четверг, 7 апреля 2016 г.

Дешифровщики

Дешифровщики файлов

Translation into English


   Существует множество программ-вымогателей, которые блокируют работу компьютера, шифруют файлы, а потом вымогают у пользователя, ставшего их жертвой, денежную сумму в немыслимом размере. 


  Сама история вымогательских программ насчитывает, по крайней мере, 10 лет, но за последние два года набрала обороты и кардинально эволюционировала одна группа вымогателей — Крипто-вымогатели (они же шифраторы, криптолокеры, шифровальщики-вымогатели). Начиная с середины 2014 года их производство и распространение понеслось по нарастающей. Год 2016 стал настоящим годом криптовымогателя. 


 Мы создали и поддерживаем в актуальном состоянии специальный блог, посвященный этой проблеме. В нем собираются и публикуются данные о шифровальщиках-вымогателях (крипто-вымогателях), которые попадают в поле нашего зрения. 

 Данный блог будет посвящён программам, которые помогают пользователям, пострадавшим от криптовымогателей, дешифровать зашифрованные ими файлы. 

  Здесь публикуется список дешифровщиков (дешифраторов, декрипторов, декриптеров) по алфавиту. Сейчас их здесь 75. На каждый дешифровщик по возможности создана отдельная страница с доступными инструкциями по использованию на русском или английском языках. Некоторые ссылки в списке ниже ведут на сайты разработчиков дешифровщиков. 


0 - 9
777Decrypt - дешифровщик для 777 Ransomware
8lock8 Decrypter  - дешифровщик для 8lock8 Ransomware


A-a
AES-NI / XData Decrypter - дешифровщик для AES-NI / XData Ransomware
Al-Namrood Decrypter - дешифровщик для Al-Namrood Ransomware
AlphaDecrypter - дешифровщик для Alpha Ransomware
Amnesia Decrypter  - дешифровщик для Amnesia Ransomware
Amnesia2 Decrypter  - дешифровщик для Amnesia2 Ransomware
Annabelle Decryptor - дешифровщик для Annabelle Ransomware
Apocalypse Decrypter - дешифровщик для Apocalypse Ransomware
ApocalypseVM Decrypter - дешифровщик для Apocalypse Ransomware
Aurora Decrypter by Emsisoft - дешифровщик для Aurora Ransomware
AutoLocky Decrypter - дешифровщик для AutoLocky Ransomware


B-b
BansomQare Manna Decrypter - дешифровщик для BansomQare Manna Ransomware
BigBobRoss Decrypter by Avast - дешифровщик для BigBobRoss Ransomware
BigBobRoss Decrypter by Emsisoft - дешифровщик для BigBobRoss Ransomware
BitKangaroo Decrypter - дешифровщик для BitKangaroo Ransomware
BTCWare Decrypter - дешифровщик для разных версий семейства BTCWare Ransomware


C-c
Cry128 Decrypter - дешифровщик для Cry128 Ransomware
Cry9 Decrypter  - дешифровщик для Cry9 Ransomware
Cryakl Decoder-1.4 дешифровщик для Cryakl Ransomware, версии Fairytail
Cryakl Decoder-1.5 - дешифровщик для Cryakl Ransomware, версии Doubleoffset
CrypBoss Decrypter - дешифровщик для CrypBoss Ransomware
Crypren Decrypter - дешифровщик для Crypren Ransomware
CryptInfinite Decrypter - дешифровщик для CryptInfinite Ransomware
CryptConsole Decrypter  - дешифровщик для CryptConsole Ransomware
CryptoDefense Decrypter - дешифровщик для CryptoDefense Ransomware
CryptON и X3M Decrypter - дешифровщик для CryptON и X3M Ransomware

D-d
Damage Decrypter - дешифровщик для Damage Ransomware
DMALocker1 Decrypter - дешифровщик для DMALocker Ransomware
DMALocker2 Decrypter - дешифровщик для DMALocker2 Ransomware



E-e
Everbe Decrypter - дешифровщик для Everbe 1.0 Ransomware



F-f
Fabiansomware Decrypter - дешифровщик для Fabiansomware Ransomware
FenixLocker Decrypter - дешифровщик для FenixLocker Ransomware
FilesLockerDecrypter - дешифровщик для FilesL0cker Ransomware


G-g
GandCrab Decrypter дешифровщик для GandCrab-1 Ransomware
GhostCrypt Decrypter - дешифровщик для GhostCrypt Ransomware
Globe Decrypter - дешифровщик для Globe Ransomware
Globe2 Decrypter - дешифровщик для Globe2 Ransomware
Globe3 Decrypter дешифровщик для Globe3 Ransomware
GlobeImposter Decrypter дешифровщик для GlobeImposter Ransomware
Gomasom Decrypter - дешифровщик для Gomasom Ransomware


H-h
Harasom Decrypter - дешифровщик для Harasom Ransomware

HiddenTear Bruteforcer - брутфорсер для вымогателей на основе криптоконструктора HiddenTear: HiddenTear, EDA2, 8lock8BankAccountSummary, KratosMireWare.

