nätverk) i syfte att tjäna lätta pengar från sina offer. Denna typ av virus kallas "Ransomware" och de kan infektera datorsystem om datorns användare inte var uppmärksam när du öppnar bilagor eller länkar från okända avsändare eller webbplatser som har hackats av cyberkriminella. Enligt min erfarenhet är det enda säkra sättet att hålla sig skyddad från den här typen av virus att ha rena säkerhetskopior av dina filer lagrade på en separat plats från din dator. Till exempel i en urkopplad extern USB-hårddisk eller i DVD-romskivor.
Den här artikeln innehåller viktig information om några kända krypterande ransomware-krypteringsvirus som utformats för kryptera viktiga filer plus tillgängliga alternativ och verktyg för att dekryptera dina krypterade filer vid infektion. Jag skrev den här artikeln för att hålla all information för de tillgängliga dekrypteringsverktygen på ett ställe och jag kommer att försöka hålla den här artikeln uppdaterad. Dela gärna med dig av dina erfarenheter och all annan ny information du kanske känner till för att hjälpa varandra.
Hur man dekrypterar filer krypterade från Ransomware – Beskrivning och kända dekrypteringsverktyg – Metoder:
- RANSOWARE NAMN
- Kryptovägg
- CryptoDefense & How_Decrypt
- Cryptorbit eller HowDecrypt
- Cryptolocker (Troj/Ransom-ACP", "Trojan. Ransomcrypt. F)
- CryptXXX V1, V2, V3 (Varianter: .crypt, crypz eller 5 hexadecimala tecken)
- Locky & AutoLocky (varianter: .locky)
- Trojan-Ransom. Win32.Rektor
- Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
- Trojan-Ransom. Win32.Rakhni
- Trojan-Ransom. Win32.Rannoh eller Trojan-Ransom. Win32.Cryakl.
- TeslaCrypt (varianter: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc och .vvv)
- TeslaCrypt 3.0 (varianter: .xxx, .ttt, .micro, .mp3)
- TeslaCrypt 4.0 (filnamn och tillägg oförändrade)
Uppdateringar juni 2016:
1. Trend Micro har släppt en Ransomware File Decryptor verktyg för att försöka dekryptera filer krypterade av följande ransomware-familjer:
CryptXXX V1, V2, V3*
.crypt, crypz eller 5 hexadecimala tecken
CryptXXX V4, V5.5 Hexadecimala tecken
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX eller TTT eller MP3 eller MICRO
TeslaCrypt V4.
SNSLocker.RSNSLåst
AutoLocky.låst
BadBlock
777.777
XORIST.xorist eller slumpmässig förlängning
XORBAT.krypterad
CERBER V1 <10 slumpmässiga tecken>.cerber
Stampado.låst
Nemucod.krypterad
Chimär.krypta
* Notera: Gäller CryptXXX V3 ransomware: På grund av den avancerade krypteringen av just denna Crypto-Ransomware, endast partiell data dekryptering är för närvarande möjlig på filer som påverkas av CryptXXX V3, och du måste använda ett reparationsverktyg från tredje part för att reparera din filer som: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
För att ladda ner Trend Micros Ransomware File Decrypter-verktyg (och läs instruktionerna om hur du använder det), navigera till den här sidan: Ladda ner och använda Trend Micro Ransomware File Decryptor
2. Kasperky har släppt följande dekrypteringsverktyg:
A. Kasperskys verktyg RakhniDecryptor är utformad för att dekryptera filer som påverkas av*:
* Notera: RakhniDecryptor-verktyget uppdateras alltid för att dekryptera filer från flera ransomware-familjer.
Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Kryptokluchen
Demokrati
Bitman – TeslaCrypt version 3 och 4B. Kasperskys RannohDecryptor-verktyg är utformad för att dekryptera filer som påverkas av:
Rannoh
AutoIt
Raseri
Crybola
Cryakl
CryptXXX version 1 och 2
Cryptowalll – Virusinformation och dekrypteringsalternativ.
