воскресенье, 10 июня 2018 г.

Scarab Decryptor

SCARAB DECODER

Scarab Ransomware Decryption (Translation into English)

Дешифровка файлов после Scarab-шифровальщиков


  Некоторые версии шифровальщиков семейства Scarab Ransomware поддаются дешифровке, но бесплатный дешифровщик для этого семейства крипто-вымогателей выпустить пока не удаётся. 

  Для вычисления ключа дешифрования требуется вычислительная мощность производительного процессора и использование компьютерных ресурсов. На эту операцию в среднем требуется до 7 дней, в зависимости от занятости специалистов, загруженности процессора и версии шифровальщика. 

  Ключ многозначный, вот пример настоящего ключа:
18000:019D1C9C05DF9AD59C7DE86DFFD55DAA7CFAEC6DEBB0F2F0C101B4EB0C95D49493:02D2F26EB1F34E7507A2D6085871B16346D7630F1131DBBF3BF63066EE44499CD7
Scarab Ransomware decryption
Это изображение является логотипом статьи

Только некоторые версии семейства Scarab могут быть дешифрованы! 

Компания Dr.Web делает платную дешифровку после атаки шифровальщиков семейства Scarab и некоторых других.

Что нужно сделать, чтобы дешифровать файлы? 
- составить запрос на пробную дешифровку (бесплатно) - на русском или на английском языках.
- экспортировать разделы реестра HKEY_CURRENT_USER и HKEY_USERS в файлы и приложить их к запросу;
- приложить к запросу записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- терпеливо подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 

Как экспортировать разделы реестра?
Запустите редактор реестра (файл regedit.exe) на заражённом ПК и экспортируйте эти разделы в файлы с такими же названиями.
Скриншоты порядка операций прилагаются. 
1)
2)  3)


 Сколько это стоит? 
Собственно расшифровка специалистами Dr.Web выполняется бесплатно, но чтобы получить ключ и расшифровать все файлы нужно получить Rescue Pack (спасательный пакет), куда входит лицензионная антивирусная защита Dr.Web Security Space на 2 года. 
Для пользователей из России стоимость пакета 5299 рублей, а для иностранцев - 150 € (евро). Услуга без спасательного пакета Dr.Web не предоставляется. 

Почему так дорого? — скажет кто-то... 
Я не знаю, компьютерные ресурсы, бухгалтерия, лицензия и всё такое. 
Лицензионным пользователям этого и других продуктов от компании Dr.Web помощь в расшифровке зашифрованных файлов оказывается бесплатно. 
На мой взгляд вернуть свои файлы и получить антивирусный пакет, защиту и поддержку на два года, это довольно выгодное решение. Стоит подумать. Причины отказа в дешифровке

📌 Я никак не связан с процессом дешифрования и оплаты. Мои рекомендации предоставляются вам бесплатно. 

ОЧЕНЬ ВАЖНО далее сделать всё по пунктам, строго соблюдая очерёдность. 

Что не надо делать, если делаете запрос на дешифровку? 
- Не переименовывать файлы и не менять расширения, т.к. это затруднит их восстановление. 
- Не пробовать никаких других публичных дешифровщиков, т.к. они могут повредить файлы. 
- Не переустанавливать систему и не переносить файлы, во всяком случае, пока не переносить.  
- Не платить выкуп вымогателям, т.к. они могут обмануть и потребовать ещё больше денег. 


Что нужно сделать после запроса на дешифровку? 
- Только проявить терпение и подождать результатов вычисления ключа (пароля). 
- Повторяю, терпеливо ждите ответа специалистов... 


Что делать после того, как вам сообщат, что ключ дешифрования вычислен? 
- Собрать зашифрованные файлы и сохранить хотя бы одну записку с требованием выкупа. 
- Проверить систему антивирусным средством и удалить найденные вредоносные файлы. 
- Провести чистку системы от временных файлов и возможного мусора с помощью клинера. 
- Провести программную или ручную корректировку автозагружаемых программ и процессов. 
Это нужно, чтобы Ваши файлы не были повторно зашифрованы или как-то иначе блокированы. 
- Повторяю ещё раз, до начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемые и вспомогательные файлы шифровальщика-вымогателя, иначе шифрование может повториться. 


