пятница, 20 мая 2016 г.

Особые рекомендации

ОСОБЫЕ РЕКОМЕНДАЦИИ

Рекомендации по успешному дешифрованию

Ответы на вопросы и подробные пояснения

Translation into English


   Прежде всего хочу сказать, чтобы дешифрование утилитами от Фабиана Восара и Майкла Джиллеспи было успешным, нужно найти и ТОЧНО указать дешифратору на тот же файл, каким он был до шифрования и каким он стал после шифрования. Дешифратор сам это не определит, т.к. он работает под вашим руководством. Дешифраторы от других разработчиков могут работать иначе. 
  Если файлы не открываются после дешифрования, значит, вы указали неправильную пару файлов или столкнулись с другим вариантом шифровальщика-вымогателя

  Люди часто спрашивают: - Где взять оригинальный файл, если всё зашифровано?
Для вычисления ключа достаточно одного оригинального файла и его зашифрованной копии. 

  Вот примерный список, где вы можете найти оригиналы зашифрованных файлов:
1) на флешках, внешних дисках, CD/DVD, картах памяти фотокамеры, телефона;
2) во вложениях отправленных или полученных вами письмах электронной почты;
3) среди переданных вами копиях общих фото друзей, родственников (в их ПК);
4) среди загруженных фото в соц. сети, в том числе через смартфон и планшет;
5) среди загруженных фото в облачные сервисы (Яндекс Диск, Google Disk и пр.);
6) на сайтах объявлений, куда вы могли ранее отправить фото или картинки;
7) среди незашифрованных файлов, копий, переименованных файлов на вашем ПК;
8) на старом ПК или диске, откуда вы переносили фото и документы на новый ПК;
9) можно заново загрузить из Интернета загруженные ранее фото, картинки и пр.;
10) можно использовать образцы изображений, поставляемых вместе с Windows (моя ссылка);
11) взять фото или картинки, поставленные вами ранее на аватарку на форумах. 
12) извлечь ранее удаленные файлы из Корзины или восстановить специальной программой. 

  Более того, можно сделать следующее:
- найти несколько разных типов файлов (фото, картинок, аудио, видео, документов и пр.); 
- сделать копию и сменить у неё расширение на оригинальное, если знаете, каким оно было;
- попробовать открыть этот файл, если файл поврежден, то эту копию можно просто удалить;
- если файл откроется и будет полностью читаем, то у вас будет на руках оригинальный файл. 



Возможные проблемы, вопросы и ответы


- Я загрузил вчера дешифратор, но он у меня не запускается?
Удалите этот файл и загрузите по той же ссылке новую версию, возможно проблема уже исправлена разработчиком.

- Я загрузил дешифратор, но он у меня не запускается и выдаёт непонятную ошибку?
Возможно у вас не загружены обновления или исправления Windows.
Загрузите с сайта Microsoft пакеты Microsoft Visual C++ Redistributable, включая 2008, 2010, 2012, 2013, 2015, 2017
Для Windows x86 нужно ставить только версию Redistributable (x86). 
Для Windows x64 нужно ставить оба пакета: Redistributable (x86) и Redistributable (x64). 

- Я загрузил дешифратор, но он у меня не запускается и выдаёт ошибку с Microsoft .NET Framework?
Загрузите или обновите Microsoft .NET Framework. Последняя версия на данный момент - это Microsoft .NET Framework 4.7.2

- Я указал на файл с тем же именем, но ключ дешифрования не найден или дешифратор не смог восстановить файл?
Файл оказался неточной копией зашифрованного. Это могло произойти из-за того, что ранее вы сами уменьшили или корректировали его в редакторе, или загружали в социальные сети, облачные сервисы, а там файл был как-то автоматически изменён. 
Поищите ещё файлы и попробуйте разные пары зашифрованных и оригинальных файлов с тем же названием. Очень часто файлы могут иметь одинаковые названия, но не являются копией друг друга. Словарный запас, используемый в любом языке, ограничен. Возможности ПК, фотокамер и прочих устройств для съемки фото, тоже небезграничны. В фотокамерах и мобильных устройствах названия для фото даются автоматически по определённому формату, поэтому фоток с названием от IMG_0001.JPG до IMG_9999.JPG в разные годы может набраться немало. Смартфоны могут давать фотоснимкам более оригинальные названия, типа IMG_20171012_170451.jpg - тут и дата съёмки, и порядковый номер, потому повторы названия маловероятны. 