De Kryptovägg (eller "Cryptowall Decrypter”) virus är den nya varianten av Kryptoförsvar ransomware-virus. När en dator är infekterad med Kryptovägg ransomware, sedan alla viktiga filer på datorn (inklusive filerna på mappade –nätverksenheter om du inloggad i ett nätverk) blir krypterad med stark kryptering, vilket gör det praktiskt taget omöjligt att dekryptera dem. Efter Kryptovägg kryptering, viruset skapar och skickar den privata nyckeln (lösenordet) till en privat server för att användas från brottslingen för att dekryptera dina filer. Efter det informerar brottslingarna sina offer om att alla deras kritiska filer är krypterade och det enda sättet att dekryptera dem är att betala en lösensumma på 500$ (eller mer) under en definierad tidsperiod, annars kommer lösensumman att fördubblas eller deras filer kommer att gå förlorade permanent.
Hur du dekrypterar Cryptowall-infekterade filer och får tillbaka dina filer:
Om du vill dekryptera Kryptovägg krypterade filer och få tillbaka dina filer, då har du dessa alternativ:
A. Det första alternativet är att betala lösensumman. Om du bestämmer dig för att göra det, fortsätt med betalningen på egen risk eftersom enligt vår forskning får vissa användare tillbaka sina uppgifter och andra inte. Tänk på att brottslingar inte är de mest pålitliga människorna på planeten.
B. Det andra alternativet är att rensa den infekterade datorn och sedan återställa dina infekterade filer från en ren säkerhetskopia (om du har en).
C. Om du inte har en ren säkerhetskopia är det enda alternativet som återstår att återställa dina filer i tidigare versioner från "Skuggkopior”. Observera att denna procedur endast fungerar i Windows 8, Windows 7 och Vista OS och endast om "Systemåterställning”-funktionen var tidigare aktiverad på din dator och inaktiverades inte efter Kryptovägg infektion.
- Remisslänk: Hur du återställer dina filer från Shadow Copies.
En detaljerad analys av Kryptovägg ransomware infektion och borttagning kan hittas i det här inlägget:
- Hur man tar bort CryptoWall-virus och återställer dina filer
CryptoDefense & How_Decrypt – Virusinformation och dekryptering.
Kryptoförsvarär ett annat ransomware-virus som kan kryptera alla filer på din dator oavsett deras förlängning (filtyp) med stark kryptering så att det gör det praktiskt taget omöjligt att dekryptera dem. Viruset kan inaktivera "Systemåterställning”-funktionen på den infekterade datorn och kan ta bort alla ”Skuggvolymkopior”-filer, så du kan inte återställa dina filer till deras tidigare versioner. Vid infektion Kryptoförsvar ransomware-virus, skapar två filer på varje infekterad mapp ("How_Decrypt.txt" och "How_Decrypt.html") med detaljerade instruktioner om hur man betalar lösen för att dekryptera dina filer och skickar den privata nyckeln (lösenordet) till en privat server för att användas av brottslingen för att dekryptera din filer.
En detaljerad analys av Kryptoförsvar ransomware infektion och borttagning kan hittas i det här inlägget:
- Hur man tar bort CryptoDefense-virus och återställer dina filer
Hur man dekrypterar Cryptodefense-krypterade filer och får tillbaka dina filer:
För att dekryptera Kryptoförsvar infekterade filer har du dessa alternativ:
A. Det första alternativet är att betala lösensumman. Om du bestämmer dig för att göra det, fortsätt med betalningen på egen risk eftersom enligt vår forskning får vissa användare tillbaka sina uppgifter och andra inte. Tänk på att brottslingar inte är de mest pålitliga människorna på planeten.
B. Det andra alternativet är att rensa den infekterade datorn och sedan återställa dina infekterade filer från en ren säkerhetskopia (om du har en).
C. Om du inte har en ren säkerhetskopia kan du försöka återställa dina filer i tidigare versioner från "Skuggkopior”. Observera att denna procedur endast fungerar i Windows 8, Windows 7 och Vista OS och endast om "Systemåterställning”-funktionen var tidigare aktiverad på din dator och inaktiverades inte efter Kryptoförsvar infektion.
- Remisslänk: Hur du återställer dina filer från Shadow Copies.
D. Slutligen, om du inte har en ren säkerhetskopia och du inte kan återställa dina filer från "Skuggkopior”, då kan du försöka dekryptera Cryptodefense krypterade filer med hjälp av Emsisofts Decryptor verktyg. Att göra det:
Viktigt meddelande: Det här verktyget fungerar endast för datorer infekterade före 1 april 2014.
1.Ladda ner “Emsisoft Decrypter” till din dator (t.ex. din Skrivbord).
