Дешифровщики файлов (дешифраторы, декриптеры)

Содержание

Как расшифровать файлы? Где скачать дешифраторы? Как восстановить мои файлы после шифрования?
Бесплатная расшифровка файлов. Бесплатные программы для расшифровки файлов после шифрования.
Актуальная информация о программах для дешифровки файлов. Подробные инструкции со скриншотами.
Ссылки на информацию по найденным шифровальщикам-вымогателям. Авторский блог, статьи и перевод.

четверг, 7 апреля 2016 г.

Дешифровщики

Дешифровщики файлов

Translation into English

146 комментариев:

Спасибо. Еще будет информация? В смысле добавляться?

Да, будет, материала накопилось много и нужна помощь. Если готовы помочь, напишите мне в чат, подскажу что надо сделать. Это несложно, но не успеваю.

ОК. Написал свои контакты.

0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
Чем расшифровать?

Обратитесь по адресу https://virusinfo.info/forumdisplay.php?f=194 к thyrex.

Здравствуйте.Помогите дешифровать файлы с расширением LanRan

Обратитесь на форум по ссылке.
https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/
Создайте тему с названием вымогателя.
Изучите Первые шаги. http://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html
Без их соблюдения вряд ли удастся что-то дешифровать. Тем более у нас ранее был только тестовый образец LanRan-а.

День добрый, помогите дешифровать *.crypted000007

Это новейшая версия Troldesh/Shade . У ЛК есть декрипторы для двух ранних версий.
См. обновление от 1-5 мая 2017 в конце статьи
http://id-ransomware.blogspot.ru/2016/06/troldesh-ransomware-email.html
Вначале написано, что делать . Отправьте файлы здесь: https://www.nomoreransom.org/ru/index.html

Пока все. У меня тоже был случай, когда люди пострадали. Файлы сохранили, через полгода появился декриптер. Все дешифровали утилитой от ЛК.

Ребята очень прошу, если у кого есть способ решения, дайте знать: wagonsoli@gmail.com

Кто найдет панацею, прошу очень ПОМОЧЬ МНЕ
grigorian@ex.ua

Вообще есть конторы, которые за деньги дешифруют crypted000007. От 5000 руб стоит. Мне даже один файл расшифровали для пробы. Значит есть решение. Неужели тот же Касперский не победил этого шифровальщика?

Эти конторы видимо состоят в доле с мошенниками-вымогателями. Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет.
Помощь подобных контор также попадает под статью закона РФ 159.6 Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину
http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

Кажется мы поймали GlobeImposter 2.0 есть ли декриптор по нему ? и могу ли я чем то помочь в его скором появлении?

ОК. Ответил вам по email.

Добрый день! ТОже GlobeImposter 2.0. Файлы зашифрованы с расширением .crypt Можете чем то помочь?

Добрый день! Файлы стали с окончанием .crypt . Скорее всего тоже GlobeImposter 2.0. Есть какие то рекомендации?

По GlobeImposter есть отдельная тема https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Здравствуйте! Клиенты принесли комп.
Заражён GlobeImposter 2.0, файлы с расширением ..726
Удалили всё ESET'ом. При желании могу восстановить сами файлы вируса, они же .vbs скрипты и отправить.
Прочёл, что дешифраторов на данный тип шифровальщика — не существует. Помогут ли Вам файлы вируса? Если да, то скажите — чего и куда выслать можно.

С этим крипто-вымогателем ситуация на сегодняшний день такова: нет возможности дешифровать файлы без уплаты выкупа. Расширений много разных с 3х-4х-5х знаками и пр.. Не успеваем добавлять сюда: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
Тема поддержки: https://www.bleepingcomputer.com/forums/t/644166/globeimposter-crypt-pscrypt-ext-back-fileshtml-ransomware-support/
Файлы можно отправлять туда.

Тоже отметился это шифратор. По почте прилетел.
Девочка и открыла.
Почистил теневую копию бекапа.
Придется ждать дешифратор

GlobeImposter 2.0 имеет сейчас много итераций. Используется широко, потому что недешифруем пока. И в ближайшее время вряд ли будет. Собирайте зашифрованные файлы в папку Зашифрованное вместе с записками (обязательно!) и сохраняйте. Систему придется переустановить и в дальнейшем придерживаться рекомендаций, описанных в статье 10 способов защиты от шифровальщиков-вымогателей
http://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html
Нельзя экономить на защите!

Я опубликовал последние обновления по новым итерациям GlobeImposter в конце статьи
https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
Будут новые — добавляйте там.

У меня есть помимо HPLaserJetService.exe (вирус) и файл c именем <1f777390-0b42-11e3-80ad-806e6f6e6963>и содержимым состоящим из ID (512 символов) и ключа (256 символов). Может эта информация поможет в создании дешифратора?

ОК. Ответил на email.

Здравствуйте! Ничего не слышно про Ishtar Ransomware(((((?

Ответил Вам на email. Новостей нет.

День добрый, а про такой crypted000007 есть новости

Нет пока. Все ждут. См. мои комментарии от 8 мая и 4 августа.

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Зашифрованные файлы имеют разные расширения: stu, uvw, yyz, efg, ccd, cde, abc, jjk, ijk, nop, mmn, qqr, vxy, zza, aaa, jkl и т.д. В каждой зашифрованной папке располагается README.txt файл с сообщением files encrypted write you country to komar@tuta.io
Возможна ли расшифровка?

Для Cryakl нет расшифровки. Уже давно бушует. Судя по новому email — одна из новый модификаций. Тем более нет дешифровщика. Даже антивирусные гиганты ничего не могут поделать.

Пробуйте по инструкции инструмент Rannoh Decryptor
https://noransom.kaspersky.com/ru/

Trojan encoder 11539 v3 слышно что нибудь?

Видимо, вы имеете ввиду Fake Globe (GlobeImposter 2.0).
Описание: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
Много модификаций. На него нет дешифровщика.
Файлы нужно собрать, возможно что-то появится в будущем.

Добрый день словили шифровальщик расширение файлов .coded
если что есть оригинальные файлы и зашифрованные.
очень нужна помощь

Возможно, это Fake Globe (GlobeImposter-2). В обновлении от 7 августа было такое расширение заш-файлов. Ссылка: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
Для этого семейства пока нет никакого дешифровщика. Рекомендуем сделать бэкап зашифрованных файлов.

Люди, а что с этим новым трояном .arena? Беда. Все базы 1С зашифровались. Требуют 1 биткоин ((

Наше описание здесь: https://id-ransomware.blogspot.ru/2017/08/arena-ransomware.html
Дешифровщика пока нет. Рекомендуем сделать бэкап зашифрованных файлов.

Добрый день.
Поймали — email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-285088181-22.11.2017 21@04@476141204.fname-README.txt.fairytail
После перезагрузки продолжает шифровать, как вытащить ключ для дешифровки?

Вероятно это Cryakl
Пробуйте по инструкции инструмент Rannoh Decryptor
https://noransom.kaspersky.com/ru/

Теперь есть дешифровщик для Cryakl Fairytail
https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

Добрый день.
С crypted000007 ничего не прояснилось?

С этим пока нет.

После второго взлома с шифрованием crypted000007 негодяй запросил очень большую сумму, обратился к первому негодяю, к которому до этого обращался, он дал адекватную стоимость, походу существует по crypted000007 какая-то общая база. все получилось расшифровать как в первом так и во втором случае. Комп в ожидании расшифровки находился около года (биткоин дорогой был).

Здравствуйте. Люди добрые помогите. Поймал вирус. Всё файлы на компьютере зашифрованы. Имеют расширение . Fairytail rahon не помогает. Что делать не знаю ((((((

Теперь есть дешифровщик для Cryakl Fairytail
https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

Здравствуйте. Попал на компьютер вирус:
email-lybot@keemail.me.ver-CL 1.4.0.0.id-3367407718-21.12.2017 17@11@497255988.fname-Октябрь.xlsx.fairytail.
Rannoh Decryptor не помогает. Люди добрые помогите спасти данные. (((((

Выше был уже коммент с таким же шифровальщиком. Лучших новостей нет.

Я могу помочь. Извините, я говорю только по-английски и написал это с помощью Google Translate. Я расшифровал мои собственные файлы, затронутые этой версией ransomware, и я работаю над инструментом дешифрования. Если вы хотите отправить мне несколько файлов, я был бы более чем счастлив попробовать. Мне нужен один незашифрованный файл, тот же файл после его зашифрования и один или два других зашифрованных файла.

HI. I really need to decrypt my files. Can you help me? How can I communicate with you? Tell me your email

James Gourley
Куда отправить? У меня есть зашифрованные и расшифрованные

Кликните на профиль James Gourley, далее см. про профилю.
И помните, у нас нет достоверной информации по нему.

Извините, я не был уведомлен об ответах здесь. См. Статью, которую я опубликовал здесь. Он написан на английском языке, но, надеюсь, Google Translate поможет.

Thank you, I translated and added new article with instructions and links to your decoder. // Спасибо. Я добавил инструкцию для русскоязычных пользователей в свой второй блог https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

Теперь есть дешифровщик для Cryakl Fairytail
https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

При наличии лицензий на антивирусы Доктор Веб или Касперский можно обратиться на их форумы поддержки. Там также есть возможность частной (платно в разумных пределах) расшифровки.

Здравствуйте, попал вирус .BIG2 кто может помочь

Шифровальщик, который добавляет расширения .BIG2 и .BIG4 к зашифрованным файлам — это GlobeImposter. Описания и обновления здесь: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Здравствуйте. Попал на компьютер вирус rapid, никто не сталкивался

Описание: https://id-ransomware.blogspot.ru/2018/01/rapid-ransomware.html
Для россиян сами вымогатели дешифруют бесплатно.

Здравствуйте. Поймал шифровальщик: decrypthelp@qq.com. Есть о него чего-нибудь? Или это совсем что-то свежее. Переписывался с гадами, просят 0,3 биткоина. 150 касиков, мать их.

На основании этой почты decrypthelp@qq.com можно сказать, что это один из вариантов Dharma ransomware. Публичного дешифровщика пока нет.
Полное описание с обновлениями см. на нашем основном сайте: https://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.html
Итерация с этой почтой была выявлена 5 января 2018. См. внизу статьи под =2018=

Добрый день! Поймали шифровальщик Trojan.Encoder.24450. файлы с расширением .infiniti Помогите расшифровать!

Вероятно, это InfiniteTear Ransomware. Его описание есть на основном сайте поссылке http://id-ransomware.blogspot.ru/2017/08/thelast-ransomware.html
Дешифровщика пока нет. Сделайте бэкап зашифрованных сайтов и обязательно сохраните оригинальный файл записки о выкупе. Хотя бы один.

Если у вас имеется исполняемый файл вредоноса, то забросьте его на https://www.sendspace.com/ и дайте нам ссылку. Мы проанализируем его, если это уже известный образец, то как и сказал раньше, пока нет дешифровщика. Если какой-то другой, то мы узнаем.

подскажите для такого есть дешифратор Trojan.Encoder.11539.
просят связаться по почте crypto.supportt@aol.com

Это GlobeImposter-2. Нет публичных дешифровщиков. Увы.
https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Какое расширение у файлов этой версии шифровальщика?

Схватили сегодня. В Dr.Web сказали что Trojan.Encoder.11539, видимо GlobeImposter-2. Утилиты emsisoft не расшифровывают. Расширение файлов .[dsupport@protonmail.com], инструкция How to restore your files.hta. Зловред https://www.sendspace.com/file/3maymv. Персепктив как я понимаю нет?

Это GlobeImposter. Описание и обновления на нашем главном сайте:
https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Поймали Здравствуйте, попал вирус .coded кто может помочь

Без просмотра записок и анализа файлов точно не скажешь.
Возможно, что это тоже GlobeImposter. Такое расширение у зашифрованных файлов добавлялось в 2017 и 2018 годах. Описание и обновления на нашем главном сайте:
https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Готов предоставить файлы для анализа. Готов заплатить(в разумных пределах)

С этим лучше сюда: https://legal.drweb.ru/encoder/
Хоть какой-то шанс.

Добрый день! Есть ли новости про crypted000007?
Dr-shifro.ru/Шифр-CRYPTED000007 просит 40 тыс.за расшифровку.

