INSANECRYPT DECRYPTER
EVERBE DECRYPTER
Инструкция по использованию
Translation into English
Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл декриптера
Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиками InsaneCrypt Ransomware и Everbe 1.0 Ransomware, которыми к зашифрованным файлам добавляются следующие расширения:
.[email].insane
.[email].DEUSCRYPT
.[email].deuscrypt
.[email].Tornado
.[email].twist
.[email].everbe
.[email].volcano
.[email].embrace
.[email].pain
Файлы, зашифрованные версией Everbe 2.0 Ransomware, пока не дешифруются.
👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальные статьи там описывают InsaneCrypt Ransomware и Everbe Ransomware на русском языке.
Перед дешифровкой
Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен.
Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.
Но я всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.
Процесс дешифровки
✋ Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. Приятно осознавать, что в этом разработчик декриптера со мной согласен. 👍
После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла.
У файла есть цифровая подпись и издатель называется "Michael Gillespie".
Вы можете просмотреть сертификат издателя самостоятельно.
Декриптер создан разработчиком ID Ransomware Майклом Джиллеспи (Michael Gillespie). Вы можете всё это проверить по ссылкам, которые я добавил выше.
Если вы решили расшифровать файлы, то нажмите кнопку "Запустить".
Появится окно декриптора. Чтобы прочитать информацию о программе и поддерживаемых расширениях, нажмите кнопку "About".
Здесь написано, что поддерживается только расширения
.[email].insane
.[email].DEUSCRYPT
.[email].deuscrypt
.[email].Tornado
.[email].twist
.[email].everbe
.[email].embrace
.[email].pain
.[email].volcano
Чтобы перехватить ключ дешифрования, декритеру нужен зашифрованный файл и его исходная незашифрованная версия. Как их найти, если все файлы зашифрованы? Об этом я подробно рассказал в статье "Особые рекомендации".
Прочтите и найдите исходный незашифрованный файл и его зашифрованный вариант.
Когда вы найдёте нужную пару файлов, кликните на меню "Tools" и выберите "Bruteforcer". Откроется экран, где вы выберете зашифрованный файл и его незашифрованную версию, как показано ниже.
После того, как вы выбрали оба файла, нажмите на кнопку "Start", чтобы начать перебор ключа дешифрования. Этот процесс может занять много времени, поэтому наберитесь терпения и ждите результата.
По завершении декритер сообщит, что ключ дешифрования найден. Теперь закройте окно с сообщением, нажав "X" в правом верхнем углу, а ключ будет сам загружен в расшифровщик, как показано ниже.
Теперь выберите папку с файлами для дешифрования. Если вы хотите расшифровать весь диск, просто выберите букву диска.
Затем нажмите кнопку "Decrypt", чтобы начать дешифрование зашифрованных файлов. Программа дешифрует все зашифрованные файлы и отобразит статус дешифрования в своём окне.
По завершении работы декриптер отобразит сводную информацию о количестве дешифрованных файлов. Если некоторые файлы были пропущены, это может быть связано с правами доступа к файлам.
Теперь вы можете закрыть окно декриптера и использовать ПК как раньше.
После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.
Detailed usage guide (in English)
Удачной дешифровки!
ЕСЛИ НЕ ПОМОГАЕТ...
Если декриптер (декодер) не может дешифровать файлы, значит они зашифрованы новой версией шифровальщика. Рекомендую вам лично связаться с разработчиком Майклом Джиллеспи (на форуме BC, в Твиттере), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на сайтах, Google Chrome вам поможет перевести любой текст на русский язык.
© Amigo-A (Andrew Ivanov): All blog articles.
SCARAB DECODER
Дешифровка файлов после Scarab-шифровальщиков
Некоторые версии шифровальщиков семейства Scarab Ransomware поддаются дешифровке, но бесплатный дешифровщик для этого семейства крипто-вымогателей выпустить пока не удаётся.
Для вычисления ключа дешифрования требуется вычислительная мощность производительного процессора и использование компьютерных ресурсов. На эту операцию в среднем требуется до 7 дней, в зависимости от занятости специалистов, загруженности процессора и версии шифровальщика.
Ключ многозначный, вот пример настоящего ключа:
18000:019D1C9C05DF9AD59C7DE86DFFD55DAA7CFAEC6DEBB0F2F0C101B4EB0C95D49493:02D2F26EB1F34E7507A2D6085871B16346D7630F1131DBBF3BF63066EE44499CD7
Это изображение является логотипом статьи
Почти все версии семейства Scarab могут быть дешифрованы!