2. När nedladdningen är klar, navigera till din Skrivbord och "Extrahera"den"decrypt_cryptodefense.zip" fil.
3. Nu dubbelklicka att köra "decrypt_cryptodefense" verktyg.
4. Tryck slutligen på "Avkryptera”-knappen för att dekryptera dina filer.
Källa – Ytterligare information: En detaljerad handledning om hur man dekrypterar CryptoDefense-krypterade filer med Emsisofts dekryptering verktyget finns här: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit eller HowDecrypt – Virusinformation och dekryptering.
Kryptorbit eller HowDecrypt virus är ett ransomware-virus som kan kryptera alla filer på din dator. När din dator är infekterad med Kryptorbit virus alla dina kritiska filer krypteras oavsett deras förlängning (filtyp) med stark kryptering som gör det praktiskt taget omöjligt att dekryptera dem. Viruset skapar också två filer på varje infekterad mapp på din dator (“HowDecrypt.txt” och “HowDecrypt.gif”) med detaljerade instruktioner om hur du kan betala lösen och dekryptera dina filer.
En detaljerad analys av Kryptorbit ransomware infektion och borttagning kan hittas i det här inlägget:
- Hur man tar bort Cryptorbit (HOWDECRYPT) virus och återställer dina filer
Hur du dekrypterar Cryptorbit-infekterade filer och får tillbaka dina filer:
För att dekryptera Kryptorbit krypterade filer har du dessa alternativ:
A. Det första alternativet är att betala lösensumman. Om du bestämmer dig för att göra det, fortsätt med betalningen på egen risk eftersom enligt vår forskning får vissa användare tillbaka sina uppgifter och andra inte.
B. Det andra alternativet är att rensa den infekterade datorn och sedan återställa dina infekterade filer från en ren säkerhetskopia (om du har en).
C. Om du inte har en ren säkerhetskopia kan du försöka återställa dina filer i tidigare versioner från "Skuggkopior”. Observera att denna procedur endast fungerar i Windows 8, Windows 7 och Vista OS och endast om "Systemåterställning”-funktionen var tidigare aktiverad på din dator och inaktiverades inte efter Kryptorbit infektion.
- Remisslänk: Hur du återställer dina filer från Shadow Copies.
D. Slutligen, om du inte har en ren säkerhetskopia och du inte kan återställa dina filer från "Skuggkopior” då kan du försöka dekryptera Cryptorbits krypterade filer med hjälp av Anti-CryptorBit verktyg. Att göra det:
1.Ladda ner “Anti-CryptorBit” till din dator (t.ex. din Skrivbord)
2. När nedladdningen är klar, navigera till din Skrivbord och "Extrahera"den"Anti-CryptorBitV2.zip" fil.
3. Nu dubbelklicka att köra Anti-CryptorBitv2 verktyg.
4. Välj vilken typ av filer du vill återställa. (t.ex. "JPG")
5. Välj slutligen mappen som innehåller de korrupta/krypterade (JPG) filerna och tryck sedan på "Start”-knappen för att fixa dem.
Cryptolocker – Virusinformation och dekryptering.
Kryptolås (också känd som "Troj/Ransom-ACP”, “Trojan. Ransomcrypt. F”) är ett otäckt Ransomware-virus (TROJAN) och när det infekterar din dator krypterar det alla filer oavsett deras förlängning (filtyp). De dåliga nyheterna med detta virus är att, när det väl infekterar din dator, krypteras dina kritiska filer med stark kryptering och det är praktiskt taget omöjligt att dekryptera dem. När en dator är infekterad med Cryptolocker-virus, visas ett informationsmeddelande på offrets dator som kräver en betalning (lösensumma) på 300 $ (eller mer) för att dekryptera dina filer.
En detaljerad analys av Kryptolås ransomware infektion och borttagning kan hittas i det här inlägget:
- Hur man tar bort CryptoLocker Ransomware och återställer dina filer
Hur man dekrypterar Cryptolocker-infekterade filer och får tillbaka dina filer:
För att dekryptera Kryptolås infekterade filer har du dessa alternativ:
A. Det första alternativet är att betala lösensumman. Om du bestämmer dig för att göra det, fortsätt med betalningen på egen risk eftersom enligt vår forskning får vissa användare tillbaka sina uppgifter och andra inte.