HiddenTear Decrypter - дешифровщик для вымогателей на основе крипто-конструктора HiddenTear: HiddenTear, EDA2, 8lock8BankAccountSummaryKratosMireWare.

HydraCryptDecrypt+UmbreCryptDecrypt - дешифровщик для HydraCrypt и UmbreCrypt Ransomware



I-i
InsaneCrypt Decrypter - дешифровщик для InsaneCrypt Ransomware



J-j
JigSawDecrypter - дешифровщик для JigSaw Ransomware
JigSaw+CryptoHitmanDecrypter - дешифровщик для JigSaw и CryptoHitman Ransomware


K-k
KeyBTC Decrypter - дешифровщик для KeyBTC Ransomware


L-l
LeChiffre Decrypter - дешифровщик для LeChiffre Ransomware


M-m
Marlboro Decrypter - дешифровщик для Marlboro Ransomware
MicroCop Decrypter - дешифровщик для MicroCop (Mircop) Ransomware
MRCR Decrypter  - дешифровщик для MRCR Ransomware


N-n
Nemucod Decrypter - дешифровщик для Nemucod Ransomware
NemucodAES Decrypter - дешифровщик для NemucodAES Ransomware
NMoreira Decrypter - дешифровщик для NMoreira Ransomware


O-o
OpenToYou Decrypter - дешифровщик для OpenToYou Ransomware
OzozaLocker Decrypter - дешифровщик для OzozaLocker Ransomware


P-p
Petya Decrypter - дешифровщик для Petya Ransomware
PewCrypt Decrypter - дешифровщик для PewCrypt Ransomware
PClockDecrypt - дешифровщик для PClock Ransomware
PClock2Decrypt - дешифровщик для PClock Ransomware
Philadelphia Decrypter - дешифровщик для Philadelphia Ransomware
Planetary Decrypter - дешифровщик для Planetary Ransomware


R-r
Radamant Decrypter - дешифровщик для Radamant Ransomware
RannohDecryptor - дешифровщик для CryptXXX и CryptXXX v.2.0 Ransomware


S-s
Scarab Decryption - способ дешифрования для семейства Scarab Ransomware
STOP-Puma Decrypterдешифровщик для группы Puma семейства STOP Ransomware
STOP-Djvu Decrypterдешифровщик для группы Djvu семейства STOP Ransomware
Stupid Decrypter - дешифровщик для группы т.н. Stupid Ransomware


T-t
TeslaCrypt Decryption Tool - дешифровщик для TeslaCrypt всех версий
TeslaDecoder - дешифровщик для TeslaCrypt 3.0-4.2 Ransomware
TrueCrypter Decrypter - дешифровщик для TrueCrypter Ransomware


X-x
XoristDecrypt дешифровщик для Xorist Ransomware


Z-z
ZQ Decrypter - дешифровщик для ZQ Ransomware



Присоединяйтесь к нашему проекту! 

Присылайте ссылки, делитесь наработками, присылайте информацию по дешифровщикам и криптовымогателям. По мере накопления материала она будет опубликована. 



© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, скриншотинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles. When quoting and any use of materials, a link to the blog and the author is mandatory.

128 комментариев:

  1. Спасибо. Еще будет информация? В смысле добавляться?

    ОтветитьУдалить
    Ответы
    1. Да, будет, материала накопилось много и нужна помощь. Если готовы помочь, напишите мне в чат, подскажу что надо сделать. Это несложно, но не успеваю.

      Удалить
  2. 0xc030@protonmail.ch
    0xc030@tuta.io
    aes-ni@scryptmail.com
    SORRY! Your files are encrypted.
    File contents are encrypted with random key (AES-256 bit; ECB mode).
    Random key is encrypted with RSA public key (2048 bit).
    Чем расшифровать?

    ОтветитьУдалить
    Ответы
    1. Обратитесь по адресу https://virusinfo.info/forumdisplay.php?f=194 к thyrex.

      Удалить
  3. Здравствуйте.Помогите дешифровать файлы с расширением LanRan

    ОтветитьУдалить
    Ответы
    1. Обратитесь на форум по ссылке.
      https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/
      Создайте тему с названием вымогателя.
      Изучите "Первые шаги". http://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html
      Без их соблюдения вряд ли удастся что-то дешифровать. Тем более у нас ранее был только тестовый образец LanRan-а.

      Удалить
  4. День добрый, помогите дешифровать *.crypted000007

    ОтветитьУдалить
    Ответы
    1. Это новейшая версия Troldesh/Shade . У ЛК есть декрипторы для двух ранних версий.
      См. обновление от 1-5 мая 2017 в конце статьи
      http://id-ransomware.blogspot.ru/2016/06/troldesh-ransomware-email.html
      Вначале написано, что делать . Отправьте файлы здесь: https://www.nomoreransom.org/ru/index.html

      Удалить
    2. Пока все. У меня тоже был случай, когда люди пострадали. Файлы сохранили, через полгода появился декриптер. Все дешифровали утилитой от ЛК.

      Удалить
    3. Ребята очень прошу, если у кого есть способ решения, дайте знать: wagonsoli@gmail.com

      Удалить
    4. Кто найдет панацею, прошу очень ПОМОЧЬ МНЕ
      grigorian@ex.ua

      Удалить
    5. Вообще есть конторы, которые за деньги дешифруют crypted000007. От 5000 руб стоит. Мне даже один файл расшифровали для пробы. Значит есть решение. Неужели тот же Касперский не победил этого шифровальщика?

      Удалить
    6. Эти конторы видимо состоят в доле с мошенниками-вымогателями. Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет.
      "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"
      http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

      Удалить
  5. Кажется мы поймали GlobeImposter 2.0 есть ли декриптор по нему ? и могу ли я чем то помочь в его скором появлении?

    ОтветитьУдалить
  6. Добрый день! ТОже GlobeImposter 2.0. Файлы зашифрованы с расширением .crypt Можете чем то помочь?

    ОтветитьУдалить
  7. Добрый день! Файлы стали с окончанием .crypt . Скорее всего тоже GlobeImposter 2.0. Есть какие то рекомендации?

    ОтветитьУдалить
  8. По GlobeImposter есть отдельная тема https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

    ОтветитьУдалить
  9. Здравствуйте! Клиенты принесли комп.
    Заражён GlobeImposter 2.0, файлы с расширением ..726
    Удалили всё ESET'ом. При желании могу восстановить сами файлы вируса, они же .vbs скрипты и отправить.
    Прочёл, что дешифраторов на данный тип шифровальщика - не существует. Помогут ли Вам файлы вируса? Если да, то скажите - чего и куда выслать можно.

    ОтветитьУдалить
    Ответы
    1. С этим крипто-вымогателем ситуация на сегодняшний день такова: нет возможности дешифровать файлы без уплаты выкупа. Расширений много разных с 3х-4х-5х знаками и пр.. Не успеваем добавлять сюда: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Тема поддержки: https://www.bleepingcomputer.com/forums/t/644166/globeimposter-crypt-pscrypt-ext-back-fileshtml-ransomware-support/
      Файлы можно отправлять туда.

      Удалить
  10. Тоже отметился это шифратор. По почте прилетел.
    Девочка и открыла.
    Почистил теневую копию бекапа.
    Придется ждать дешифратор

    ОтветитьУдалить
  11. GlobeImposter 2.0 имеет сейчас много итераций. Используется широко, потому что недешифруем пока. И в ближайшее время вряд ли будет. Собирайте зашифрованные файлы в папку "Зашифрованное" вместе с записками (обязательно!) и сохраняйте. Систему придется переустановить и в дальнейшем придерживаться рекомендаций, описанных в статье "10 способов защиты от шифровальщиков-вымогателей"
    http://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html
    Нельзя экономить на защите!

    ОтветитьУдалить
  12. Я опубликовал последние обновления по новым итерациям GlobeImposter в конце статьи
    https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
    Будут новые - добавляйте там.

    ОтветитьУдалить
  13. У меня есть помимо HPLaserJetService.exe (вирус) и файл c именем {1f777390-0b42-11e3-80ad-806e6f6e6963} и содержимым состоящим из ID (512 символов) и ключа (256 символов). Может эта информация поможет в создании дешифратора?

