четверг, 7 апреля 2016 г.

Дешифровщики

Дешифровщики файлов


   Существует множество программ-вымогателей, которые блокируют работу компьютера, шифруют файлы, а потом вымогают у пользователя, ставшего их жертвой, денежную сумму в немыслимом размере. 


  Сама история вымогательских программ насчитывает, по крайней мере, 10 лет, но за последние два года набрала обороты и кардинально эволюционировала одна группа вымогателей — Крипто-вымогатели (они же шифраторы, криптолокеры, шифровальщики-вымогатели). Начиная с середины 2014 года их производство и распространение понеслось по нарастающей. Год 2016 стал настоящим годом криптовымогателя. 


 Мы создали и поддерживаем в актуальном состоянии специальный блог, посвященный этой проблеме. В нем собираются и публикуются данные о шифровальщиках-вымогателях (крипто-вымогателях), которые попадают в поле нашего зрения. 

 Данный блог будет посвящён программам, которые помогают пользователям, пострадавшим от криптовымогателей, дешифровать зашифрованные ими файлы. 

  Здесь будет публиковаться список дешифровщиков (дешифраторов, декрипторов, декриптеров) по алфавиту. На каждый дешифровщик будет по возможности создана отдельная страница с доступными инструкциями по использованию на русском или английском языках. Некоторые ссылки в списке ниже ведут на сайты разработчиков дешифровщиков. 


0 - 9
777Decrypt - дешифровщик для 777 Ransomware
8lock8 Decrypter  - дешифровщик для 8lock8 Ransomware


A-a
AES-NI / XData Decrypter - дешифровщик для AES-NI / XData Ransomware
Al-Namrood Decrypter - дешифровщик для Al-Namrood Ransomware
AlphaDecrypter - дешифровщик для Alpha Ransomware
Amnesia Decrypter  - дешифровщик для Amnesia Ransomware
Amnesia2 Decrypter  - дешифровщик для Amnesia2 Ransomware
Annabelle Decryptor - дешифровщик для Annabelle Ransomware
Apocalypse Decrypter - дешифровщик для Apocalypse Ransomware
ApocalypseVM Decrypter - дешифровщик для Apocalypse Ransomware
AutoLocky Decrypter - дешифровщик для AutoLocky Ransomware


B-b
BansomQare Manna Decrypter - дешифровщик для BansomQare Manna Ransomware
BitKangaroo Decrypter - дешифровщик для BitKangaroo Ransomware


C-c
Cry128 Decrypter - дешифровщик для Cry128 Ransomware
Cry9 Decrypter  - дешифровщик для Cry9 Ransomware
Cryakl Decoder дешифровщик для Cryakl Ransomware, версии Fairytail
CrypBoss Decrypter - дешифровщик для CrypBoss Ransomware
Crypren Decrypter - дешифровщик для Crypren Ransomware
CryptInfinite Decrypter - дешифровщик для CryptInfinite Ransomware
CryptConsole Decrypter  - дешифровщик для CryptConsole Ransomware
CryptoDefense Decrypter - дешифровщик для CryptoDefense Ransomware
CryptON и X3M Decrypter - дешифровщик для CryptON и X3M Ransomware


D-d

Damage Decrypter - дешифровщик для Damage Ransomware
DMALocker1 Decrypter - дешифровщик для DMALocker Ransomware
DMALocker2 Decrypter - дешифровщик для DMALocker2 Ransomware


F-f
Fabiansomware Decrypter - дешифровщик для Fabiansomware Ransomware
FenixLocker Decrypter - дешифровщик для FenixLocker Ransomware


G-g
GandCrab Decrypter дешифровщик для GandCrab-1 Ransomware
GhostCrypt Decrypter - дешифровщик для GhostCrypt Ransomware
Globe Decrypter - дешифровщик для Globe Ransomware
Globe2 Decrypter - дешифровщик для Globe2 Ransomware
Globe3 Decrypter дешифровщик для Globe3 Ransomware
GlobeImposter Decrypter дешифровщик для GlobeImposter Ransomware
Gomasom Decrypter - дешифровщик для Gomasom Ransomware


H-h
Harasom Decrypter - дешифровщик для Harasom Ransomware

HiddenTear Bruteforcer - брутфорсер для вымогателей на основе криптоконструктора HiddenTear: HiddenTear, EDA2, 8lock8BankAccountSummary, KratosMireWare.

HiddenTear Decrypter - дешифровщик для вымогателей на основе крипто-конструктора HiddenTear: HiddenTear, EDA2, 8lock8BankAccountSummaryKratosMireWare.

HydraCryptDecrypt+UmbreCryptDecrypt - дешифровщик для HydraCrypt и UmbreCrypt Ransomware


J-j
JigSawDecrypter - дешифровщик для JigSaw Ransomware
JigSaw+CryptoHitmanDecrypter - дешифровщик для JigSaw и CryptoHitman Ransomware


K-k
KeyBTC Decrypter - дешифровщик для KeyBTC Ransomware


L-l
LeChiffre Decrypter - дешифровщик для LeChiffre Ransomware


M-m
Marlboro Decrypter - дешифровщик для Marlboro Ransomware
MicroCop Decrypter - дешифровщик для MicroCop (Mircop) Ransomware
MRCR Decrypter  - дешифровщик для MRCR Ransomware


N-n
Nemucod Decrypter - дешифровщик для Nemucod Ransomware
NemucodAES Decrypter - дешифровщик для NemucodAES Ransomware
NMoreira Decrypter - дешифровщик для NMoreira Ransomware


O-o
OpenToYou Decrypter - дешифровщик для OpenToYou Ransomware
OzozaLocker Decrypter - дешифровщик для OzozaLocker Ransomware


P-p
Petya Decrypter - дешифровщик для Petya Ransomware
PClockDecrypt - дешифровщик для PClock Ransomware
PClock2Decrypt - дешифровщик для PClock Ransomware
Philadelphia Decrypter - дешифровщик для Philadelphia Ransomware


R-r
Radamant Decrypter - дешифровщик для Radamant Ransomware
RannohDecryptor - дешифровщик для CryptXXX и CryptXXX v.2.0 Ransomware


S-s
Scarab Decryption - способ дешифрования для семейства Scarab Ransomware
Stupid Decrypter - дешифровщик для группы т.н. Stupid Ransomware


T-t
TeslaCrypt Decryption Tool - дешифровщик для TeslaCrypt всех версий
TeslaDecoder - дешифровщик для TeslaCrypt 3.0-4.2 Ransomware
TrueCrypter Decrypter - дешифровщик для TrueCrypter Ransomware


X-x
XoristDecrypt дешифровщик для Xorist Ransomware




Присоединяйтесь к проекту! 

Присылайте ссылки, делитесь наработками, присылайте информацию по дешифровщикам и криптовымогателям. По мере накопления материала она будет опубликована. 



© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, скриншотинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles. When quoting and any use of materials, a link to the blog and the author is mandatory.

80 комментариев:

  1. Спасибо. Еще будет информация? В смысле добавляться?

    ОтветитьУдалить
    Ответы
    1. Да, будет, материала накопилось много и нужна помощь. Если готовы помочь, напишите мне в чат, подскажу что надо сделать. Это несложно, но не успеваю.

      Удалить
  2. 0xc030@protonmail.ch
    0xc030@tuta.io
    aes-ni@scryptmail.com
    SORRY! Your files are encrypted.
    File contents are encrypted with random key (AES-256 bit; ECB mode).
    Random key is encrypted with RSA public key (2048 bit).
    Чем расшифровать?

    ОтветитьУдалить
    Ответы
    1. Обратитесь по адресу https://virusinfo.info/forumdisplay.php?f=194 к thyrex.

      Удалить
  3. Здравствуйте.Помогите дешифровать файлы с расширением LanRan

    ОтветитьУдалить
    Ответы
    1. Обратитесь на форум по ссылке.
      https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/
      Создайте тему с названием вымогателя.
      Изучите "Первые шаги". http://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html
      Без их соблюдения вряд ли удастся что-то дешифровать. Тем более у нас ранее был только тестовый образец LanRan-а.

      Удалить
  4. День добрый, помогите дешифровать *.crypted000007

    ОтветитьУдалить
    Ответы
    1. Это новейшая версия Troldesh/Shade . У ЛК есть декрипторы для двух ранних версий.
      См. обновление от 1-5 мая 2017 в конце статьи
      http://id-ransomware.blogspot.ru/2016/06/troldesh-ransomware-email.html
      Вначале написано, что делать . Отправьте файлы здесь: https://www.nomoreransom.org/ru/index.html

      Удалить
    2. Пока все. У меня тоже был случай, когда люди пострадали. Файлы сохранили, через полгода появился декриптер. Все дешифровали утилитой от ЛК.