B. Det andra alternativet är att rensa den infekterade datorn och sedan återställa dina infekterade filer från en ren säkerhetskopia (om du har en).
C. Om du inte har en ren säkerhetskopia kan du försöka återställa dina filer i tidigare versioner från "Skuggkopior”. Observera att denna procedur endast fungerar i Windows 8, Windows 7 och Vista OS och endast om "Systemåterställning”-funktionen var tidigare aktiverad på din dator och inaktiverades inte efter Kryptolås infektion.
- Remisslänk: Hur du återställer dina filer från Shadow Copies.
D. I augusti 2014 FireEye & Fox-IT har släppt en ny tjänst som hämtar den privata dekrypteringsnyckeln för användare som infekterats av CryptoLocker ransomware. Tjänsten heter 'DecryptCryptoLocker' (tjänsten har upphört), den är tillgänglig globalt och kräver inte att användare registrerar sig eller tillhandahåller kontaktinformation för att kunna använda den.
För att använda denna tjänst måste du besöka denna sida: (tjänsten har upphört) och ladda upp en krypterad CryptoLocker-fil från den infekterade datorn (Obs: ladda upp en fil som inte innehåller känslig och/eller privat information). När du har gjort det måste du ange en e-postadress för att få din privata nyckel och en länk för att ladda ner dekrypteringsverktyget. Kör slutligen det nedladdade CryptoLocker-dekrypteringsverktyget (lokalt på din dator) och ange din privata nyckel för att dekryptera dina CryptoLocker-krypterade filer.
Mer information om denna tjänst finns här: FireEye och Fox-IT tillkännager ny tjänst för att hjälpa CryptoLocker-offer.
CryptXXX V1, V2, V3 (Varianter: .crypt, crypz eller 5 hexadecimala tecken).
- CryptXXX V1 & CryptXXX V2 ransomware krypterar dina filer och lägger till tillägget ".crypt" i slutet av varje fil efter infektion.
- CryptXXX v3 lägger till tillägget ".cryptz" efter kryptering av dina filer.
Trojanen CryptXXX krypterar följande typer av filer:
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .KLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV,.ZIP, .ZIPX
Hur man dekrypterar CryptXXX-filer.
Om du är infekterad med CryptXXX version 1 eller version 2, använd sedan Kasperskys RannohDecryptor-verktyg för att dekryptera dina filer.
Om f du är infekterad med CryptXXX version 3, använd Trend Micros Ransomware File Decryptor. *
Notera: På grund av den avancerade krypteringen av CryptXXX V3-virus är endast partiell datadekryptering för närvarande möjlig och du måste använda ett reparationsverktyg från tredje part för att reparera dina filer som: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php
Locky & AutoLocky (varianter: .locky)
Locky ransomware krypterar dina filer med RSA-2048- och AES-128-kryptering och efter infektionen döps alla dina filer om till ett unikt – 32 tecken- filnamn med tillägget ".locky" (t.ex. "1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky virus kan infektera lokala eller nätverksenheter och under infektion skapar en fil med namnet "_HELP_instructions.html" på varje infekterad mapp, med instruktioner om hur du kan betala lösen och dekryptera dina filer med TOR-webbläsaren.
AutoLocky är en annan variant av Locky-virus. Den största skillnaden mellan Locky och Autolocky är att Autolocky inte kommer att ändra det ursprungliga namnet på filen under infektion. (t.ex. om en fil heter "Dokument1.doc" före infektion döper Autolocky om det till "Document1.doc.locky")
Så här dekrypterar du .LOCKY-filer:
- Det första alternativet är att rengöra den infekterade datorn och sedan återställa dina infekterade filer från en ren säkerhetskopia (om du har en).
- Det andra alternativet, om du inte har en ren säkerhetskopia, är att återställa dina filer i tidigare versioner från "Skuggkopior”. Hur du återställer dina filer från Shadow Copies.
- Det tredje alternativet är att använda Emsisofts Decrypter för AutoLocky för att dekryptera dina filer. (Dekrypteringsverktyget fungerar endast för Autolocky).
Trojan-Ransom. Win32.Rector – Virusinformation och dekryptering.
