Дешифровщики файлов (дешифраторы, декриптеры)

Как расшифровать файлы? Где скачать дешифраторы? Как восстановить мои файлы после шифрования?
Бесплатная расшифровка файлов. Бесплатные программы для расшифровки файлов после шифрования.
Актуальная информация о программах для дешифровки файлов. Подробные инструкции со скриншотами.
Ссылки на информацию по найденным шифровальщикам-вымогателям. Авторский блог, статьи и перевод.

среда, 29 июня 2016 г.

MicroCop Decrypter

Инструкция по использованию

Скачать MicroCop Decrypter >>>

Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах). Разархивируйте.

Файл декриптера

Используйте этот декриптер, только если ваши файлы были зашифрованы шифровальщиком MicroCop (Mircop) Ransomware, при котором к зашифрованным файлам добавляется не расширение, а приставка Lock. Таким образом зашифрованный файл выглядит так: Lock.original_name.png

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс фейк-шифрования будет продолжен.

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

✋Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами.

Декриптер поставляется как есть и разработчик не берёт на себя ответственность за возможное повреждение данных. Никакие файлы не удаляются. Нажмите кнопку "OK" для продолжения, если согласны, или кнопку "Отмена", если не согласны.

Декриптер будет искать только папки с зашифрованными MicroCop (Mircop) Ransomware файлами и дешифровывать файлы. Дешифрованные файлы остаются на своих местах.

По окончании работы выйдет окно с надписью "Decryption complete!", которая сообщает о успешной дешифровке.

Обо всех неудачах дешифрования сообщайте в комментариях. Мы сообщим автору, чтобы он внес корректировки.

После дешифрования не забудьте про "Общие рекомендации", 3-й пункт.

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG).

четверг, 9 июня 2016 г.

Nemucod Decryptor

Инструкция по использованию

Скачать Nemucod Decrypter >>>

Сохраните загруженный файл на Рабочем столе.

Чтобы найти ключ дешифрования, нужно одновременно перетащить зашифрованный файл и незашифрованную версию того же файла на иконку decrypt_nemucod.exe. Для этого нужно курсором выбрать их обоих и перетащить на дешифратор.

Где взять оригинальные версии файлов? Прочтите мои "Особые рекомендации".

Если у вас нет оригинальной версии одного из зашифрованных файлов, то можно использовать образцы рисунков Windows, имеющиеся в папке в C:\Users\Public\Pictures (или см. папку Мои документы\Мои рисунки\Образцы изображений). Если у вас нет и этого, тогда скачайте их с нашего Яндекс-Диска. Ссылка на архив.

После того, как будет определён ключ, использованный для шифрования ваших файлов, вы можете использовать этот ключ для расшифровки ВСЕХ других зашифрованных файлов на вашем компьютере.

Рис.1. Процесс перетаска файлов на утилиту дешифровки

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учётных записей) нажмите кнопку "Да" для продолжения ее работы. Теперь Nemucod Decrypter попытается брутфорс-способом получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

Рис.2. Найден ключ дешифровки (оригинал на английском)

Есть вероятность того, что это неправильный ключ. Желательно сначала провести дешифровку нескольких ваших файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки OK вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK. Вы увидите главный экран Nemucod Decrypter, такой, как показано ниже.

Рис.3. Окно Nemucod Decrypter-а

Из данного окна видно, что умолчанию декриптор собирается расшифровывать файлы лишь на диске C:\ . Если у вас есть другие диски с зашифрованными файлами, нажмите на кнопку Add File(s), чтобы добавить диск в список. Когда все будет готово, нажмите на кнопку Decrypt, чтобы начать расшифровку файлов. После это дешифратор начнёт расшифровку всех зашифрованных файлов с отображением состояние дешифровки в окне результатов, как показано ниже.

Рис.4. Окно результатов дешифровки

По окончания процесса дешифрования все файлы, зашифрованные вымогателем Nemucod, будут расшифрованы.

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптор не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG).

© Amigo-A (Andrew Ivanov): All blog articles.

AutoLocky Decryptor

Инструкция по использованию

Первым делом нужно заглянуть в автозагрузку, чтобы определить исполняемый файл AutoLocky.
Потом запустить диспетчер задач и завершить его процесс. После этого удалить файл вручную файл.

Скачайте декриптор AutoLocky по ссылке и сохраните его на Рабочем столе.

Скачать AutoLockyDecryptor >>>

Дважды щелкните на decrypt_autolocky.exe, чтобы запустить утилиту.

Ответьте "Да" на запрос контроля учетных записей, чтобы продолжить. Декриптор запустится и попытается найти ключ дешифрования. Когда ключ будет найден, он будет отображён в новом окне, как показано ниже.

Далее следует нажать кн. "ОК", чтобы согласиться с ЛС и открыть окно декриптора.
Выбрать нужный диск или папку для дешифровки кнопкой "Add folder" и нажать кн. "Decrypt".

Декриптор будет расшифровывать все найденные в выбранных вами папке или диске зашифрованные файлы и отображать состояние дешифрования в окне результатов. Как только все файлы расшифруются, можно закрыть окно декриптора.

Удачной дешифровки!

Petya Decryptor

Инструкция по использованию

Для начала надо взять зашифрованный диск с зараженного компьютера и подключите его к компьютеру с ОС Windows, который работает в нормальном режиме. Если у зараженного компьютера несколько жестких дисков, вы должны взять только загрузочный диск, на котором установлена система, обычно это диск C:\. Другие способы подключения и описания опускаем.

После того, как подключите зашифрованный диск к рабочему компьютеру и загрузите ОС Windows, скачайте Petya Sector Extractor и сохраните его на Рабочем столе.