- Я запустил дешифратор, но почему-то не все файлы расшифровались? 
Возможно, что у вас поработали два или более шифровальщика. Загрузите в ID Ransomware записку о выкупе с зашифрованным файлом, чтобы проверить, каким именно шифровальщиком и какой версией зашифрованы файлы. Если их несколько и они отличаются содержанием и названием, то загрузите и проверьте все найденные варианты записок или иных файлов, которые можно открыть в Блокноте. 
Некоторые шифровальщики используют разные ключи для шифрования разных категорий файлов. Другие могут атаковать вас повторно, если инфекция не была удалена или запущена повторно. Третьи могут начинать шифрование всякий раз, как вы включаете ПК или запускаете файл с трояном. Четвертые внедрены в нелегитимные утилиты-активаторы для системы или офиса, потому вредоносы запускаются каждый раз при включении ПК и/или подключении к Интернету. Пятые могут использовать подключение к Интернету для того, что подключиться к определённому  командному серверу, интернет-файлу или URL-адресу, выполняющему роль команды для атаки и шифрования. 

- Я расшифровал файлы, но как мне убедиться, что шифрование не повторится? 
Вероятно, вы имеете в виду повторное заражение (шифрование). До запуска процесса дешифрования нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен.
Чтобы затем продолжить использовать ПК и внешние накопители информации, вам нужно обезопасить ПК от повторных инфекций.
У вас всего два варианта:
- использовать бесплатную утилиту от ведущих антивирусных вендоров для полной проверки всего информационного пространства (локальных файлов, внешних подключаемых и сетевых устройств);
- установить и использовать комплексный антивирусный продукт от ведущих антивирусных брендов, выбрав хотя версию "попробуй прежде, чем купить" на 30-60 дней, чтобы проверить все ваше информационное пространство и интернет-подключение.

- Я все обыскал, но не нашел никаких дубликатов изображений и образцов изображений из Microsoft Windows. Где их взять? 
Если вам нужны оригинальные образцы изображений из арсенала Microsoft Windows, тогда скачайте их с нашего Яндекс-Диска. Ссылка на архив

- Что делать, я напуган неудачными попытками дешифрования? 
Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы. И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.
Я всегда рекомендую прежде всего сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.


ЕСЛИ НИЧЕГО НЕ ПОМОГАЕТ...

Если декриптер (декодер, дешифратор) не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика или его имитатором. Рекомендую вам лично связаться с разработчиком (он указывается в каждой статье), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка, используйте браузер Google Chrome или онлайн-переводчик от Google.


© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 19 мая 2016 г.

TeslaDecoder

Tesla Decoder 

Инструкция по использованию

Скачать TeslaDecoder >>>



Разработчики крипто-вымогателя TeslaCrypt закрыли свой вымогательский проект и выпустили единый мастер-ключ для дешифрования файлов, зашифрованных крипто-вымогателями TeslaCrypt, в том числе и последних 3.0 и 4.0 версий.

Вот этот ключ: 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

Для дешифровки файлов надо загрузить и разархивировать файл TeslaDecoder.zip на рабочем столе.
Запустить файл TeslaDecoder.exe и нажать кнопку Set key для выбора расширения.
В ниспадающем поле раздела Extension выберите пункт с нужными расширениями.
Если файлы были зашифрованы без изменения расширений, то выберите <as original>.
Скопируйте и введите в верхнее поле мастер-ключ, опубликованный выше.