De trojansk rektor krypterar filer med följande tillägg: .doc, .jpg, .pdf.rar, och efter infektionen Det gör dem oanvändbara. När dina filer är infekterade med trojansk rektor, sedan ändras filändelserna för de infekterade filerna till .VSCRYPT, .INFEKTERAD, .KORREKTOR eller .BLOCK och detta gör dem oanvändbara. När du försöker öppna de infekterade filerna visas ett meddelande med kyrilliska tecken på din skärm som innehåller kravet på lösen och detaljerna för betalningen. Den cyberbrottsling som gör trojansk rektor kallas "††KOPPEKTOPP†† och ber att få kommunicera med honom via e-post eller ICQ (EMAIL: [email protected] / ICQ: 557973252 eller 481095) för att ge instruktioner om hur du låser upp dina filer.
Så här dekrypterar du filer infekterade med Trojan Rector och får tillbaka dina filer:
Råd: Kopiera alla infekterade filer till en separat katalog och stäng alla öppna program innan du fortsätter att skanna och dekryptera de berörda filerna.
1. Ladda ner Rektor Decryptorverktyg (från Kaspersky Labs) till din dator.
2. När nedladdningen är klar, kör RectorDecryptor.exe.
3. Tryck på "Starta skanning”-knappen för att skanna dina enheter efter de krypterade filerna.
4. Låt RectorDecryptor verktyg för att skanna och dekryptera de krypterade filerna (med tillägg .vscrypt, .infected, .bloc, .korrektor) och välj sedan alternativet "Ta bort krypterade filer efter dekryptering” om dekrypteringen lyckades. *
* Efter dekrypteringen kan du hitta en rapportlogg över skannings-/dekrypteringsprocessen till roten på din C:\-enhet (t.ex. "C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).
5. Fortsätt slutligen att kontrollera och rensa ditt system från skadliga program som kan finnas på det.
Källa – Ytterligare information:http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev – Virusinformation och dekryptering.
DeTrojan Ransom Xorist & Trojan Ransom Valdev, krypterar filer med följande tillägg:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ess, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, rå, saf, val, våg, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rom, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, nu, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, båge, ari, arj, bil, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, karta, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, wmd, wmd, wmd, wmd, wmd xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, uggla, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Efter infektionen,Trojan Ransom Xorist äventyrar din dators säkerhet, gör din dator instabil och visar meddelanden på din skärm som kräver en lösensumma för att dekryptera de infekterade filerna. Meddelanden innehåller också information om hur man betalar lösensumman för att få dekrypteringsverktyget från cyberkriminella.
Hur man dekrypterar filer infekterade med trojanska Win32.Xorist eller trojanska MSIL.Vandev:
Råd: Kopiera alla infekterade filer till en separat katalog och stäng alla öppna program innan du fortsätter att skanna och dekryptera de berörda filerna.
1. Ladda ner Xorist Decryptorverktyg (från Kaspersky Labs) till din dator.
2. När nedladdningen är klar, kör XoristDecryptor.exe.
Notera: Om du vill ta bort de krypterade filerna när dekrypteringen är klar, klicka sedan på "Ändra parametrar" och markera "Ta bort krypterade filer efter dekryptering" kryssrutan under "Ytterligare alternativ”.
3. Tryck på "Starta skanning" knapp.
4. Ange sökvägen till minst en krypterad fil och vänta tills verktyget dekrypterar de krypterade filerna.
5. Om dekrypteringen lyckades, starta om din dator och skanna och rensa ditt system från skadliga program som kan finnas på den.
Källa – Ytterligare information: http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom. Win32.Rakhni – Virusinformation och dekryptering.
De Trojan Ransom Rakhni krypterar filer genom att ändra filtillägg enligt följande:
Efter krypteringen är dina filer oanvändbara och din systemsäkerhet äventyras. Även Trojan-Ransom. Win32.Rakhni skapar en fil på din %APPLIKATIONSDATA% mapp som heter "exit.hhr.oshit” som innehåller det krypterade lösenordet för de infekterade filerna.
Varning: De Trojan-Ransom. Win32.Rakhni skapar "exit.hhr.oshit” fil som innehåller ett krypterat lösenord till användarens filer. Om den här filen finns kvar på datorn kommer den att göra dekryptering med RakhniDecryptor verktyg snabbare. Om filen har tagits bort kan den återställas med filåterställningsverktyg. När filen har återställts lägger du den i %APPLIKATIONSDATA% och kör skanningen med verktyget igen.
