вторник, 17 мая 2016 г.

Xorist Decrypter

Xorist Decrypter 

Инструкция по использованию


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). 

Этот декриптер может дешифровать файлы, зашифрованные шифровальщиками-представителями целого семейства крипто-вымогателей, основанных на крипто-конструкторе Encoder Builder. Читайте об этом в описании Xorist Ransomware

Например, есть варианты этих вымогателей, которые добавляют к зашифрованным файлам следующие расширения:  EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259, .0JELvV, .5vypSa, .6FKR8d, .n1wLp0, .UslJ6m, .YNhlv1 ... Но это только малая часть. 


Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен. 


Если вам нужна помощь в удалении шифровальщика из системы, воспользуйтесь помощью специалистов: BleepingComputer (англоязычный форум) и VirusInfo (русскоязычный форум). 

Для использования декриптера вам потребуется зашифрованный файл, не меньше 144 байт, а также его незашифрованная версия. Для запуска декриптера выберите зашифрованный и незашифрованный файл и перетащите их на исполняемый файл декриптера.


Никогда не изменяйте имена оригинального и зашифрованного файлов перед дешифровкой, т.к. декриптер может выполнять сравнение имён файлов, чтобы определить правильные дошифрованные имена и расширения файлов, находящихся в вашей системе.

Если у вас нет оригинальной версии одного из зашифрованных файлов, то можно использовать образцы рисунков Windows, имеющиеся в папке в C:\Users\Public\Pictures (или см. папку Мои документы\Мои рисунки\Образцы изображений). 

Если в системе зашифрованы все нужные файлы, то поищите файлы на флешках, дисках... Один дубликат файл всё же найти можно.

Или скопируйте себе любой из файлов изображений, что видите здесь слева от текста. Они общие для всех ОС Windows 7. Они пригодятся при случае, когда зашифрованы все файлы изображений. включая на флешках и внешних дисках. 

После того, как будет определён ключ, использованный для шифрования ваших файлов, вы можете использовать этот ключ для расшифровки ВСЕХ других зашифрованных файлов на вашем компьютере.

Т.к. Ransomware нигде не сохраняют оригинальную информацию о незашифрованных файлах, то декриптер не может гарантировать, что дешифрованные данные будут идентичны тем, что были до шифрования. Поэтому декриптер по умолчанию с осторожностью не удаляет зашифрованные файлы после того, как они были дешифрованы (опция "Keep encrypted files" активна). 

Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. 



Процесс перетаска файлов на утилиту дешифровки


После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Декриптер попытается получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.


Найден ключ дешифровки (на английском)

Есть вероятность того, что ключ определён неправильно. Потому желательно сначала провести дешифровку нескольких файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.
При нажатии кнопки "OK" вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Xorust Decrypter, такой, как показано ниже.
По умолчанию программа сама определит локальные диски, чтобы найти и дешифровать зашифрованные файлы. При согласии и отсутствии других мест с зашифрованными файлами нажмите кнопку "Decrypt", чтобы запустить процесс дешифровки. Иначе, нажмите кнопку "Add file(s)", чтобы добавить файл(ы). 

 Если вы хотите, чтобы декриптер после дешифровки производил удаление зашифрованных файлов, то снимите галочку с опции "Keep encrypted files". Это может быть даже необходимо, если место на жёстком диске ограничено.
Результаты дешифровки абсолютно прозрачны. Вы можете видеть их в окне вкладки "Results" вплоть до окончания дешифровки с надписью Finished!
По окончания процесса дешифровки все файлы, зашифрованные этим шифровальщиком, будут дешифрованы. 

Если вам требуется отчёт для ваших личных записей, вы можете сохранить его, нажав кнопку "Save log" или нажав на кнопку "Copy log to clipboard" скопировать его прямо в буфер обмена, чтобы вставить его в email или в сообщение на форуме, где вам оказывали помощь (если это требуется). 


Detailed usage guide (in English)


Удачной дешифровки! 

ЕСЛИ НЕ ПОМОГАЕТ...

Xorist во время шифрования не касается первых байтов, которые обычно содержат уникальные маркеры формата файла, которые можно проверить, чтобы определить успешность дешифрования. Шифрование для Xorist начинается в случайном месте в определённом диапазоне. Невозможно определить, был ли файл успешно дешифрован универсальным и автоматическим способом. Только вручную можно проверить каждый файл и визуально оценить успех дешифрования. 

Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG). 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий