среда, 2 января 2019 г.

FilesLocker Decrypter

FILESLOCKER DECRYPTER

Инструкция по использованию

Translation into English

Скачать FilesLockerDecrypter >>>


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл декриптера

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком FilesL0cker Ransomware (версия декабря 2018), которым к зашифрованным файлам добавляется расширение  .[fileslocker@pm.me] и используются следующие записки о выкупе:
#DECRYPT MY FILES#.TXT
#解密我的文件#.TXT
#РАСШИФРОВЫВАТЬ МОИ ФАЙЛЫ#.TXT

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальная статья там описывает FilesL0cker Ransomware на русском языке. 


Перед дешифровкой

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования может продолжиться.

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

Я всегда рекомендую не торопиться и перед попыткой дешифрования сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

 Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчик декриптера со мной согласен. 👍

После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 
Да, в данном случае нет цифровой подписи и издатель называется "Неизвестный издатель". Антивирус может ругаться и поместить такой файл в Карантин. К сожалению...

 Увы, добавление к файлу цифровой подписи стоит немалых денег. Где взять их разработчику, который помогает пострадавшим от вредоносных программ? 
Что делать? Сайт BleepingComputer.com, с которого вы по моей ссылке скачали файл декриптера, много лет помогает пострадавших от Ransomware и вредоносных программ. Декриптер создан разработчиком ID Ransomware Майклом Джиллеспи (Michael Gillespie). Вы можете всё это проверить по ссылкам, которые я добавил выше. Проверить и принять решение: "Остаться с кучей зашифрованных файлов" или "Попытаться расшифровать хотя бы несколько файлов". 

Прочтите твит Майкла Джиллеспи с результатами дешифрования файлов. 

Если вы решили расшифровать файлы, то нажмите кнопку "Запустить". 
Появится окно декриптора. Чтобы прочитать информацию о программе и поддерживаемых расширениях, нажмите кнопку "About".
Здесь написано, что поддерживается только расширение .[fileslocker@pm.me]

Вы получили всю необходимую информацию. Теперь можно добавить в декриптер записку с требованием выкупа, чтобы он загрузил из неё ключ. 
Теперь нажмите кнопку "Select Directory"  и выберите диск, на котором находятся зашифрованные файлы, например диск C:\. Как только вы выберете диск, кнопка "Decrypt" станет активной и вы сможете расшифровать файлы. 

После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

Detailed usage guide (in English)

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер не может дешифровать файлы, значит они зашифрованы предыдущей или новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Майклом Джиллеспи (на форуме BC, в Твиттере), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на сайтах, Google Chrome вам поможет перевести любой текст на русский язык.


© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 18 сентября 2018 г.

Cryakl Decoder - 1.5

CRYAKL DECODER 

CRYAKL 1.5.1.0 DOUBLEOFFSET DECRYPTER

Инструкция по использованию 

Translation into English


 Используйте этот способ, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.5.1.0 DOUBLEOFFSET), которым к зашифрованным файлам добавляется расширение .doubleoffset, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<date_code><time_code><part_of_day> <series_of_digits>.fname-<file_name>.doubleoffset

Пример зашифрованных файлов:
email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2730359743-752006138775258994028576.fname-README.txt.doubleoffset
email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2487389875-36772131309119519367183.fname-картинка.jpg.doubleoffset

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. Если вы не можете сделать это сами,обратитесь за помощью на форумы бесплатной помощи. Например, в раздел "Уничтожение вирусов" форума фан-клуба Лаборатории Касперского. Или на тот, который выберите сами. 

👉 По данным разработчика метода дешифровки, описанным здесь методом могут быть расшифрованы многие файлы, зашифрованные версией 1.5.x.x, но, разумеется, до публикации этого метода. Позже разработчики Ransomware уже могут внести в шифрование изменения, не позволяющие дешифровать файлы. 

🎥 См. также видеообзор метода дешифровки по ссылке или смотрите его отсюда. Я не являюсь его автором, потому добавляю его сюда с моими комментариями и подачей материала. Вы должны сами его опробовать. Автор, к сожалению, не назвал себя. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.

Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.


Процесс дешифровки

1. Описание программы дешифрования.
Для дешифрования зашифрованных файлов нужен ключ. Он состоит из 1536 символов или 512 чисел составляющих последовательность типа 
184 192 200 208 216 224 232 240 248 001 009 017 025 033 041 049 057 065 073 081 089 097 105 113 121 129 137 145 153
т.е. имеет шаг последовательности +8
Но в ключе имеется 1 шаг последовательности равный не +8, а +9. т.е.
184 192 200 208 216 224 232 240 249 002 010 018 026 034 042 050 058 066 074 082 090 098 106 114 122 130 138 146 154
Получаем, что таких ключей существует 254 x 511 = 129794 возможных ключей. Один из таких ключей мы и будем искать.

2. Подготовка.
2.1. Создаем папку C:\decrypt и переносим туда файлы (загрузите по ссылке https://yadi.sk/d/mP2BG6YYduwECg).

2.2. Добавляем свой зашифрованный файл в эту папку. 
2.3. Скачиваем программу автокликер - AUTOIT. https://www.autoitscript.com/site/
2.4. Запускаем программу decrypt.exe в "ручном" режиме. Это нужно, чтобы программа запомнила расположение файлов.

3. Настройка.
3.1. Редактируем скрипт.
3.2. Ищем и редактируем координаты кнопок и полей программы. Для этого используем PRINTSCR и PAINT.
3.3. Настраиваем скорость анимации курсора на каждое движение. Это последний параметр в строке MouseClick('Left',678,245,1,3). 1 - самый быстрый, 10 - самый медленный. Мой вариант получился "3 3 2 2 1". ВАШ МОЖЕТ ОТЛИЧАТЬСЯ ОТ МОЕГО.

4. Поиск ключа.
4.1. Запускаем скрипт нажав F5 или TOOLS - GO. Нажмите ESCAPE, чтобы остановить скрипт. Программа начнет искать подходящий ключ. Это займет какое-то время. В моей случае потребовалось порядка 20 часов. Задачу можно распараллелить запустив скрипт на нескольких компьютерах и поменяв начала поиска ключа $i=0 на $i=122 для второго компьютера. ($i принимает значения от 0 до 254)
4.2. После того как программа найдет ключ, она прекратит поиск, а файл используемый для поиска ключа, расшифруется.
4.3. Найдя ключ, мы можем указать папку, где зашифрованы все наши файлы и они будут расшифрованы.



Detailed usage guide (in English):
1. Description of the program.
To decrypt encrypted files, you need a decryption key. The key consists of 1536 characters or 512 numbers constituting a sequence of type
184 192 200 208 216 224 232 240 248 001 009 017 025 033 041 049 057 065 073 081 089 097 105 113 121 129 137 145 153
those. has a step sequence of +8
But in the key there is a 1-step sequence equal to +8, and +9. those.
184 192 200 208 216 224 232 240 249 002 010 018 026 034 042 050 058 066 074 082 090 098 106 114 122 130 138 146 154
We get that there are 254 x 511 = 129794 possible keys. We will look for one of these keys.

2. Preparation.
2.1. Create the C:\decrypt folder and transfer the files there (https://yadi.sk/d/mP2BG6YYduwECg).
2.2. Add your encrypted file to this folder. (You can delete my file)
2.3. Download the program autoclicker - AUTOIT. https://www.autoitscript.com/site/
2.4. Run the program decrypt.exe in "manual" mode. It is necessary for the program to remember the location of the files.

3. Configuration.
3.1. Let's edit the script.
3.2. We are looking for the coordinates of the buttons and fields of the program. For this we use PRINTSCREEN and PAINT.
3.3. Adjust the animation speed of the cursor for each motion. This is the last parameter in the string MouseClick ('Left', 678,245,1,3)
1 - the fastest, 10 - the slowest. My version turned out "3 3 2 2 1". YOUR MAYBE DIFFER FROM MYSELF.

4. Find the key.
4.1. Run the script by pressing F5 or TOOLS - GO. Press ESCAPE to stop the script. The program starts to search for a suitable key. It will take a while. In my case, it took about 20 hours. The task can be expanded by running the script on several computers, and changing the start of the $ i = 0 key search to $ i = 122 for the second computer. ($ i takes values from 0 to 254)
4.2. After the program finds the key, it will stop searching, and the file used to find the key will be decrypted.
4.3. Having found the key, we can specify the folder where all our files are encrypted, and they will be decrypted.

Удачной дешифровки!

Напоследок...

После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

ЕСЛИ НЕ ПОМОГАЕТ...

Если при помощи данного способа не получается дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком метода, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на странице, там же есть русский текст. 


© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 июня 2018 г.

InsaneCrypt & Everbe Decrypter

INSANECRYPT DECRYPTER
EVERBE DECRYPTER

Инструкция по использованию 

Translation into English


Скачать InsaneCrypt & Everbe Decrypter >>>


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл декриптера

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиками InsaneCrypt Ransomware и Everbe 1.0 Ransomware, которыми к зашифрованным файлам добавляются следующие расширения:
.[email].insane
.[email].DEUSCRYPT
.[email].deuscrypt
.[email].Tornado
.[email].twist
.[email].everbe
.[email].volcano
.[email].embrace
.[email].pain

Файлы, зашифрованные версией Everbe 2.0 Ransomware, пока не дешифруются.

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальные статьи там описывают InsaneCrypt Ransomware и Everbe Ransomware на русском языке. 



Перед дешифровкой

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен.

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.


Процесс дешифровки

Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчик декриптера со мной согласен. 👍


После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 

У файла есть цифровая подпись и издатель называется "Michael Gillespie". 
Вы можете просмотреть сертификат издателя самостоятельно. 

Декриптер создан разработчиком ID Ransomware Майклом Джиллеспи (Michael Gillespie). Вы можете всё это проверить по ссылкам, которые я добавил выше. 

Если вы решили расшифровать файлы, то нажмите кнопку "Запустить". 

Появится окно декриптора. Чтобы прочитать информацию о программе и поддерживаемых расширениях, нажмите кнопку "About".

Здесь написано, что поддерживается только расширения
.[email].insane
.[email].DEUSCRYPT
.[email].deuscrypt
.[email].Tornado
.[email].twist
.[email].everbe
.[email].embrace
.[email].pain
.[email].volcano

Чтобы перехватить ключ дешифрования, декритеру нужен зашифрованный файл и его исходная незашифрованная версия. Как их найти, если все файлы зашифрованы? Об этом я подробно рассказал в статье "Особые рекомендации"
Прочтите и найдите исходный незашифрованный файл и его зашифрованный вариант. 

Когда вы найдёте нужную пару файлов, кликните на меню "Tools" и выберите "Bruteforcer". Откроется экран, где вы выберете зашифрованный файл и его незашифрованную версию, как показано ниже.

После того, как вы выбрали оба файла, нажмите на кнопку "Start", чтобы начать перебор ключа дешифрования. Этот процесс может занять много времени, поэтому наберитесь терпения и ждите результата.

По завершении декритер сообщит, что ключ дешифрования найден. Теперь закройте окно с сообщением, нажав "X" в правом верхнем углу, а ключ будет сам загружен в расшифровщик, как показано ниже. 

Теперь выберите папку с файлами для дешифрования. Если вы хотите расшифровать весь диск, просто выберите букву диска. 

Затем нажмите кнопку "Decrypt", чтобы начать дешифрование зашифрованных файлов. Программа дешифрует все зашифрованные файлы и отобразит статус дешифрования в своём окне. 

По завершении работы декриптер отобразит сводную информацию о количестве дешифрованных файлов. Если некоторые файлы были пропущены, это может быть связано с правами доступа к файлам.


Теперь вы можете закрыть окно декриптера и использовать ПК как раньше. 