    ОтветитьУдалить
  14. Здравствуйте! Ничего не слышно про Ishtar Ransomware(((((?

    ОтветитьУдалить
  15. День добрый, а про такой crypted000007 есть новости

    ОтветитьУдалить
    Ответы
    1. Нет пока. Все ждут. См. мои комментарии от 8 мая и 4 августа.

      Удалить
  16. Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Зашифрованные файлы имеют разные расширения: stu, uvw, yyz, efg, ccd, cde, abc, jjk, ijk, nop, mmn, qqr, vxy, zza, aaa, jkl и т.д. В каждой зашифрованной папке располагается README.txt файл с сообщением "files encrypted write you country to komar@tuta.io"
    Возможна ли расшифровка?

    ОтветитьУдалить
    Ответы
    1. Для Cryakl нет расшифровки. Уже давно бушует. Судя по новому email - одна из новый модификаций. Тем более нет дешифровщика. Даже антивирусные "гиганты" ничего не могут поделать.

      Удалить
    2. Пробуйте по инструкции инструмент Rannoh Decryptor
      https://noransom.kaspersky.com/ru/

      Удалить
  17. Trojan encoder 11539 v3 слышно что нибудь?

    ОтветитьУдалить
    Ответы
    1. Видимо, вы имеете ввиду Fake Globe (GlobeImposter 2.0).
      Описание: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Много модификаций. На него нет дешифровщика.
      Файлы нужно собрать, возможно что-то появится в будущем.

      Удалить
  18. Добрый день словили шифровальщик расширение файлов .coded
    если что есть оригинальные файлы и зашифрованные.
    очень нужна помощь

    ОтветитьУдалить
    Ответы
    1. Возможно, это Fake Globe (GlobeImposter-2). В обновлении от 7 августа было такое расширение заш-файлов. Ссылка: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Для этого семейства пока нет никакого дешифровщика. Рекомендуем сделать бэкап зашифрованных файлов.

      Удалить
  19. Люди, а что с этим новым трояном .arena? Беда. Все базы 1С зашифровались. Требуют 1 биткоин ((

    ОтветитьУдалить
    Ответы
    1. Наше описание здесь: https://id-ransomware.blogspot.ru/2017/08/arena-ransomware.html
      Дешифровщика пока нет. Рекомендуем сделать бэкап зашифрованных файлов.

      Удалить
    2. Добрый день.
      Поймали - email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-285088181-22.11.2017 21@04@476141204.fname-README.txt.fairytail
      После перезагрузки продолжает шифровать, как вытащить ключ для дешифровки?

      Удалить
    3. Вероятно это Cryakl
      Пробуйте по инструкции инструмент Rannoh Decryptor
      https://noransom.kaspersky.com/ru/

      Удалить
    4. Теперь есть дешифровщик для Cryakl Fairytail
      https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
  20. Добрый день.
    С crypted000007 ничего не прояснилось?

    ОтветитьУдалить
    Ответы
    1. После второго взлома с шифрованием crypted000007 негодяй запросил очень большую сумму, обратился к первому негодяю, к которому до этого обращался, он дал адекватную стоимость, походу существует по crypted000007 какая-то общая база. все получилось расшифровать как в первом так и во втором случае. Комп в ожидании расшифровки находился около года (биткоин дорогой был).

      Удалить
  21. Здравствуйте. Люди добрые помогите. Поймал вирус. Всё файлы на компьютере зашифрованы. Имеют расширение ". Fairytail" rahon не помогает. Что делать не знаю ((((((

    ОтветитьУдалить
    Ответы
    1. Теперь есть дешифровщик для Cryakl Fairytail
      https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
  22. Здравствуйте. Попал на компьютер вирус:
    email-lybot@keemail.me.ver-CL 1.4.0.0.id-3367407718-21.12.2017 17@11@497255988.fname-Октябрь.xlsx.fairytail.
    Rannoh Decryptor не помогает. Люди добрые помогите спасти данные....(((((

    ОтветитьУдалить
    Ответы
    1. Выше был уже коммент с таким же шифровальщиком. Лучших новостей нет.

      Удалить
    2. Я могу помочь. Извините, я говорю только по-английски и написал это с помощью Google Translate. Я расшифровал мои собственные файлы, затронутые этой версией ransomware, и я работаю над инструментом дешифрования. Если вы хотите отправить мне несколько файлов, я был бы более чем счастлив попробовать. Мне нужен один незашифрованный файл, тот же файл после его зашифрования и один или два других зашифрованных файла.