Далее нажмите кнопку Set key, как показано на рисунке ниже.
 
Откроется главное окно утилиты с загруженным в дешифратор ключом дешифрования, как показано ниже.
Теперь можно расшифровать нужную папку с файлами или просканировать весь диск.
Для выбора папки c зашифрованными файлами нажмите кнопку Decrypt folder.
Для расшифровки всех файлов компьютера нажмите кнопку Decrypt all.
При этом TeslaDecoder спросит, хотите ли вы перезаписать файлы незашифрованными версиями.

Если на диске достаточно места, то откажитесь от перезаписи, тогда будет сделан бэкап зашифрованных файлов.
 
Когда TeslaDecoder завершит дешифрование файлов, он сообщит об этом в главном окне (результат я выделил зелёной рамкой).


Все файлы будут расшифрованы, и если вы не выбрали перезапись файлов, то будут созданы резервные копии зашифрованных файлов с расширением .TeslaBackup, к ним добавленным.

Если что-то не работает, обращайтесь по этой ссылке к разработчику. 


Удачной дешифровки! 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 17 мая 2016 г.

Xorist Decryptor

Xorist Decryptor 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Этот декриптор может дешифровать файлы, зашифрованные шифровальщиками-представителями целого семейства крипто-вымогателей, основанных на крипто-конструкторе Encoder Builder. Читайте об этом в описании Xorist Ransomware

Например, есть варианты этих вымогателей, которые добавляют к зашифрованным файлам следующие расширения:  EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259, .0JELvV, .5vypSa, .6FKR8d, .n1wLp0, .UslJ6m, .YNhlv1 ... Но это только малая часть. 


В сборнике "Шифровальщики-вымогатели" есть больше десятка отдельных статей для разных вариантов Xorist. Можете ознакомиться и найти тот, который зашифровал ваши файлы. 

***
В некоторых случаях представленный здесь дешифратор может работать неправильно. Необходимо подкорректировать под ваш случай. Закажите тест-расшифровку по этой ссылке, оплатите взнос. Заметьте, это не плата за расшифровку файлов, это взнос на обработку данных и тест-расшифровку. Нет какой-либо гарантии, каждый случай индивидуален. 

*** 
Для начала дешифровки с помощью Xorist Decryptor нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 

Если вам нужна помощь в удалении шифровальщика из системы, воспользуйтесь помощью специалистов: BleepingComputer (англоязычный форум) и Уничтожение вирусов (русскоязычный форум). 

Для использования декриптора вам потребуется зашифрованный файл, не меньше 144 байт, а также его незашифрованная версия. Для запуска декриптора выберите зашифрованный и незашифрованный файл и перетащите их на исполняемый файл декриптора.


Никогда не изменяйте имена оригинального и зашифрованного файлов перед дешифровкой, т.к. декриптор может выполнять сравнение имён файлов, чтобы определить правильные дошифрованные имена и расширения файлов, находящихся в вашей системе.

Если у вас нет оригинальной версии одного из зашифрованных файлов, то можно использовать образцы рисунков Windows, имеющиеся в папке в C:\Users\Public\Pictures (или см. папку Мои документы\Мои рисунки\Образцы изображений). 

Если в системе зашифрованы все нужные файлы, то поищите файлы на флешках, дисках... Один дубликат файл всё же найти можно.

Или скопируйте себе любой из файлов изображений, что видите здесь слева от текста. Они общие для всех ОС Windows 7. Они пригодятся при случае, когда зашифрованы все файлы изображений. включая на флешках и внешних дисках. 

После того, как будет определён ключ, использованный для шифрования ваших файлов, вы можете использовать этот ключ для расшифровки ВСЕХ других зашифрованных файлов на вашем компьютере.