Скачать Petya Sector Extractor можно по ссылке в следующей статье. Для удобства ссылка находится в тексте, картинка в помощь.

Почему я не даю здесь прямую ссылку? Она была, но из-за особенностей файла экстрактора антивирусные движки могут обнаружить в нем "вирус". Это специальный инструмент, потому все детекты ошибочны. Технологии несовершенны, поэтому я убрал прямую ссылку и заменил её на картинку в тексте. Нет другого способа помочь в этой проблеме.

Распакуйте архив в папку с тем же названием и запустите файл PetyaExtractor.exe. После запуска он просканирует все съемные и несъемные диски в поиске тех, которые содержат bootcode Petya Ransomware. Когда он обнаружит диск, то автоматически выберет его и отобразит экран, как показано ниже.

Если диск, скомпрометированный Petya, не будет найдет, то вы увидите соответствующее сообщение (см. рисунок ниже).

Теперь перейдите на сайт PETYA-PAY-NO-RANSOM. На этом сайте вы увидите два текстовых поля Base64 512 и Base64 8 bytes. Чтобы сгенерировать ключ дешифрования, нужно ввести данные, извлеченные из Petya Sector Extractor в эти текстовые поля.

Используйте кнопку Copy Sector для копирования 512 byte и вставьте в текстовое поле "Base64 encoded 512 bytes verification data".
Используйте кнопку Copy Nonce для копирования 8 bytes и вставьте в текстовое поле "Base64 encoded 8 bytes nonce".

Для этого установите курсор в каждое поле ввода и вставьте код командой из контекстного меню, или используйте комбинацию клавиш Ctrl+V для вставки текста из буфера обмена.

Когда вы закончите ввод данных в текстовых полях, это будет выглядеть следующим образом (картинка ниже слева). Для генерации пароля дешифрования нажмите на кнопку "Submit". Этот процесс займёт около минуты, в результате будет показан пароль, см. рисунок ниже.

Запишите этот пароль и подключите зашифрованный жёсткий диск обратно в исходный компьютер. Включите заражённый компьютер и, когда увидите блокировку экрана Petya, введите сгенерированный пароль. Он будет принят и вымогатель начнёт расшифровку жёсткого диска.

После того, как жёсткий диск будет расшифрован, вам предложат перезагрузить компьютер и он загрузится уже нормально.

Удачной дешифровки!

8lock8 Decrypter

Инструкция по использованию

Для расшифровки сначала нужно получить ключ, используя HiddenTear Bruteforcer от Майкла Гиллеспи.

Скачать HiddenTear Bruteforcer >>>

Приготовьте 1 зашифрованный PNG-файл (*.png.8lock8), чем меньше его размер, тем лучше.
Нажмите кнопку "Browse Sample" для загрузки файла в HT BruteForcer (статус файла см. под кнопкой).
Потом выберите режим "EightLockEight" (это и есть 8lock8) в нижней части и нажмите кнопку "Start BruteForce".

После того, как ключ (в окне утилиты это Password) будет найден, кликните на "Click here to check file for success" для просмотра дешифрованного файла. Если файл выглядит нормально, то у вас есть правильный ключ!

Теперь нужно скачать HiddenTear Decrypter от Майкла Гиллеспи.

Скачать HiddenTear Decrypter >>>

Получив ключ, скопируйте его и вставьте в HiddenTear Decrypter, введите расширение файлов .8lock8
Выберите папку для дешифровки файлов и нажмите кнопку "Decrypt My Files".
По окончании дешифровки в окне утилиты вы увидите зелёную надпись "Files Decrypted".

Примечание:
Если хэш (последняя строка случайных букв) в вашей записке с требованием выкупа заканчивается на "AH33", то вы можете пропустить работу с HT Bruteforcer и использовать пароль Whendiplomacyends, Warbegins.1933 . Такое решение возможно, если вредоносному ПО не удалось получить доступ к C&C-серверу.

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Jigsaw Decryptor

Инструкция по использованию

Скачать JigSawDecryptor >>>

Загрузите и сохраните файл дешифровщика на Рабочем столе.

Проверьте через "Диспетчер задач" и завершите процессы firefox.exe и drpbx.exe в диспетчере задач.
Запустите MSConfig и отключите автозапуск для firefox.exe, который находится по адресу %UserProfile%\AppData\Roaming\Frfx\firefox.exe.

Если предложенные операции вызывают у вас трудности, не делайте их и просто запустите скачанный файл дешифровщика. Он должен сейчас выглядеть как на следующей картинке.

Дважды щелкните на скачанным файле файле decrypt_Jigsaw.exe, чтобы запустить программу. Увидите сообщение "Контроля учетных записей", как на рисунке ниже.

Нажмите кнопку "Да" и в следующем окне нажмите "Yes".

Для расшифровки файлов на всех дисках просто нажмите кнопку "Decrypt", а для расшифровки файлов в отдельной папке нажмите кнопку "Add folder" и выберите папку с зашифрованными файлами. Нажмите кнопку "Decrypt".

Наберитесь терпения, если нужно расшифровать файлы на всех дисках. Когда декриптор закончит расшифровку файлов, то вы увидите сообщение "Finished!" Откройте папку с зашифрованными файлами, проверьте результат успешной расшифровки и удалите зашифрованные файлы вручную.

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком, отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (документы Word и изображения в форматах JPG и PNG). Или создайте отдельную тему на форуме Emsisoft.

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 29 июня 2016 г.

MicroCop Decrypter

Инструкция по использованию

четверг, 9 июня 2016 г.

Nemucod Decryptor

Инструкция по использованию

AutoLocky Decryptor

Petya Decryptor

8lock8 Decrypter

Jigsaw Decryptor

среда, 29 июня 2016 г.

четверг, 9 июня 2016 г.