После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

Detailed usage guide (in English)


Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер (декодер) не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Майклом Джиллеспи (на форуме BC, в Твиттере), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на сайтах, Google Chrome вам поможет перевести любой текст на русский язык. 


© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 10 июня 2018 г.

Scarab Decryptor

SCARAB DECODER

Scarab Ransomware Decryption (Translation into English)

Дешифровка файлов после Scarab-шифровальщиков


  Некоторые версии шифровальщиков семейства Scarab Ransomware поддаются дешифровке, но бесплатный дешифровщик для этого семейства крипто-вымогателей выпустить пока не удаётся. 

  Для вычисления ключа дешифрования требуется вычислительная мощность производительного процессора и использование компьютерных ресурсов. На эту операцию в среднем требуется до 7 дней, в зависимости от занятости специалистов, загруженности процессора и версии шифровальщика. 

  Ключ многозначный, вот пример настоящего ключа:
18000:019D1C9C05DF9AD59C7DE86DFFD55DAA7CFAEC6DEBB0F2F0C101B4EB0C95D49493:02D2F26EB1F34E7507A2D6085871B16346D7630F1131DBBF3BF63066EE44499CD7
Scarab Ransomware decryption
Это изображение является логотипом статьи

Почти все версии семейства Scarab могут быть дешифрованы! 

Компания Dr.Web делает платную дешифровку после атаки шифровальщиков семейства Scarab и некоторых других.

Что нужно сделать, чтобы дешифровать файлы? 
- составить запрос на пробную дешифровку (бесплатно) - на русском или на английском языках.
- экспортировать разделы реестра HKEY_CURRENT_USER и HKEY_USERS в файлы и приложить их к запросу;
- приложить к запросу записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- терпеливо подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 

Как экспортировать разделы реестра?
Запустите редактор реестра (файл regedit.exe) на заражённом ПК и экспортируйте эти разделы в файлы с такими же названиями.
Скриншоты порядка операций прилагаются. 
1)
2)  3)


Сколько стоит эта услуга? 
Собственно расшифровка специалистами Dr.Web выполняется бесплатно, но чтобы получить ключ дешифрования и расшифровать все файлы, нужно получить Rescue Pack (спасательный пакет), куда входит лицензионная антивирусная защита Dr.Web Security Space на 2 года. 
Для пользователей из России стоимость пакета 5299 рублей, а для иностранцев - 150 € (евро). Услуга без спасательного пакета Dr.Web не предоставляется. На мой взгляд, они могли бы сделать скидку жителям России или предоставлять лицензию на 1 год. 

Почему так дорого? — скажет кто-то... 
Я не знаю, компьютерные ресурсы, бухгалтерия, лицензия и всё такое. 
Лицензионным пользователям этого и других продуктов от компании Dr.Web помощь в расшифровке зашифрованных файлов оказывается бесплатно. 
На мой взгляд вернуть свои файлы и получить антивирусный пакет, защиту и поддержку на два года, это довольно выгодное решение. Стоит подумать. 
Причины отказа в бесплатной дешифровке (для пользователей продуктов Dr.Web). 

📌 Я никак не связан с процессом дешифрования и оплаты. Мои рекомендации предоставляются вам бесплатно. 

ОЧЕНЬ ВАЖНО далее сделать всё по пунктам, строго соблюдая очерёдность. 

Что не надо делать, если делаете запрос на дешифровку? 
- Не переименовывать файлы и не менять расширения, т.к. это затруднит их восстановление. 
- Не пробовать никаких других публичных дешифровщиков, т.к. они могут повредить файлы. 
- Не переустанавливать систему и не переносить файлы, во всяком случае, пока не переносить.  
- Не платить выкуп вымогателям, т.к. они могут обмануть и потребовать ещё больше денег. 


Что нужно сделать после запроса на дешифровку? 
- Только проявить терпение и подождать результатов вычисления ключа (пароля). 
- Повторяю, терпеливо ждите ответа специалистов... 