      Удалить
    3. HI. I really need to decrypt my files. Can you help me? How can I communicate with you? Tell me your email

      Удалить
    4. James Gourley
      Куда отправить? У меня есть зашифрованные и расшифрованные

      Удалить
    5. Кликните на профиль James Gourley, далее см. про профилю.
      И помните, у нас нет достоверной информации по нему.

      Удалить
    6. Извините, я не был уведомлен об ответах здесь. См. Статью, которую я опубликовал здесь. Он написан на английском языке, но, надеюсь, Google Translate поможет.

      https://www.experts-exchange.com/articles/31579/Decrypting-Cryakl-1-4-0-0-1-4-1-0-FAIRYTAIL-Ransomware.html

      Удалить
    7. Thank you, I translated and added new article with instructions and links to your decoder. // Спасибо. Я добавил инструкцию для русскоязычных пользователей в свой второй блог https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
    8. Теперь есть дешифровщик для Cryakl Fairytail
      https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
  23. При наличии лицензий на антивирусы Доктор Веб или Касперский можно обратиться на их форумы поддержки. Там также есть возможность частной (платно в разумных пределах) расшифровки.

    ОтветитьУдалить
  24. Здравствуйте, попал вирус .BIG2 кто может помочь

    ОтветитьУдалить
    Ответы
    1. Шифровальщик, который добавляет расширения .BIG2 и .BIG4 к зашифрованным файлам - это GlobeImposter. Описания и обновления здесь: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
  25. Здравствуйте. Попал на компьютер вирус rapid, никто не сталкивался

    ОтветитьУдалить
    Ответы
    1. Описание: https://id-ransomware.blogspot.ru/2018/01/rapid-ransomware.html
      Для россиян сами вымогатели дешифруют бесплатно.

      Удалить
  26. Здравствуйте. Поймал шифровальщик: decrypthelp@qq.com. Есть о него чего-нибудь? Или это совсем что-то свежее. Переписывался с гадами, просят 0,3 биткоина. 150 касиков, мать их....

    ОтветитьУдалить
    Ответы
    1. На основании этой почты decrypthelp@qq.com можно сказать, что это один из вариантов Dharma ransomware. Публичного дешифровщика пока нет.
      Полное описание с обновлениями см. на нашем основном сайте: https://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.html
      Итерация с этой почтой была выявлена 5 января 2018. См. внизу статьи под =2018=

      Удалить
  27. Добрый день! Поймали шифровальщик Trojan.Encoder.24450. файлы с расширением .infiniti Помогите расшифровать!

    ОтветитьУдалить
    Ответы
    1. Вероятно, это InfiniteTear Ransomware. Его описание есть на основном сайте поссылке http://id-ransomware.blogspot.ru/2017/08/thelast-ransomware.html
      Дешифровщика пока нет. Сделайте бэкап зашифрованных сайтов и обязательно сохраните оригинальный файл записки о выкупе. Хотя бы один.

      Удалить
    2. Если у вас имеется исполняемый файл вредоноса, то забросьте его на https://www.sendspace.com/ и дайте нам ссылку. Мы проанализируем его, если это уже известный образец, то как и сказал раньше, пока нет дешифровщика. Если какой-то другой, то мы узнаем.

      Удалить
  28. подскажите для такого есть дешифратор Trojan.Encoder.11539.
    просят связаться по почте crypto.supportt@aol.com

    ОтветитьУдалить
    Ответы
    1. Это GlobeImposter-2. Нет публичных дешифровщиков. Увы.
      https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
    2. Какое расширение у файлов этой версии шифровальщика?

      Удалить
  29. Схватили сегодня. В Dr.Web сказали что Trojan.Encoder.11539, видимо GlobeImposter-2. Утилиты emsisoft не расшифровывают. Расширение файлов .[dsupport@protonmail.com], инструкция "How to restore your files.hta". Зловред https://www.sendspace.com/file/3maymv. Персепктив как я понимаю нет?

    ОтветитьУдалить
    Ответы
    1. Это GlobeImposter. Описание и обновления на нашем главном сайте:
      https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
  30. Поймали Здравствуйте, попал вирус .coded кто может помочь

    ОтветитьУдалить
    Ответы
    1. Без просмотра записок и анализа файлов точно не скажешь.
      Возможно, что это тоже GlobeImposter. Такое расширение у зашифрованных файлов добавлялось в 2017 и 2018 годах. Описание и обновления на нашем главном сайте:
      https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
    2. Готов предоставить файлы для анализа. Готов заплатить(в разумных пределах)

      Удалить
    3. С этим лучше сюда: https://legal.drweb.ru/encoder/
      Хоть какой-то шанс.