Ну и пошлите им парочку файлов размера больше 1 Мб для тестовой расшифровки, содержимое которой вам достоверно известно. Пусть расшифруют и покажут скриншот всех страниц документа или все изображение.
Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет. Помощь подобных контор также попадает под статью закона РФ 159.6 Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину
http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

ANyone happened to bump with *.bip ransomwaer extension?

This is Dharma Ransomware. There are no public decryptors.
https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Здравствуйте! Cловили .glutton, кто может помочь

Вариант Scarab Ransomware с расширением .glutton относится к группе Scarab-Bomber Ransomware
Наше описание и обновления см. в статье:
https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html
О процесе дешифрования и помощи читайте на странице:
https://decryptors.blogspot.com/2018/06/scarab-decryptor.html
Вы можете обратиться за частной дешифровкой на форумы Dr.Web (Россия) или ESET (офиц. англоязычный).

По PSCrypt есть какая-то инфа? Недельку назад принесли ПК и флешку с ним. В интернете инфа только за 2017 год.

Приветствую. Словили .omerta, куста реестра уже нет. Стоит хранить зашифрованные файлы или без шансов?

Некоторые версии Scarab можно дешифровать и без куста реестра. Можно подать запрос на бесплатную дешифровку файлов (png, jpg, doc, pdf) в Dr.Web, ESET (английский сайт). Если получится, они предложат купить пакет восстановлений с AV-продукт на 1-2 года. У ESET только лицензия на продукт.

Добрый день! Есть ли новости про crypted000007? Уже даже интересно, что за загадочный шифровальщик , что за столько лет ничего по нему в общем доступе нет.

Никакая он не загадка. Вся информация представлена здесь
https://id-ransomware.blogspot.com/2016/06/troldesh-ransomware-email.html

Инфа о самом зловреде есть, а вот насчет дешифратора нет

Загадка что нет решения)

Дешифраторы для Troldesh/Shade есть от Касперского (указан в статье про него), только для ранних и некоторых промежуточных версий. А для того варианта, что добавляется расширение crypted000007 — не могут сделать. Шифрование — это такая штука, что чуть-чуть изменил и всё, не расшифровывается. Искать надо способ извлечения ключей. Ии ждать, когда сами вымогатели или их конкуренты выложат. Для ранних версий Troldesh/Shade тоже пришлось ждать полгода или больше.

Файлы зашифрованы, в названия файлов добавлен текст id-C09C8F75.[decrypthelp@qq.com].java

Есть какое-то решение для расшифровки?

Файлы зашифрованы Dharma https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html
Публичного дешифровщика для данного варианта пока нет.

Здравствуйте, помогите дешифровать файлы Шназвание файла.xls.id-38BA783E.[unblock@badfail.info].ETH
есть ли варианты?

Это Dharma, один из новых вариантов. Для него пока нет никаких способов дешифрвоки, кроме тех, что имеются у вымогателей.
Общее описание: http://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Чем можно помочь вашему проекту? .ETH заражения.

Мы принимаем помощью в любом виде. Но расшифровать новые варианты Dharma с указанным расширением .ETH не могут даже специалисты из антивирусных компаний.

О Dharma Ransomware https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Всем привет!
Я тоже недавно подхватил от злоумышленника трояна-шифровальшика который зашифровал мои файлы с расширением crypted000007.
Прошу Вас сообщить когда появиться программа для расшифровки файлов.

Это Troldesh/Shade
https://id-ransomware.blogspot.com/2016/06/troldesh-ransomware-email.html
Что-то давно Аверы не могут ничего сделать с шифрованием.

Добрый день! Прошу помочь дешифровать файлы, зашифровали NAS D-Link DNS-325 — вот этим Cr1ptT0r .

Он описан еще в феврале в нашей статье Cr1ptT0r Ransomware
https://id-ransomware.blogspot.com/2019/02/cr1ptt0r-ransomware.html
Нет бесплатного публичного дешифровщика.
Создать запрос на пробную бесплатную расшифровку можете попробовать в DrWeb https://legal.drweb.ru/encoder/
О результатах сообщите.

Здравствуйте, споймали вирус .systems32x Есть ли способ дешифровки? Спасибо.