Что делать после того, как вам сообщат, что ключ дешифрования вычислен? 
- Собрать зашифрованные файлы и сохранить хотя бы одну записку с требованием выкупа. 
- Проверить систему антивирусным средством и удалить найденные вредоносные файлы. 
- Провести чистку системы от временных файлов и возможного мусора с помощью клинера. 
- Провести программную или ручную корректировку автозагружаемых программ и процессов. 
Это нужно, чтобы Ваши файлы не были повторно зашифрованы или как-то иначе блокированы. 
- Повторяю ещё раз, до начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемые и вспомогательные файлы шифровальщика-вымогателя, иначе шифрование может повториться. 


Что нужно сделать после проверки и чистки системы? 
- Получить дешифровщик и ключ дешифрования, и восстановить зашифрованные файлы. 
- Переустановить систему, если в её работе наблюдаются ошибки, зависания и сбои. 
- Установить антивирусную защиту, полученную от Dr.Web или аналогичную по функционалу. 
- Стать разумнее, изучить мои рекомендации "10 способов защиты от шифровальщиков-вымогателей"


Удачной дешифровки!

***

Я рекомендую вам также ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.

Я также всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.


ЕСЛИ НЕ ПОМОГАЕТ...

Если декодер не может дешифровать файлы, значит они зашифрованы уже более новой версией шифровальщика, которую пока не удаётся дешифровать. Рекомендую связаться со специалистами поддержки, где вы получали декодер и пароль дешифрования. 


© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 3 апреля 2018 г.

360 Ransomware Decryption Tools

360 Ransomware Decryption Tools

BansomQare Manna Ransomware Decryptor

Инструкция по использованию / Instruction for use

 Translation into English


Скачать 360 Ransomware Decryption Tools  >>>


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл 360 Ransomware Decryption Tools

Используйте этот инструмент, только если ваши файлы были зашифрованы и переименованы следующими шифровальщиками: 

BansomQare Manna Ransomware, которым к зашифрованным файлам добавляется расширение .bitcoin
*** Ransomware , которым к зашифрованным файлам добавляется расширение .***.
*** Ransomware , которым к зашифрованным файлам добавляется расширение .***.


Перед дешифровкой

До начала дешифровки убедитесь в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе шифрование будет продолжаться.

Я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться дешифрования.

Попробуйте дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.


Процесс дешифровки

После запуска 360 Ransomware Decryption Tools появится окно UAC (Контроль учетных записей в Windows). 
Если вы знакомы с этой китайской антивирусной компанией, то проверьте информацию об издателе. 
Как можно видеть на скриншоте, информация в порядке и сертификаты не просрочены. 

Перед дешифрованием вы можете выбрать папку, где находятся зашифрованные файлы и место для сохранения дешифрованных файлов. 

Я всегда рекомендую сначала сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. После указанных выше манипуляций можно запустить сканирование, кликнув на кнопку "Сканируйте сейчас". 




После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если инструмент дешифрования не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с компанией-разработчиком, если потребуется, то и отправить собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 5 марта 2018 г.

Annabelle Decryptor

ANNABELLE DECRYPTOR

Bitdefender Annabelle Decryptor

Инструкция по использованию 

Translation into English



Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте. 
При проблемах с загрузкой файла, качайте загрузчиком, например, Download Master


Файл декриптора от Bitdefender

Используйте этот декриптор, только если ваши файлы были зашифрованы шифровальщиком Annabelle Ransomware, который к зашифрованным файлам добавляет расширение .ANNABELLE и демонстрирует экран блокировки с куклой Annabelle из одноимённой кино-франшизы (фильм-ужасов, производство США).

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальная статья там описывает Annabelle Ransomware на русском языке. 

👉 Это одновременно и самая первая статья по этому шифровальщику-вымогателю на русском языке. Все остальные написаны позже и прямо или косвенно используют информацию и ссылки, полученные из моего блога. 

✋ Помните, я это говорю не для красного словца, а потому что есть сайты, где вас могут обмануть и подсунуть фальшивую программу с опасным функционалом. Будьте осторожны! Спрашивайте, если не знаете, как поступить. 