      Удалить
  31. Добрый день! Есть ли новости про crypted000007?
    Dr-shifro.ru/Шифр-CRYPTED000007 просит 40 тыс.за расшифровку.

    ОтветитьУдалить
    Ответы
    1. Ну и пошлите им парочку файлов размера больше 1 Мб для тестовой расшифровки, содержимое которой вам достоверно известно. Пусть расшифруют и покажут скриншот всех страниц документа или все изображение.
      Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет. "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"
      http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

      Удалить
  32. ANyone happened to bump with *.bip ransomwaer extension?

    ОтветитьУдалить
    Ответы
    1. This is Dharma Ransomware. There are no public decryptors.
      https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

      Удалить
  33. Здравствуйте! Cловили .glutton, кто может помочь

    ОтветитьУдалить
    Ответы
    1. Вариант Scarab Ransomware с расширением .glutton относится к группе Scarab-Bomber Ransomware
      Наше описание и обновления см. в статье:
      https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html
      О процесе дешифрования и помощи читайте на странице:
      https://decryptors.blogspot.com/2018/06/scarab-decryptor.html
      Вы можете обратиться за частной дешифровкой на форумы Dr.Web (Россия) или ESET (офиц. англоязычный).

      Удалить
  34. По PSCrypt есть какая-то инфа? Недельку назад принесли ПК и флешку с ним. В интернете инфа только за 2017 год.

    ОтветитьУдалить
  35. Приветствую. Словили .omerta, куста реестра уже нет. Стоит хранить зашифрованные файлы или без шансов?

    ОтветитьУдалить
  36. Некоторые версии Scarab можно дешифровать и без куста реестра. Можно подать запрос на бесплатную дешифровку файлов (png, jpg, doc, pdf) в Dr.Web, ESET (английский сайт). Если получится, они предложат купить пакет восстановлений с AV-продукт на 1-2 года. У ESET только лицензия на продукт.

    ОтветитьУдалить
  37. Добрый день! Есть ли новости про crypted000007? Уже даже интересно, что за загадочный шифровальщик , что за столько лет ничего по нему в общем доступе нет.

    ОтветитьУдалить
    Ответы
    1. Никакая он не загадка. Вся информация представлена здесь
      https://id-ransomware.blogspot.com/2016/06/troldesh-ransomware-email.html

      Удалить
    2. Инфа о самом зловреде есть, а вот насчет дешифратора нет

      Удалить
    3. Загадка что нет решения)

      Удалить
    4. Дешифраторы для Troldesh/Shade есть от Касперского (указан в статье про него), только для ранних и некоторых промежуточных версий. А для того варианта, что добавляется расширение crypted000007 - не могут сделать. Шифрование - это такая штука, что чуть-чуть изменил и всё, не расшифровывается. Искать надо способ извлечения ключей. Ии ждать, когда сами вымогатели или их конкуренты выложат. Для ранних версий Troldesh/Shade тоже пришлось ждать полгода или больше.

      Удалить
  38. Здравствуйте!

    Файлы зашифрованы, в названия файлов добавлен текст id-C09C8F75.[decrypthelp@qq.com].java

    Есть какое-то решение для расшифровки?

    ОтветитьУдалить
    Ответы
    1. Файлы зашифрованы Dharma https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html
      Публичного дешифровщика для данного варианта пока нет.

      Удалить
  39. Здравствуйте, помогите дешифровать файлы "Шназвание файла.xls.id-38BA783E.[unblock@badfail.info].ETH
    есть ли варианты?

    ОтветитьУдалить
    Ответы
    1. Это Dharma, один из новых вариантов. Для него пока нет никаких способов дешифрвоки, кроме тех, что имеются у вымогателей.
      Общее описание: http://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

      Удалить
  40. Чем можно помочь вашему проекту? .ETH заражения.

    ОтветитьУдалить
    Ответы
    1. Мы принимаем помощью в любом виде. Но расшифровать новые варианты Dharma с указанным расширением .ETH не могут даже специалисты из антивирусных компаний.

      Удалить
  41. О Dharma Ransomware https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

    ОтветитьУдалить
  42. Всем привет!
    Я тоже недавно подхватил от злоумышленника трояна-шифровальшика который зашифровал мои файлы с расширением crypted000007.
    Прошу Вас сообщить когда появиться программа для расшифровки файлов.