      Удалить
    3. Ребята очень прошу, если у кого есть способ решения, дайте знать: wagonsoli@gmail.com

      Удалить
    4. Кто найдет панацею, прошу очень ПОМОЧЬ МНЕ
      grigorian@ex.ua

      Удалить
    5. Вообще есть конторы, которые за деньги дешифруют crypted000007. От 5000 руб стоит. Мне даже один файл расшифровали для пробы. Значит есть решение. Неужели тот же Касперский не победил этого шифровальщика?

      Удалить
    6. Эти конторы видимо состоят в доле с мошенниками-вымогателями. Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет.
      "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"
      http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

      Удалить
  5. Кажется мы поймали GlobeImposter 2.0 есть ли декриптор по нему ? и могу ли я чем то помочь в его скором появлении?

    ОтветитьУдалить
  6. Добрый день! ТОже GlobeImposter 2.0. Файлы зашифрованы с расширением .crypt Можете чем то помочь?

    ОтветитьУдалить
  7. Добрый день! Файлы стали с окончанием .crypt . Скорее всего тоже GlobeImposter 2.0. Есть какие то рекомендации?

    ОтветитьУдалить
  8. По GlobeImposter есть отдельная тема https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

    ОтветитьУдалить
  9. Здравствуйте! Клиенты принесли комп.
    Заражён GlobeImposter 2.0, файлы с расширением ..726
    Удалили всё ESET'ом. При желании могу восстановить сами файлы вируса, они же .vbs скрипты и отправить.
    Прочёл, что дешифраторов на данный тип шифровальщика - не существует. Помогут ли Вам файлы вируса? Если да, то скажите - чего и куда выслать можно.

    ОтветитьУдалить
    Ответы
    1. С этим крипто-вымогателем ситуация на сегодняшний день такова: нет возможности дешифровать файлы без уплаты выкупа. Расширений много разных с 3х-4х-5х знаками и пр.. Не успеваем добавлять сюда: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Тема поддержки: https://www.bleepingcomputer.com/forums/t/644166/globeimposter-crypt-pscrypt-ext-back-fileshtml-ransomware-support/
      Файлы можно отправлять туда.

      Удалить
  10. Тоже отметился это шифратор. По почте прилетел.
    Девочка и открыла.
    Почистил теневую копию бекапа.
    Придется ждать дешифратор

    ОтветитьУдалить
  11. GlobeImposter 2.0 имеет сейчас много итераций. Используется широко, потому что недешифруем пока. И в ближайшее время вряд ли будет. Собирайте зашифрованные файлы в папку "Зашифрованное" вместе с записками (обязательно!) и сохраняйте. Систему придется переустановить и в дальнейшем придерживаться рекомендаций, описанных в статье "10 способов защиты от шифровальщиков-вымогателей"
    http://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html
    Нельзя экономить на защите!

    ОтветитьУдалить
  12. Я опубликовал последние обновления по новым итерациям GlobeImposter в конце статьи
    https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
    Будут новые - добавляйте там.

    ОтветитьУдалить
  13. У меня есть помимо HPLaserJetService.exe (вирус) и файл c именем {1f777390-0b42-11e3-80ad-806e6f6e6963} и содержимым состоящим из ID (512 символов) и ключа (256 символов). Может эта информация поможет в создании дешифратора?

    ОтветитьУдалить
  14. Здравствуйте! Ничего не слышно про Ishtar Ransomware(((((?

    ОтветитьУдалить
    Ответы
    1. Ответил Вам на email. Новостей нет.

      Удалить
  15. День добрый, а про такой crypted000007 есть новости

    ОтветитьУдалить
    Ответы
    1. Нет пока. Все ждут. См. мои комментарии от 8 мая и 4 августа.

      Удалить
  16. Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Зашифрованные файлы имеют разные расширения: stu, uvw, yyz, efg, ccd, cde, abc, jjk, ijk, nop, mmn, qqr, vxy, zza, aaa, jkl и т.д. В каждой зашифрованной папке располагается README.txt файл с сообщением "files encrypted write you country to komar@tuta.io"
    Возможна ли расшифровка?

    ОтветитьУдалить
    Ответы
    1. Для Cryakl нет расшифровки. Уже давно бушует. Судя по новому email - одна из новый модификаций. Тем более нет дешифровщика. Даже антивирусные "гиганты" ничего не могут поделать.

      Удалить
    2. Пробуйте по инструкции инструмент Rannoh Decryptor
      https://noransom.kaspersky.com/ru/

      Удалить
  17. Trojan encoder 11539 v3 слышно что нибудь?

    ОтветитьУдалить
    Ответы
    1. Видимо, вы имеете ввиду Fake Globe (GlobeImposter 2.0).
      Описание: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Много модификаций. На него нет дешифровщика.
      Файлы нужно собрать, возможно что-то появится в будущем.

      Удалить
  18. Добрый день словили шифровальщик расширение файлов .coded
    если что есть оригинальные файлы и зашифрованные.
    очень нужна помощь

    ОтветитьУдалить
    Ответы
    1. Возможно, это Fake Globe (GlobeImposter-2). В обновлении от 7 августа было такое расширение заш-файлов. Ссылка: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html
      Для этого семейства пока нет никакого дешифровщика. Рекомендуем сделать бэкап зашифрованных файлов.

      Удалить
  19. Люди, а что с этим новым трояном .arena? Беда. Все базы 1С зашифровались. Требуют 1 биткоин ((

    ОтветитьУдалить
    Ответы
    1. Наше описание здесь: https://id-ransomware.blogspot.ru/2017/08/arena-ransomware.html
      Дешифровщика пока нет. Рекомендуем сделать бэкап зашифрованных файлов.

      Удалить
    2. Добрый день.
      Поймали - email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-285088181-22.11.2017 21@04@476141204.fname-README.txt.fairytail
      После перезагрузки продолжает шифровать, как вытащить ключ для дешифровки?

      Удалить
    3. Вероятно это Cryakl
      Пробуйте по инструкции инструмент Rannoh Decryptor
      https://noransom.kaspersky.com/ru/

      Удалить
    4. Теперь есть дешифровщик для Cryakl Fairytail
      https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
  20. Добрый день.
    С crypted000007 ничего не прояснилось?

    ОтветитьУдалить
  21. Здравствуйте. Люди добрые помогите. Поймал вирус. Всё файлы на компьютере зашифрованы. Имеют расширение ". Fairytail" rahon не помогает. Что делать не знаю ((((((

    ОтветитьУдалить
    Ответы
    1. Теперь есть дешифровщик для Cryakl Fairytail
      https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
  22. Здравствуйте. Попал на компьютер вирус:
    email-lybot@keemail.me.ver-CL 1.4.0.0.id-3367407718-21.12.2017 17@11@497255988.fname-Октябрь.xlsx.fairytail.
    Rannoh Decryptor не помогает. Люди добрые помогите спасти данные....(((((

    ОтветитьУдалить
    Ответы
    1. Выше был уже коммент с таким же шифровальщиком. Лучших новостей нет.

      Удалить
    2. Я могу помочь. Извините, я говорю только по-английски и написал это с помощью Google Translate. Я расшифровал мои собственные файлы, затронутые этой версией ransomware, и я работаю над инструментом дешифрования. Если вы хотите отправить мне несколько файлов, я был бы более чем счастлив попробовать. Мне нужен один незашифрованный файл, тот же файл после его зашифрования и один или два других зашифрованных файла.

      Удалить
    3. HI. I really need to decrypt my files. Can you help me? How can I communicate with you? Tell me your email

      Удалить
    4. James Gourley
      Куда отправить? У меня есть зашифрованные и расшифрованные

      Удалить
    5. Кликните на профиль James Gourley, далее см. про профилю.
      И помните, у нас нет достоверной информации по нему.

      Удалить
    6. Извините, я не был уведомлен об ответах здесь. См. Статью, которую я опубликовал здесь. Он написан на английском языке, но, надеюсь, Google Translate поможет.

      https://www.experts-exchange.com/articles/31579/Decrypting-Cryakl-1-4-0-0-1-4-1-0-FAIRYTAIL-Ransomware.html

      Удалить
    7. Thank you, I translated and added new article with instructions and links to your decoder. // Спасибо. Я добавил инструкцию для русскоязычных пользователей в свой второй блог https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
    8. Теперь есть дешифровщик для Cryakl Fairytail
      https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

      Удалить
  23. При наличии лицензий на антивирусы Доктор Веб или Касперский можно обратиться на их форумы поддержки. Там также есть возможность частной (платно в разумных пределах) расшифровки.

    ОтветитьУдалить
  24. Здравствуйте, попал вирус .BIG2 кто может помочь

    ОтветитьУдалить
    Ответы
    1. Шифровальщик, который добавляет расширения .BIG2 и .BIG4 к зашифрованным файлам - это GlobeImposter. Описания и обновления здесь: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
  25. Здравствуйте. Попал на компьютер вирус rapid, никто не сталкивался

    ОтветитьУдалить
    Ответы
    1. Описание: https://id-ransomware.blogspot.ru/2018/01/rapid-ransomware.html
      Для россиян сами вымогатели дешифруют бесплатно.