Что нужно сделать после проверки и чистки системы? 
- Получить дешифровщик и ключ дешифрования, и восстановить зашифрованные файлы. 
- Переустановить систему, если в её работе наблюдаются ошибки, зависания и сбои. 
- Установить антивирусную защиту, полученную от Dr.Web или аналогичную по функционалу. 
- Стать разумнее, изучить мои рекомендации "10 способов защиты от шифровальщиков-вымогателей"


Удачной дешифровки!

***

Я рекомендую вам также ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.

Я также всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.


ЕСЛИ НЕ ПОМОГАЕТ...

Если декодер не может дешифровать файлы, значит они зашифрованы уже более новой версией шифровальщика, которую пока не удаётся дешифровать. Рекомендую связаться со специалистами поддержки, где вы получали декодер и пароль дешифрования. 


© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 3 апреля 2018 г.

360 Ransomware Decryption Tools

360 Ransomware Decryption Tools

BansomQare Manna Ransomware Decryptor

Инструкция по использованию / Instruction for use


Скачать 360 Ransomware Decryption Tools  >>>


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл 360 Ransomware Decryption Tools

Используйте этот инструмент, только если ваши файлы были зашифрованы и переименованы следующими шифровальщиками: 

BansomQare Manna Ransomware, которым к зашифрованным файлам добавляется расширение .bitcoin
*** Ransomware , которым к зашифрованным файлам добавляется расширение .***.
*** Ransomware , которым к зашифрованным файлам добавляется расширение .***.


Перед дешифровкой

До начала дешифровки убедитесь в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе шифрование будет продолжаться.

Я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться дешифрования.

Попробуйте дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.


Процесс дешифровки

После запуска 360 Ransomware Decryption Tools появится окно UAC (Контроль учетных записей в Windows). 
Если вы знакомы с этой китайской антивирусной компанией, то проверьте информацию об издателе. 
Как можно видеть на скриншоте, информация в порядке и сертификаты не просрочены. 

Перед дешифрованием вы можете выбрать папку, где находятся зашифрованные файлы и место для сохранения дешифрованных файлов. 

Я всегда рекомендую сначала сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. После указанных выше манипуляций можно запустить сканирование, кликнув на кнопку "Сканируйте сейчас". 




После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если инструмент дешифрования не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с компанией-разработчиком, если потребуется, то и отправить собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 5 марта 2018 г.

Annabelle Decryptor

ANNABELLE DECRYPTOR

Bitdefender Annabelle Decryptor

Инструкция по использованию



Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
При проблемах с загрузкой файла, качайте загрузчиком, например, Download Master


Файл декриптора от Bitdefender

Используйте этот декриптор, только если ваши файлы были зашифрованы шифровальщиком Annabelle Ransomware, который к зашифрованным файлам добавляет расширение .ANNABELLE и демонстрирует экран блокировки с куклой Annabelle из одноимённой кино-франшизы (фильм-ужасов, производство США).

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальная статья там описывает Annabelle Ransomware на русском языке. 

👉 Это одновременно и самая первая статья по этому шифровальщику-вымогателю на русском языке. Все остальные написаны позже и прямо или косвенно используют информацию и ссылки, полученные из моего блога. 

✋ Помните, я это говорю не для красного словца, а потому что есть сайты, где вас могут обмануть и подсунуть фальшивую программу с опасным функционалом. Будьте осторожны! Спрашивайте, если не знаете, как поступить. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 



Перед дешифровкой

Перед использованием инструмента дешифрования надо выполнить очистку ПК:
1) восстановить MBR с помощью инструментов FixMbr, LiveCD и других; 
2) удалить из реестра ключи шифровальщика, созданные для автозагрузки; 

Также это можно сделать, например, с помощью Bitdefender Rescue CD просканировать и исправить. 

Процесс дешифровки

 Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчики декриптера со мной согласны. 👍

После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 


Проверив информацию об издателе файла, нажмите кнопку "Запустить". 




Появится окно декриптора. Прочитав информацию, нажмите кнопку "I agree". Следующим будет собственное окно декриптора. 