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 



Перед дешифровкой

Перед использованием инструмента дешифрования надо выполнить очистку ПК:
1) восстановить MBR с помощью инструментов FixMbr, LiveCD и других; 
2) удалить из реестра ключи шифровальщика, созданные для автозагрузки; 

Также это можно сделать, например, с помощью Bitdefender Rescue CD просканировать и исправить. 

Процесс дешифровки

 Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчики декриптера со мной согласны. 👍

После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 


Проверив информацию об издателе файла, нажмите кнопку "Запустить". 




Появится окно декриптора. Прочитав информацию, нажмите кнопку "I agree". Следующим будет собственное окно декриптора. 


Укажите здесь путь для сканирования или проверьте всю систему (отметка "Scan entire system") и нажмите кнопку "Scan", чтобы начать.

Обратите внимание на опцию "Backup files" (Бэкап файлов), если поставить здесь отметку, то потребуется больше места на вашем диске. 

Независимо от того, поставили ли вы отметку на опцию "Backup files" или нет, декриптер попытается дешифровать 5 случайных файлов в указанном пути и НЕ будет продолжать расшифровку, если тест не будет успешным.

Если тест будет успешным, то в конце этого шага ваши файлы должны быть дешифрованы. Если вы поставили отметку на опцию "Backup files", то после дешифрования вам получите зашифрованные и дешифрованные файлы.

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт.




Удачной дешифровки! 


ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, компанией Bitdefender и отправить им собранные образцы вредоносных файлов по адресу forensics@bitdefender.com

Вы также можете найти и прислать журнал BitdefenderLog, описывающий процесс дешифрования, он будет находиться в папке %temp%\BDRemovalTool 

суббота, 3 марта 2018 г.

Cryakl Decoder - 1.4

CRYAKL DECODER 

Cryakl 1.4.0.0-1.4.1.0 Fairytail Decrypter

Инструкция по использованию 

Translation into English


   Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 
Файл декодера от James Gourley

  Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком Cryakl Ransomware (Cryakl 1.4.0.0 / 1.4.1.0 FAIRYTAIL), которым к зашифрованным файлам добавляется расширение .fairytail, а перед ним идут последовательно: email, версия, ID, дата и время шифрования, цифры, название зашифрованного файла. 

Состав:
email-<email_ransom>.ver-<version>.id-<ID_chars>-<day@month@year> <hours@minutes@seconds> <part_of_day> <series_of_digits>.fname-<file_name>.fairytail

  Фактически файлы получают составное расширение и выглядят следующим образом:
email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail
email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-##########-12@11@2017 3@23@45 AM7563453.fname-README.txt.fairytail

README.txt - это примерное название зашифрованного файла, которое обложено с обеих сторон. 

Содержание записки о выкупе:
ATTENTION!
All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info

Перевод на русский язык:
ВНИМАНИЕ!
Все ваши файлы зашифрованы криптографически сильным алгоритмом и без оригинального ключа дешифрования восстановление невозможно.
Чтобы получить свой уникальный ключ и дешифровать файлы, вам надо написать нам на email, указанный ниже, в течение 72 часов, иначе ваши файлы будут уничтожены!
hola@all-ransomware.info
hola@all-ransomware.info
hola@all-ransomware.info
🎥 См. также видеообзор атаки этого шифровальщика по ссылке

  Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

👉 По сообщению разработчика декодера, файлы, зашифрованные версиями 1.5.0.0-1.5.1.0, также могут быть расшифрованы. 

  Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования. 


Перед дешифровкой

  При первом запуске декодера должно появиться окно UAC (Контроль учетных записей в Windows). 
  Прочитав имя программы и издателя, согласитесь на запуск.

Так как данный файл декодера ещё относительно новый, разработан и выпущен Джейсом Гурли совсем недавно, то большинство антивирусных программ ещё не имеют о нём достоверной репутации и не включили в свои базы. Поэтому антивирусная защита может сработать на него или выдать предупреждение. Для примера я даю скриншоты предупреждения Norton Security. Файл ещё малоизвестен в сообществе пользователей Norton, потому он ещё не получил достаточно отзывов о положительной репутации. 