Обновление от 17 апреля 2019:
Расширение: .systems32x
Записка: HOW TO BACK YOUR FILES.TXT
Email: systems32x@gmail.com
systems32x@yahoo.com
systems32x@tutanota.com
help32xme@usa.com
additional.mail@mail.com
Если все данные такие же, то это GlobeImposter-2 https://id-ransomware.blogspot.com/2016/12/fake-globe-ransomware.html
И бесплатного дешифратора нет.
Если с этим расширением другие данные. то присылайте мне ссылку с запиской о выкупе и несколько файлов разного формата. Используйте www.sendspace.com. Он принимает файлы и дает ссылку на загрузку. Ссылку вставьте сюда.

Платный есть у вымогателей.

Здравствуйте! у Главбух за шифровался вирусом DOUBLEOFFSET 3nity@tuta.io весь комп и windows теперь не грузится( помогите расшифровкой файлов?

Windows можно откатить на предпоследнюю или более раннюю версию, файлы — выбрать в контекстном меню ПКМ Восстановить прежнюю версию.
Если это не помогает и файлы остаются зашифрованы, то для этой версии Cryakl Ransomware нет бесплатного дешифратора. Главбух в компании всегда стратегически важное, но уязвимое звено. Её ПК нужно защищать, как свои помидоры. Актуальную защиту можете выбрать здесь (тоже мой сайт) https://anti-ransomware.blogspot.com/2019/02/topical-protection.html
Если совсем нет денег, можете попросить ключ на Norton Security по ссылке http://club-symantec.ru/showthread.php?t=4824 Три месяца будет ПК под защитой, потом еще попросите. 🙂

Всем доброго времени суток!
Все стандартно, бухгалтерия поймала вирус, теперь файлы вида — email-3nity@tuta.io.ver-CS 1.6.id-.fname-1Cv8.dt.cs16 ну и плюс readme.txt — send your country and ip to 3nity@tuta.io
. НИкто не сталкивался с этой бякой? Буду признателен за любую информацию.

Это Cryakl Ransomware. Иногда можно расшифровать.
Обратитесь за помощью по ссылке на форум https://forum.kasperskyclub.ru/index.php?showforum=26
Возможно, вам может помочь консультант thyrex

На форуме ответили, что файлы, на данный момент расшифровке подвергнуть нельзя — Возможность расшифровать будет после ареста серверов с ключами, что маловероятно.

Когда выходит новый вариант, всегда кажется невозможным. Потом, по истечение времени исследования образцов и методов распространения, находится способ. Вам нужно проанализировать ситуацию, выяснить слабое звено в защите (если она есть), которое могло быть атаковано. Его нужно защитить лучше в любом случае. Мои рекомендации https://id-ransomware.blogspot.com/p/ransomware.html

Да я и так знаю, это RDP(наследство от предыдущего админа). Всё требовал от руководства закрыть RDP и использовать vpn, ответом было мы так привыкли, и уже столько лет работает, ничего же не случилось. Вот и получили. А теперь пытаются на меня все шишки повесить, с мотивировкой надо было отключить этот RDPи всё.

Подскажите что это за шифровальщик 28.02.19.pdf.id-12893189.bitcoin1foxmail.com.harma

.id-XXXXXXXX.[bitcoin1@foxmail.com].harma
Dharma Ransomware, см. в конце статьи этот вариант
https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Добрый день! Словили шифровальщика-вымогателя с расширением .O$L подскажите как решить проблему

Расширение: .o$l
Email: oslo178@cock.li
Записка: Инструкция по расшифровке o$l.TXT
Еси все так, то это Scarab с расширением .o$l
Смотрите здесь https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html обновление от 3 июля.

Добрый день. Зашифрованы файлы имеют расширение .Lazarus
Полное название файла: Инструкция по установке для Потребителя.docx.[ID=9rQRZEcSX7][Mail=Dataadecrypt@Cock.li].Lazarus

Судя по информации которую удалось найти в инете это одна из модифткаций Zeropadypt NextGen. Есть ли способы расшифровки? В арсенале есть шифрованные файлы и их не шифрованные оригиналы.


Источник: decryptors.blogspot.com