%APPLIKATIONSDATA% mappplats:
-
Windows XP: C:\Documents and Settings\
\Applikationsdata -
Windows 7/8: C:\Users\
\AppData\Roaming
Så här dekrypterar du filer infekterade med trojanska Rakhni och får tillbaka dina filer:
1. Ladda ner Rakhni Decryptorverktyg (från Kaspersky Labs) till din dator.
2. När nedladdningen är klar, kör RakhniDecryptor.exe.
Notera: Om du vill ta bort de krypterade filerna när dekrypteringen är klar, klicka sedan på "Ändra parametrar" och markera "Ta bort krypterade filer efter dekryptering" kryssrutan under "Ytterligare alternativ”.
3. Tryck på "Starta skanning”-knappen för att skanna dina enheter efter krypterade filer.
4. Ange sökvägen till minst en krypterad fil (t.ex. "fil.doc.låst”) och vänta sedan tills verktyget återställer lösenordet från ”exit.hhr.oshit”-fil (tänk på Varning) och dekrypterar dina filer.
Källa – Ytterligare information: http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl) – Virusinformation och dekryptering.
De Trojan Rannoh eller Trojan Cryakl krypterar alla filer på din dator på följande sätt:
- I fallet med en Trojan-Ransom. Win32.Rannoh infektion, filnamn och tillägg kommer att ändras enligt mallen låst-
. . - I fallet med en Trojan-Ransom. Win32.Cryakl infektion, läggs taggen {CRYPTENDBLACKDC} till i slutet av filnamnen.
Så här dekrypterar du filer infekterade med Trojan Rannoh eller Trojan Cryakl och får tillbaka dina filer:
Viktig: DeRannoh Decryptor verktyget dekrypterar filer genom att jämföra en krypterad och en dekrypterad fil. Så om du vill använda Rannoh Decryptor verktyg för att dekryptera filer måste du äga en originalkopia av minst en krypterad fil före infektionen (t.ex. från en ren säkerhetskopia).
1. Ladda ner Rannoh Decryptorverktyget till din dator.
2. När nedladdningen är klar, kör RannohDecryptor.exe
Notera: Om du vill ta bort de krypterade filerna när dekrypteringen är klar, klicka sedan på "Ändra parametrar" och markera "Ta bort krypterade filer efter dekryptering" kryssrutan under "Ytterligare alternativ”.
3. Tryck på "Starta skanning" knapp.
4. Läs "Information krävs" meddelande och klicka sedan på "Fortsätta” och ange sökvägen till en originalkopia av minst en krypterad fil före infektionen (ren – original – fil) och sökvägen till den krypterade filen (infekterad – krypterad -fil).
5. Efter dekrypteringen kan du hitta en rapportlogg över skannings-/dekrypteringsprocessen till roten på din C:\-enhet. (t.ex. "C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).
Källa – Ytterligare information: http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (varianter: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc och .vvv)
De TeslaCrypt ransomware virus lägger till följande tillägg till dina filer: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc och .vvv.
Hur man dekrypterar TeslaCrypt-filer:
Om du är infekterad med TeslaCrypt-virus, använd ett av dessa verktyg för att dekryptera dina filer:
- TeslaDecoder: Mer information och instruktioner om hur du använder TeslaDecoder finns i den här artikeln: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
- Trend Micro Ransomware File Decryptor.
TeslaCrypt V3.0 (varianter: .xxx, .ttt, .micro, .mp3)
De TeslaCrypt 3.0 ransomware virus lägger till följande tillägg till dina filer: .xxx, .ttt, .micro & .mp3
Hur man dekrypterar TeslaCrypt V3.0-filer:
Om du är infekterad med TeslaCrypt 3.0 försök sedan återställa dina filer med:
- Trends Micro Ransomware File Decryptor verktyg.
- RakhniDecryptor (Hur man vägleder)
- Tesla avkodare (Hur man vägleder)
- Tesladecrypt – McAfee
TeslaCrypt V4.0 (Filnamn och filtillägg är oförändrade)
För att dekryptera TeslaCrypt V4-filer, prova något av följande verktyg:
- Trends Micro Ransomware File Decryptor verktyg.
- RakhniDecryptor (Hur man vägleder)
- Tesla avkodare (Hur man vägleder)
EnzoS.
8 oktober 2016 kl. 08.01