Укажите здесь путь для сканирования или проверьте всю систему (отметка "Scan entire system") и нажмите кнопку "Scan", чтобы начать.

Обратите внимание на опцию "Backup files" (Бэкап файлов), если поставить здесь отметку, то потребуется больше места на вашем диске. 

Независимо от того, поставили ли вы отметку на опцию "Backup files" или нет, декриптер попытается дешифровать 5 случайных файлов в указанном пути и НЕ будет продолжать расшифровку, если тест не будет успешным.

Если тест будет успешным, то в конце этого шага ваши файлы должны быть дешифрованы. Если вы поставили отметку на опцию "Backup files", то после дешифрования вам получите зашифрованные и дешифрованные файлы.

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт.




Удачной дешифровки! 


ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией Bitdefender и отправить им собранные образцы вредоносных файлов по адресу forensics@bitdefender.com

Вы также можете найти и прислать журнал BitdefenderLog, описывающий процесс дешифрования, он будет находиться в папке %temp%\BDRemovalTool 

суббота, 3 марта 2018 г.

Cryakl Decoder

CRYAKL DECODER 

Cryakl 1.4.0.0-1.4.1.0 Fairytail Decrypter

Инструкция по использованию


   Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 
Файл декодера от James Gourley

  Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.4.0.0 / 1.4.1.0 FAIRYTAIL), которым к зашифрованным файлам добавляется расширение .fairytail, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<day@month@year> <hours@minutes@seconds> <part_of_day> <series_of_digits>.fname-<file_name>.fairytail

  Фактически файлы получают составное расширение и выглядят следующим образом:
email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail
email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail

README.txt - это примерное название зашифрованного файла, которое обложено с обеих сторон. 

Содержание записки о выкупе:
ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info

Перевод на русский язык:
ВНИМАНИЕ!
Все ваши файлы зашифрованы криптографически сильным алгоритмом и без оригинального ключа дешифрования восстановление невозможно.
Чтобы получить свой уникальный ключ и дешифровать файлы, вам надо написать нам на email, указанный ниже, в течение 72 часов, иначе ваши файлы будут уничтожены!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info
🎥 См. также видеообзор атаки этого шифровальщика по ссылке

  Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

👉 По сообщению разработчика декодера, файлы, зашифрованные версиями 1.5.0.0-1.5.1.0, также могут быть расшифрованы. 

  Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 


Перед дешифровкой

  При первом запуске декодера должно появиться окно UAC (Контроль учетных записей в Windows). 
  Прочитав имя программы и издателя, согласитесь на запуск.

Так как данный файл декодера ещё относительно новый, разработан и выпущен Джейсом Гурли совсем недавно, то большинство антивирусных программ ещё не имеют о нём достоверной репутации и не включили в свои базы. Поэтому антивирусная защита может сработать на него или выдать предупреждение. Для примера я даю скриншоты предупреждения Norton Security. Файл ещё малоизвестен в сообществе пользователей Norton, потому он ещё не получил достаточно отзывов о положительной репутации. 


  Данная версия прошла успешную проверку на VirusTotal и только один малоизвестный антивирус выдал предупреждение. Такой детект ложный. 


  Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. 
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов. 
  Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

После запуска декодера (декриптера) появится основное окно.

Не торопитесь, кликните по красной надписи в правом верхнем углу. Откроется следующее окно с предостережениями и рекомендациями разработчика.
Часть текста аналогична моему — это предостережения об обязательном бэкапе данных перед попыткой дешифрования. Другая часть поясняет как начать дешифрование. 


Левая часть окна

Шаг 1 - Анализ
Здесь только кнопки "Select unencrypted file" и "Select encrypted file", предназначенные для выбора зашифрованного и незашифрованного файлов. Это обязательный пункт! 

Шаг 2 - Предпочтения
Здесь можно на выбор:
- сохранить зашифованные файлы перед дешифровкой;
- удалить записки о выкупе README.txt, незашифрованные или зашифрованные;
- восстановить отдельный файл;
- восстановить файлы в выбранной папке;
- восстановить файлы в выбранную папку.