      Удалить
  26. Здравствуйте. Поймал шифровальщик: decrypthelp@qq.com. Есть о него чего-нибудь? Или это совсем что-то свежее. Переписывался с гадами, просят 0,3 биткоина. 150 касиков, мать их....

    ОтветитьУдалить
    Ответы
    1. На основании этой почты decrypthelp@qq.com можно сказать, что это один из вариантов Dharma ransomware. Публичного дешифровщика пока нет.
      Полное описание с обновлениями см. на нашем основном сайте: https://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.html
      Итерация с этой почтой была выявлена 5 января 2018. См. внизу статьи под =2018=

      Удалить
  27. Добрый день! Поймали шифровальщик Trojan.Encoder.24450. файлы с расширением .infiniti Помогите расшифровать!

    ОтветитьУдалить
    Ответы
    1. Вероятно, это InfiniteTear Ransomware. Его описание есть на основном сайте поссылке http://id-ransomware.blogspot.ru/2017/08/thelast-ransomware.html
      Дешифровщика пока нет. Сделайте бэкап зашифрованных сайтов и обязательно сохраните оригинальный файл записки о выкупе. Хотя бы один.

      Удалить
    2. Если у вас имеется исполняемый файл вредоноса, то забросьте его на https://www.sendspace.com/ и дайте нам ссылку. Мы проанализируем его, если это уже известный образец, то как и сказал раньше, пока нет дешифровщика. Если какой-то другой, то мы узнаем.

      Удалить
  28. подскажите для такого есть дешифратор Trojan.Encoder.11539.
    просят связаться по почте crypto.supportt@aol.com

    ОтветитьУдалить
    Ответы
    1. Это GlobeImposter-2. Нет публичных дешифровщиков. Увы.
      https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
    2. Какое расширение у файлов этой версии шифровальщика?

      Удалить
  29. Схватили сегодня. В Dr.Web сказали что Trojan.Encoder.11539, видимо GlobeImposter-2. Утилиты emsisoft не расшифровывают. Расширение файлов .[dsupport@protonmail.com], инструкция "How to restore your files.hta". Зловред https://www.sendspace.com/file/3maymv. Персепктив как я понимаю нет?

    ОтветитьУдалить
    Ответы
    1. Это GlobeImposter. Описание и обновления на нашем главном сайте:
      https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
  30. Поймали Здравствуйте, попал вирус .coded кто может помочь

    ОтветитьУдалить
    Ответы
    1. Без просмотра записок и анализа файлов точно не скажешь.
      Возможно, что это тоже GlobeImposter. Такое расширение у зашифрованных файлов добавлялось в 2017 и 2018 годах. Описание и обновления на нашем главном сайте:
      https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

      Удалить
    2. Готов предоставить файлы для анализа. Готов заплатить(в разумных пределах)

      Удалить
    3. С этим лучше сюда: https://legal.drweb.ru/encoder/
      Хоть какой-то шанс.

      Удалить
  31. Добрый день! Есть ли новости про crypted000007?
    Dr-shifro.ru/Шифр-CRYPTED000007 просит 40 тыс.за расшифровку.

    ОтветитьУдалить
    Ответы
    1. Ну и пошлите им парочку файлов размера больше 1 Мб для тестовой расшифровки, содержимое которой вам достоверно известно. Пусть расшифруют и покажут скриншот всех страниц документа или все изображение.
      Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет. "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"
      http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

      Удалить
  32. ANyone happened to bump with *.bip ransomwaer extension?

    ОтветитьУдалить
    Ответы
    1. This is Dharma Ransomware. There are no public decryptors.
      https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

      Удалить
  33. Здравствуйте! Cловили .glutton, кто может помочь

    ОтветитьУдалить
    Ответы
    1. Вариант Scarab Ransomware с расширением .glutton относится к группе Scarab-Bomber Ransomware
      Наше описание и обновления см. в статье:
      https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.html
      О процесе дешифрования и помощи читайте на странице:
      https://decryptors.blogspot.com/2018/06/scarab-decryptor.html
      Вы можете обратиться за частной дешифровкой на форумы Dr.Web (Россия) или ESET (офиц. англоязычный).

      Удалить