Т.к. Ransomware нигде не сохраняют оригинальную информацию о незашифрованных файлах, то декриптор не может гарантировать, что дешифрованные данные будут идентичны тем, что были до шифрования. Поэтому декриптор по умолчанию с осторожностью не удаляет зашифрованные файлы после того, как они были дешифрованы (опция "Keep encrypted files" активна). 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 



Процесс перетаска файлов на утилиту дешифровки


После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптор попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.


Найден ключ дешифровки (на английском)

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.
При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Xorust Decrypter, такой, как показано ниже.
По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптор после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files". Это может быть даже необходимо, если место на жёстком диске ограничено.
Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!
По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 


Detailed usage guide (in English)


Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...

Xorist во время шифрования не касается первых байтов, которые обычно содержат уникальные маркеры формата файла, которые можно проверить, чтобы определить успешность дешифрования. Шифрование для Xorist начинается в случайном месте в определённом диапазоне. Невозможно определить, был ли файл успешно дешифрован универсальным и автоматическим способом. Только вручную можно проверить каждый файл и визуально оценить успех дешифрования. 

Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG). 

© Amigo-A (Andrew Ivanov): All blog articles.

777 Decryptor

777 Decryptpr 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке Загрузки (по умолчанию в браузерах). 

Используйте этот декриптoр, только если ваши файлы были зашифрованы и переименованы шифровальщиком 777 Ransomware, при котором на конец зашифрованного и переименованного файла добавляются дополнительные расширения .777 или .legion, в зависимости от версии шифровальщика. 

Запустите скачанный файл и примите соглашение.

В итоге перед вами откроется окно декриптoра.

Необходимо выбрать правильную версию шифровальщика на вкладке "Options" декриптoра, чтобы он мог отработать должным образом.

По умолчанию в первом окне декриптoра уже выбраны имеющиеся на вашем ПК локальные диски, например, C и D в моем окне. Вы также можете добавить или исключить какой-то диск или добавить отдельные зашифрованные файлы на жестком или внешнем дисках. 
Как видите на скриншоте, можно добавить только файлы с расширениями .777 или .legion. Не добавляйте зашифрованные файлы с другими расширениями, если на то нет особой рекомендации. 

Для начала дешифровки файлов на выбранных дисках нажмите кнопку "Decrypt".

Процесс дешифровки может занять определённое время, имейте терпение. По окончании дешифровки вы увидите список дешифрованных файлов или иное информационное сообщение. 

Удачной дешифровки! 


ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптoр не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG). 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 16 мая 2016 г.

Общие рекомендации

Общие рекомендации

Translation into English

1. До начала дешифрования


   До начала дешифрования при помощи утилит дешифрования (декодеров, декриптеров или дешифраторов, названия разные, предназначение общее) нужно убедиться в том, что из вашей скомпрометированной системы удалены основные исполняемые и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен после перезагрузки системы или при подключении к Интернету.  

  Некоторые шифровальщики сами проводят зачистку своих файлов после нанесения вреда и оставления записок с требованиями выкупа. Но некоторые другие не самоудаляются из системы, чтобы продолжить свою вредоносную деятельность уже после проведённого шифрования. Есть и такие, что оставляют после себя других вредоносов: похитителей паролей, бэкдоров, троянов-загрузчиков, майнеров криптовалют и пр. пр. 

  Проверить систему на наличие в ней файлов шифровальщика и других вредоносов можно самому при помощи антивирусных средств (утилит разовой проверки или актуальной комплексной защиты), но если они блокируются вредоносами, то пострадавший вряд ли справится с этой задачей или только усугубит состояние. 

Изучите "Руководство для пострадавшего от вымогателей". Именно от правильных действий пострадавшего чаще всего зависит удачный исход дешифровки. Оригинальная версия (на английском) написана Фабианом Восаром, исследователем шифровальщиков и создателем множества дешифровщиков. 