    ОтветитьУдалить
    Ответы
    1. Это Troldesh/Shade
      https://id-ransomware.blogspot.com/2016/06/troldesh-ransomware-email.html
      Что-то давно Аверы не могут ничего сделать с шифрованием.

      Удалить
  43. Добрый день! Прошу помочь дешифровать файлы, зашифровали NAS D-Link DNS-325 - вот этим Cr1ptT0r .

    ОтветитьУдалить
  44. Он описан еще в феврале в нашей статье Cr1ptT0r Ransomware
    https://id-ransomware.blogspot.com/2019/02/cr1ptt0r-ransomware.html
    Нет бесплатного публичного дешифровщика.
    Создать запрос на пробную бесплатную расшифровку можете попробовать в DrWeb https://legal.drweb.ru/encoder/
    О результатах сообщите.

    ОтветитьУдалить
  45. Здравствуйте, споймали вирус .systems32x Есть ли способ дешифровки? Спасибо.

    ОтветитьУдалить
    Ответы
    1. Обновление от 17 апреля 2019:
      Расширение: .systems32x
      Записка: HOW TO BACK YOUR FILES.TXT
      Email: systems32x@gmail.com
      systems32x@yahoo.com
      systems32x@tutanota.com
      help32xme@usa.com
      additional.mail@mail.com
      Если все данные такие же, то это GlobeImposter-2 https://id-ransomware.blogspot.com/2016/12/fake-globe-ransomware.html
      И бесплатного дешифратора нет.
      Если с этим расширением другие данные. то присылайте мне ссылку с запиской о выкупе и несколько файлов разного формата. Используйте www.sendspace.com. Он принимает файлы и дает ссылку на загрузку. Ссылку вставьте сюда.

      Удалить
    2. Платный есть у вымогателей.

      Удалить
  46. Здравствуйте! у Главбух за шифровался вирусом DOUBLEOFFSET 3nity@tuta.io весь комп и windows теперь не грузится( помогите расшифровкой файлов?

    ОтветитьУдалить
    Ответы
    1. Windows можно откатить на предпоследнюю или более раннюю версию, файлы - выбрать в контекстном меню ПКМ "Восстановить прежнюю версию".
      Если это не помогает и файлы остаются зашифрованы, то для этой версии Cryakl Ransomware нет бесплатного дешифратора. Главбух в компании всегда стратегически важное, но уязвимое звено. Её ПК нужно защищать, как свои "помидоры". Актуальную защиту можете выбрать здесь (тоже мой сайт) https://anti-ransomware.blogspot.com/2019/02/topical-protection.html
      Если совсем нет денег, можете попросить ключ на Norton Security по ссылке http://club-symantec.ru/showthread.php?t=4824 Три месяца будет ПК под защитой, потом еще попросите. :)

      Удалить
  47. Всем доброго времени суток!
    Все стандартно, бухгалтерия поймала вирус, теперь файлы вида - email-3nity@tuta.io.ver-CS 1.6.id-.fname-1Cv8.dt.cs16 ну и плюс readme.txt - "send your country and ip to 3nity@tuta.io
    ". НИкто не сталкивался с этой бякой? Буду признателен за любую информацию.

    ОтветитьУдалить
    Ответы
    1. Это Cryakl Ransomware. Иногда можно расшифровать.
      Обратитесь за помощью по ссылке на форум https://forum.kasperskyclub.ru/index.php?showforum=26
      Возможно, вам может помочь консультант thyrex

      Удалить
    2. На форуме ответили, что файлы, на данный момент расшифровке подвергнуть нельзя - "Возможность расшифровать будет после ареста серверов с ключами, что маловероятно."

      Удалить
    3. Когда выходит новый вариант, всегда кажется невозможным. Потом, по истечение времени исследования образцов и методов распространения, находится способ. Вам нужно проанализировать ситуацию, выяснить слабое звено в защите (если она есть), которое могло быть атаковано. Его нужно защитить лучше в любом случае. Мои рекомендации https://id-ransomware.blogspot.com/p/ransomware.html

      Удалить
  48. Да я и так знаю, это RDP(наследство от предыдущего админа). Всё требовал от руководства закрыть RDP и использовать vpn, ответом было мы так привыкли, и уже столько лет работает, ничего же не случилось. Вот и получили. А теперь пытаются на меня все шишки повесить, с мотивировкой надо было отключить этот RDPи всё.