  Данная версия прошла успешную проверку на VirusTotal и только один малоизвестный антивирус выдал предупреждение. Такой детект ложный. 


  Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. 
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов. 
  Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно. 


Процесс дешифровки

После запуска декодера (декриптера) появится основное окно.

Не торопитесь, кликните по красной надписи в правом верхнем углу. Откроется следующее окно с предостережениями и рекомендациями разработчика.
Часть текста аналогична моему — это предостережения об обязательном бэкапе данных перед попыткой дешифрования. Другая часть поясняет как начать дешифрование. 


Левая часть окна

Шаг 1 - Анализ
Здесь только кнопки "Select unencrypted file" и "Select encrypted file", предназначенные для выбора зашифрованного и незашифрованного файлов. Это обязательный пункт! 

Шаг 2 - Предпочтения
Здесь можно на выбор:
- сохранить зашифованные файлы перед дешифровкой;
- удалить записки о выкупе README.txt, незашифрованные или зашифрованные;
- восстановить отдельный файл;
- восстановить файлы в выбранной папке;
- восстановить файлы в выбранную папку.



Правая часть окна

Job Summary

Выбор опций осуществляется двойным кликом по опции. Это часть работает только в системе, где имеются зашифрованные файлы. На мой взгляд ничего сложного нет. Пробуйте. 

Для запуска дешифровки с выбранными параметрами нажмите кнопку "Start Decryption". Если кнопка неактивна, то прочтите ниже Дополнения

Если программа помогла вернуть файлы, то вы можете перевести её разработчику Джеймсу Гурли любую сумму в знак благодарности.




Дополнение
Правая часть окна вызвала у пострадавших от вымогателя трудности, в комментариях и через форму обратной связи меня просили помочь с неактивной кнопкой "Start Decryption". 

Потому даю небольшое пояснение с переводом опций.
Некоторые опции работают только в системе, где есть зашифрованные файлы. Поэтому их нужно прощёлкать последовательно сверху вниз
Не торопитесь и обращайте внимание, какие кнопки активируются в левой части этого окна. Они позволяют вам выбирать файлы и папки согласно включаемым параметрам в правой части. 

Source Unencrypted File - двойной клик для выбора Исходного незаш-файла
Source Encrypted File - двойной клик для выбора Исходного заш-файла
Victim ID - двойной клик для определения ID жертвы
Decryption Key - двойной клик для определения Ключа дешифрования
Encryption Signature - двойной клик для определения Сигнатуры шифрования
Keep Encrypted Files - двойной клик для смены "Да/Нет" для Сохранения заш-файлов
Delete Readme Files - двойной клик для смены "Нет/Да" для Удаления файлов readme.txt
Readme File Hash - двойной клик для выбора файла readme.txt и Получения его хэша
Encrypted Readme File Hash - двойной клик для выбора заш-файла readme.txt и Получения его хэша
Recover Mode - двойной клик для смены режима Single File Mode (Отдельный файл) на Folder Mode (Папка)
What to Recover - двойной клик для запуска Восстановления после определения Ключа дешифрования
Recover to a New Location - двойной клик для смены "Нет/Да" для Сохранения в новом месте
Where to Recover - двойной клик для указания нового места Где сохранять деш-файлы

*| деш-файлы - дешифрованные файлы
*| заш-файлы - зашифрованные файлы
*| незаш-файлы - незашифрованные файлы


Напоследок...
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт "После дешифрования". 

Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер (декриптер)* не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Джеймсом Гурли, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). 
Не пугайтесь английского языка на странице. Разработчик декодера самостоятельно нашел мой русскоязычный сайт, перевел текст с помощью Google-переводчика и сам предложил эту разработку пострадавшим. 

*| Разработчик сам в разных местах называет свою программу то декодером, то декриптером. Поэтому я тоже привожу оба его названия в статье. 

© Amigo-A (Andrew Ivanov): All blog articles.