Компания Dr.Web делает платную дешифровку после атаки шифровальщиков семейства Scarab и некоторых других.
Что нужно сделать, чтобы дешифровать файлы?
- составить запрос на пробную дешифровку (бесплатно) - на русском или на английском языках.
- экспортировать разделы реестра HKEY_CURRENT_USER и HKEY_USERS в файлы и приложить их к запросу;
- приложить к запросу записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- терпеливо подождать несколько дней, пока вам не сообщат о результате в вашем тикете.
Как экспортировать разделы реестра?
Запустите редактор реестра (файл regedit.exe) на заражённом ПК и экспортируйте эти разделы в файлы с такими же названиями.
Скриншоты порядка операций прилагаются.
1)
2) 
3)
Сколько стоит эта услуга?
Собственно расшифровка специалистами Dr.Web выполняется бесплатно, но чтобы получить ключ дешифрования и расшифровать все файлы, нужно получить Rescue Pack (спасательный пакет), куда входит лицензионная антивирусная защита Dr.Web Security Space на 2 года.
Для пользователей из России стоимость пакета 5299 рублей, а для иностранцев - 150 € (евро). Услуга без спасательного пакета Dr.Web не предоставляется. На мой взгляд, они могли бы сделать скидку жителям России или предоставлять лицензию на 1 год.
Почему так дорого? — скажет кто-то...
Я не знаю, компьютерные ресурсы, бухгалтерия, лицензия и всё такое.
Лицензионным пользователям этого и других продуктов от компании Dr.Web помощь в расшифровке зашифрованных файлов оказывается бесплатно.
На мой взгляд вернуть свои файлы и получить антивирусный пакет, защиту и поддержку на два года, это довольно выгодное решение. Стоит подумать.
Причины отказа в бесплатной дешифровке (для пользователей продуктов Dr.Web).
📌 Я никак не связан с процессом дешифрования и оплаты. Мои рекомендации предоставляются вам бесплатно.
ОЧЕНЬ ВАЖНО далее сделать всё по пунктам, строго соблюдая очерёдность.
Что не надо делать, если делаете запрос на дешифровку?
- Не переименовывать файлы и не менять расширения, т.к. это затруднит их восстановление.
- Не пробовать никаких других публичных дешифровщиков, т.к. они могут повредить файлы.
- Не переустанавливать систему и не переносить файлы, во всяком случае, пока не переносить.
- Не платить выкуп вымогателям, т.к. они могут обмануть и потребовать ещё больше денег.
Что нужно сделать после запроса на дешифровку?
- Только проявить терпение и подождать результатов вычисления ключа (пароля).
- Повторяю, терпеливо ждите ответа специалистов...
Что делать после того, как вам сообщат, что ключ дешифрования вычислен?
- Собрать зашифрованные файлы и сохранить хотя бы одну записку с требованием выкупа.
- Проверить систему антивирусным средством и удалить найденные вредоносные файлы.
- Провести чистку системы от временных файлов и возможного мусора с помощью клинера.
- Провести программную или ручную корректировку автозагружаемых программ и процессов.
Это нужно, чтобы Ваши файлы не были повторно зашифрованы или как-то иначе блокированы.
- Повторяю ещё раз, до начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемые и вспомогательные файлы шифровальщика-вымогателя, иначе шифрование может повториться.
Что нужно сделать после проверки и чистки системы?
- Получить дешифровщик и ключ дешифрования, и восстановить зашифрованные файлы.
- Переустановить систему, если в её работе наблюдаются ошибки, зависания и сбои.
- Установить антивирусную защиту, полученную от Dr.Web или аналогичную по функционалу.
- Стать разумнее, изучить мои рекомендации "10 способов защиты от шифровальщиков-вымогателей"
Удачной дешифровки!
***
Я рекомендую вам также ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть.
Желательно сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки. Файлы PDF являются лучшим выбором, т.к. они чувствительны к повреждению и предупредят вас, если возникнут какие-то проблемы.
И лишь потом, при их успешной дешифровке выбранных файлов, продолжить дешифровку остальных файлов.
Я также всегда рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.
ЕСЛИ НЕ ПОМОГАЕТ...
Если декодер не может дешифровать файлы, значит они зашифрованы уже более новой версией шифровальщика, которую пока не удаётся дешифровать. Рекомендую связаться со специалистами поддержки, где вы получали декодер и пароль дешифрования.
© Amigo-A (Andrew Ivanov): All blog articles.