    ОтветитьУдалить
  49. Подскажите что это за шифровальщик 28.02.19.pdf.id-12893189.bitcoin1foxmail.com.harma

    ОтветитьУдалить
    Ответы
    1. .id-XXXXXXXX.[bitcoin1@foxmail.com].harma
      Dharma Ransomware, см. в конце статьи этот вариант
      https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

      Удалить
  50. Добрый день! Словили шифровальщика-вымогателя с расширением .O$L подскажите как решить проблему

    ОтветитьУдалить
    Ответы
    1. Расширение: .o$l
      Email: oslo178@cock.li
      Записка: Инструкция по расшифровке o$l.TXT
      Еси все так, то это Scarab с расширением .o$l
      Смотрите здесь https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html обновление от 3 июля.

      Удалить
  51. Добрый день. Зашифрованы файлы имеют расширение ".Lazarus"
    Полное название файла: "Инструкция по установке для Потребителя.docx.[ID=9rQRZEcSX7][Mail=Dataadecrypt@Cock.li].Lazarus"

    Судя по информации которую удалось найти в инете это одна из модифткаций Zeropadypt NextGen. Есть ли способы расшифровки? В арсенале есть шифрованные файлы и их не шифрованные оригиналы.

    ОтветитьУдалить
  52. Лучше читать об этом вымогателе в первоисточнике. Вот моя статья-первоисточник: https://id-ransomware.blogspot.com/2019/04/zeropadypt-ransomware.html
    Все остальное в Интернете - это плагиат или спам. Образцы и пары файлов есть, мы отправляем регулярно в антивирусные компании и другим специалистам. Они пока ничего не могут сделать. Если что-то будет, то мы сообщим об этом в статье-первоисточнике и/или на этом сайте.

    ОтветитьУдалить
  53. Добрый день! Словил шифровальщика-вымогателя с расширением CS16" (.cs16) именем email-opensafezona@cock.li.ver-CS 1.6.id-.fname-.cs16 и почта opensafezona@cock.li
    подскажите как решить проблему ПЛИС !

    ОтветитьУдалить
    Ответы
    1. Обратитесь на форум к thyrex
      https://forum.kasperskyclub.ru/index.php?showforum=26

      Удалить
  54. [*] MAC:00:25:22:99:45:42
    [*] MAC:80:1F:02:CE:DF:E2
    [*] MAC:0C:0C:0B:AA:66:7A

    Your personal ID:
    0159Iuihiuer7f3hfJmoo1U88r96URrdpjvf45uhZtaWpTV3YEAywOwiC

    Привет из Болгарии, ночью после атаки не справились, 3 компьютера -

    ОтветитьУдалить
    Ответы
    1. Это новый вариант STOP Ransomware.
      https://id-ransomware.blogspot.com/2017/12/stop-ransomware.html
      Для него нет расшифровки. Предыдущие версии можно было расшифровать с помощью STOP Decrypter, если файлы зашифрованы с помощью оффлайн-ключей. Но этот вариант не расшифровывается тем же способом. Мы ждем изменений и чуда от разработчика STOP Decrypter, но это лишь надежда.

      Удалить
  55. Доброго времени суток. Помогите, пожалуйста, с поиском дешифратора для mboaue@yahoo.com_S19. С 2013 года не могу решить эту проблему

    ОтветитьУдалить
    Ответы
    1. Старый шифратор, это могут сказать в DrWeb https://support.drweb.ru/new/free_unlocker/for_decode/

      Удалить
    2. Как мне сказали, ваш случай связан со старым шифратором Rector. Также можете воспользоваться утилитой от Касперского
      https://support.kaspersky.ru/4264#block1
      Если будет положительный результат, сообщите мне.
      К сожалению, у меня нет описания и базы инфо-данных по этому старому шифратору. И собрать их сейчас, спустя много лет довольно сложно.

      Удалить
  56. Доброго дня. Поймали шифровальщик Harma, есть.способы расшифровки?

    ОтветитьУдалить
    Ответы
    1. Это вариант Dharma Ransomware
      https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html
      Без уплаты выкупа нет бесплатного расшифровщика.

      Удалить
  57. Доброго времени суток! Подцепил Trojan.Encoder.3953. Можете чем помочь, или в какую сторону копать?

    ОтветитьУдалить
  58. Это Dharma Ransomware
    https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html
    Нет дешифровки.

    ОтветитьУдалить