Правая часть окна

Job Summary

Выбор опций осуществляется двойным кликом по опции. Это часть работает только в системе, где имеются зашифрованные файлы. На мой взгляд ничего сложного нет. Пробуйте. 

Для запуска дешифровки с выбранными параметрами нажмите кнопку "Start Decryption". Если кнопка неактивна, то прочтите ниже Дополнения

Если программа помогла вернуть файлы, то вы можете перевести её разработчику Джеймсу Гурли любую сумму в знак благодарности.




Дополнение
Правая часть окна вызвала у пострадавших от вымогателя трудности, в комментариях и через форму обратной связи меня просили помочь с неактивной кнопкой "Start Decryption". 

Потому даю небольшое пояснение с переводом опций.
Некоторые опции работают только в системе, где есть зашифрованные файлы. Поэтому их нужно прощёлкать последовательно сверху вниз
Не торопитесь и обращайте внимание, какие кнопки активируются в левой части этого окна. Они позволяют вам выбирать файлы и папки согласно включаемым параметрам в правой части. 

Source Unencrypted File - двойной клик для выбора Исходного незаш-файла
Source Encrypted File - двойной клик для выбора Исходного заш-файла
Victim ID - двойной клик для определения ID жертвы
Decryption Key - двойной клик для определения Ключа дешифрования
Encryption Signature - двойной клик для определения Сигнатуры шифрования
Keep Encrypted Files - двойной клик для смены "Да/Нет" для Сохранения заш-файлов
Delete Readme Files - двойной клик для смены "Нет/Да" для Удаления файлов readme.txt
Readme File Hash - двойной клик для выбора файла readme.txt и Получения его хэша
Encrypted Readme File Hash - двойной клик для выбора заш-файла readme.txt и Получения его хэша
Recover Mode - двойной клик для смены режима Single File Mode (Отдельный файл) на Folder Mode (Папка)
What to Recover - двойной клик для запуска Восстановления после определения Ключа дешифрования
Recover to a New Location - двойной клик для смены "Нет/Да" для Сохранения в новом месте
Where to Recover - двойной клик для указания нового места Где сохранять деш-файлы

*| деш-файлы - дешифрованные файлы
*| заш-файлы - зашифрованные файлы
*| незаш-файлы - незашифрованные файлы


Напоследок...
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт "После дешифрования". 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер (декриптер)* не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Джеймсом Гурли, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 
Не пугайтесь английского языка на странице. Разработчик декодера самостоятельно нашел мой русскоязычный сайт, перевел текст с помощью Google-переводчика и сам предложил эту разработку пострадавшим. 

*| Разработчик сам в разных местах называет свою программу то декодером, то декриптером. Поэтому я тоже привожу оба его названия в статье. 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 28 февраля 2018 г.

GandCrab Decryptor

GANDCRAB DECRYPTOR

Bitdefender GandCrab Decryptor

Инструкция по использованию



Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
При проблемах с загрузкой файла, качайте загрузчиком, например, Download Master


Файл декриптора от Bitdefender

Используйте этот декриптор, только если ваши файлы были зашифрованы шифровальщиком GandCrab Ransomware, который к зашифрованным файлам добавляет расширение .GDCB и оставляет записку GDCB-DECRYPT.txt

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальная статья там описывает GandCrab Ransomware на русском языке. 

👉 Это одновременно и самая первая статья по этому шифровальщику-вымогателю на русском языке. Все остальные написаны позже и прямо или косвенно используют информацию и ссылки, полученные из моего блога. 

Помнитея это говорю не для красного словца, а потому что есть сайты, где вас могут обмануть и подсунуть фальшивую программу с опасным функционалом. Будьте осторожны! Спрашивайте, если не знаете, как поступить. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Процесс дешифровки

Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчики декриптера со мной согласны. 👍

После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 



Проверив информацию об издателе файла, нажмите кнопку "Запустить". 


Появится окно декриптора. Прочитав информацию, нажмите кнопку "I agree". Следующим будет собственное окно декриптора. 


Укажите здесь путь для сканирования или проверьте всю систему (отметка "Scan entire system") и нажмите кнопку "Scan", чтобы начать.

Обратите внимание на опцию "Backup files" (Бэкап файлов), если поставить здесь отметку, то потребуется больше места на вашем диске. 

Независимо от того, поставили ли вы отметку на опцию "Backup files" или нет, декриптер попытается дешифровать 5 случайных файлов в указанном пути и НЕ будет продолжать расшифровку, если тест не будет успешным.

Если тест будет успешным, то в конце этого шага ваши файлы должны быть дешифрованы. Если вы поставили отметку на опцию "Backup files", то после дешифрования вам получите зашифрованные и дешифрованные файлы.

К сожалению, файлы размером более 4 ГБ не могут быть дешифрованы без частичной потери информации. Этот программный недостаток со стороны хакера просто повреждает большой файл.

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт.




Удачной дешифровки! 


ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией Bitdefender и отправить им собранные образцы вредоносных файлов по адресу forensics@bitdefender.com

Вы также можете найти и прислать журнал BitdefenderLog, описывающий процесс дешифрования, он будет находиться в папке %temp%\BDRemovalTool

среда, 31 мая 2017 г.

AES-NI / XData Decrypter

AES-NI Decryptor

XData Decryptor 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
Файл декриптера от ESET


Используйте этот декриптер, только если ваши файлы были зашифрованы шифровальщиком AES-NI / XData Ransomware, которые к зашифрованным файлам добавляют расширения:
.aes256 
.aes_ni
.aes_ni_0day
.decrypr_helper@freemail_hu
.~xdata~

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, кроме файлов ключа типа:
pc_name#ID.key.aes_ni
pc-name#ID.key.~xdata~

Примеры:
USER-43FF24E2A8#7988C10CEA4CBE5453802CE852506660-decrypr_helper NEW-2017421111129-542.key
PC#7F8FF538043FDBDFAD07DBF085DE9910-SPECIAL NEW-201753011433-276.key.aes_ni
PC#7F8FF538043FDBDFAD07DBF085DE9910-Bravo NEW-2017530113345-902.key.aes_ni_0day
PC#7F8FF538043FDBDFAD07DBF085DE9910-#-201753182943-932.key.~xdata~

Декриптер будет работать, только если рядом с ним в папке находится файл ключа, оставленный шифровальщиком. Таким образом можно дешифровать зашифрованные файлы даже подключив диск к другому компьютеру. 

Автоматически дешифратор ищет файл ключа в следующих местах:
папка с ESETAESNIDecrtyptor.exe 
C:\ProgramData
%appdata%
%temp%

Если вдруг декриптер не сможет дешифровать файлы, переместите файл ключа на Рабочий стол. 
Если файл ключа декриптером не будет найден, т.к. по неосторожности удалён пользователем, то дешифровка будет неудачной. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 

После запуска декриптера появится окно предупреждения системы безопасности Windows. Это нормально, нажмите "Запустить". 
Далее...
Окна декриптера и соглашения с пользователем

После ознакомления с лицензионным соглашением нажмите кнопку "Agree", чтобы согласиться на использование программы и начать дешифровку файлов. 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией ESET и отправить им собранные образцы вредоносных файлов. 

📢 📢 📢
Обновление от 31 мая 2017:
Компания Avast реализовала альтернативный декриптер для XData.
Ссылки: 
https://blog.avast.com/avast-releases-decryption-tool-for-xdata-ransomware 
https://www.avast.com/ransomware-decryption-tools#xdata 


Удачной дешифровки! 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 30 мая 2017 г.

Amnesia2 Decrypter

AMNESIA2 DECRYPTER 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Amnesia2 Ransomware, которым к зашифрованным файлам добавляется расширение: .amnesia (в новых версиях есть и другие расширения: .wncry, .gladn, .hvsgt, .am и другие).  Дешифровщик регулярно обновляется. 

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 

При первом запуске должно появиться окно UAC (Контроль учетных записей в Windows).
Прочитав имя программы и издателя, согласитесь на запуск.

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. И лишь потом, при их успешной дешифровке, продолжить дешифровку остальных файлов.

При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Amnesia2 Decrypter.

По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files", которая находится во вкладке "Options". Это может быть даже необходимо, если место на жёстком диске ограничено.

Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!

По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт. 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком James Gourley, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.