  Если вам нужна помощь в удалении шифровальщика из системы, воспользуйтесь помощью специалистов: BleepingComputer (англоязычный форум) и Kaspersky Club (русскоязычный форум). Помощь оказывается специалистами этого дела, которые ежедневно на форумах помогают пострадавшим от шифровальщиков и других вредоносов. Обнаруженные вредоносы удаляются или помещаются в специальный карантин для последующего изучения и лечения. 

Никогда не изменяйте имена оригинального и зашифрованного файлов перед дешифрования, т.к. декриптер может выполнять сравнение имён файлов, чтобы определить правильные дошифрованные имена и расширения файлов, находящихся в вашей системе.

Некоторые дешифраторы (от зарубежных разработчиков) не могут работать с кириллическим именем пользователя. Невероятно, но факт! Обязательно переименуйте имя вашей учетной записи на англоязычное, например, если имя было "Пользователь", то переименуйте его на "User", хотя бы на время дешифровки. 

Не пытайтесь воспользоваться фиксами и скриптами, предназначенными для других пострадавших на этих форумах, т.к. каждый случай инфицирования и шифрования уникален, и то, что может помочь другим, может навредить вам. 


2. Во время дешифрования


   Шифровальщики нигде и никогда не сохраняют оригинальную информацию о незашифрованных файлах. Максимум, что они делают, создают список зашифрованных файлов, с датой начала и окончания шифрования, путями размещения файлов и некоторой другой информацией.

Поэтому декриптеры, которые вы будете использовать для дешифрования своих файлов, не могут гарантировать, что дешифрованные данные будут идентичны тем, что были до шифрования. Возможны потери в коде и размере, в визуальном (графическом, текстовом, мультимедийном) содержимом. 

Используя декриптеры, обращайте внимания на опции "Сохранять зашифрованные файлы" или "Удалять зашифрованные файлы". Они различаются у разных декриптеров, но могут и совсем отсутствовать. 

Поэтому очень важно с осторожностью подходить к процессу дешифрования. Для этого сначала попробуйте полученный декриптер на небольшом количестве своих зашифрованных файлов. 

Если полученный результат превосходит все ожидания, то продолжайте дешифровку.  Если результат отрицательный, файлы не читаются или даже частично повреждены, отказывайтесь от применения такого декриптера. 


3. После дешифрования


  Если полученный декриптер отработал отлично и файлы удалось дешифровать, то полученный урок должен научить вас следующему: 

1) Нельзя экономить на антивирусной защите. Антивирусная программа должна быть самой актуальной, максимально комплексной и своевременно продлеваемой. Даже 5 минут неактивности антивирусной защиты могут стать роковыми для вашего ПК и данных, хранящихся на его накопителях.

2) Нужно делать резервное копирование важных данных. Наилучший доступный каждому способ бэкапа — по методу 3-2-1: создать 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте. 

3) Нельзя пользоваться компьютером, интернетом и электронной почтой, не осознавая всех рисков, которым можно подвергнуться не имея элементарных знаний по информационной безопасности. 

Для получения более подробной информации досконально изучите "10 способов защиты от шифровальщиков-вымогателей". Не откладывайте это на другой день. Распечатайте и ознакомьте с ними всех членов своей семьи или всех сотрудников вашей организации. 


Удачной дешифровки! 


ЕСЛИ ФАЙЛЫ НЕ ДЕШИФРУЮТСЯ...
Разработчики крипто-вымогателей могут обновить своё вредоносное ПО, чтобы причинить вред ещё большему числу компьютерных пользователей. 
Поэтому разработчики бесплатных декриптеров, ранее выпущенных и удачно работавших, могут нуждаться в образцах новой версии шифровальщика и зашифрованных файлов. 
Если декриптер не работает с вашими зашифрованными файлами, значит вам следует связаться в разработчиком декриптера. Ссылка, по возможности, будет в конце каждой статьи.

Если вам нужны оригинальные образцы изображений из арсенала Microsoft Windows, скачайте их с нашего Яндекс-Диска. Ссылка на архив


© Amigo-A (Andrew Ivanov): All blog articles.