. Дешифровщики файлов (дешифраторы, декриптеры)
Дешифровщики файлов (дешифраторы, декриптеры)

Дешифровщики файлов (дешифраторы, декриптеры)

Как расшифровать файлы? Где скачать дешифраторы? Как восстановить мои файлы после шифрования? Бесплатная расшифровка файлов. Бесплатные программы для расшифровки файлов после шифрования. Актуальная информация о программах для дешифровки файлов. Подробные инструкции со скриншотами. Ссылки на информацию по найденным шифровальщикам-вымогателям. Авторский блог, статьи и перевод.

четверг, 7 апреля 2016 г.

Дешифровщики

Дешифровщики файлов

Translation into English 146 комментариев:

Спасибо. Еще будет информация? В смысле добавляться?

Да, будет, материала накопилось много и нужна помощь. Если готовы помочь, напишите мне в чат, подскажу что надо сделать. Это несложно, но не успеваю.

ОК. Написал свои контакты.

0xc030@protonmail.ch0xc030@tuta.ioaes-ni@scryptmail.comSORRY! Your files are encrypted.File contents are encrypted with random key (AES-256 bit; ECB mode).Random key is encrypted with RSA public key (2048 bit).Чем расшифровать?

Обратитесь по адресу https://virusinfo.info/forumdisplay.php?f=194 к thyrex.

Здравствуйте.Помогите дешифровать файлы с расширением LanRan

Обратитесь на форум по ссылке.https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/Создайте тему с названием вымогателя.Изучите "Первые шаги". http://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html Без их соблюдения вряд ли удастся что-то дешифровать. Тем более у нас ранее был только тестовый образец LanRan-а.

День добрый, помогите дешифровать *.crypted000007

Это новейшая версия Troldesh/Shade . У ЛК есть декрипторы для двух ранних версий. См. обновление от 1-5 мая 2017 в конце статьи http://id-ransomware.blogspot.ru/2016/06/troldesh-ransomware-email.htmlВначале написано, что делать . Отправьте файлы здесь: https://www.nomoreransom.org/ru/index.html

Пока все. У меня тоже был случай, когда люди пострадали. Файлы сохранили, через полгода появился декриптер. Все дешифровали утилитой от ЛК.

Ребята очень прошу, если у кого есть способ решения, дайте знать: wagonsoli@gmail.com

Кто найдет панацею, прошу очень ПОМОЧЬ МНЕgrigorian@ex.ua

Вообще есть конторы, которые за деньги дешифруют crypted000007. От 5000 руб стоит. Мне даже один файл расшифровали для пробы. Значит есть решение. Неужели тот же Касперский не победил этого шифровальщика?

Эти конторы видимо состоят в доле с мошенниками-вымогателями. Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет. "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

Кажется мы поймали GlobeImposter 2.0 есть ли декриптор по нему ? и могу ли я чем то помочь в его скором появлении?

ОК. Ответил вам по email.

Добрый день! ТОже GlobeImposter 2.0. Файлы зашифрованы с расширением .crypt Можете чем то помочь?

Добрый день! Файлы стали с окончанием .crypt . Скорее всего тоже GlobeImposter 2.0. Есть какие то рекомендации?

По GlobeImposter есть отдельная тема https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Здравствуйте! Клиенты принесли комп.Заражён GlobeImposter 2.0, файлы с расширением ..726Удалили всё ESET'ом. При желании могу восстановить сами файлы вируса, они же .vbs скрипты и отправить.Прочёл, что дешифраторов на данный тип шифровальщика - не существует. Помогут ли Вам файлы вируса? Если да, то скажите - чего и куда выслать можно.

С этим крипто-вымогателем ситуация на сегодняшний день такова: нет возможности дешифровать файлы без уплаты выкупа. Расширений много разных с 3х-4х-5х знаками и пр.. Не успеваем добавлять сюда: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.htmlТема поддержки: https://www.bleepingcomputer.com/forums/t/644166/globeimposter-crypt-pscrypt-ext-back-fileshtml-ransomware-support/Файлы можно отправлять туда.

Тоже отметился это шифратор. По почте прилетел.Девочка и открыла.Почистил теневую копию бекапа.Придется ждать дешифратор

GlobeImposter 2.0 имеет сейчас много итераций. Используется широко, потому что недешифруем пока. И в ближайшее время вряд ли будет. Собирайте зашифрованные файлы в папку "Зашифрованное" вместе с записками (обязательно!) и сохраняйте. Систему придется переустановить и в дальнейшем придерживаться рекомендаций, описанных в статье "10 способов защиты от шифровальщиков-вымогателей"http://id-ransomware.blogspot.ru/2016/11/sposoby-zashhity-ot-shifrovalshhikov-vymogatelej.html Нельзя экономить на защите!

Я опубликовал последние обновления по новым итерациям GlobeImposter в конце статьиhttps://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html Будут новые - добавляйте там.

У меня есть помимо HPLaserJetService.exe (вирус) и файл c именем и содержимым состоящим из ID (512 символов) и ключа (256 символов). Может эта информация поможет в создании дешифратора?

ОК. Ответил на email.

Здравствуйте! Ничего не слышно про Ishtar Ransomware(((((?

Ответил Вам на email. Новостей нет.

День добрый, а про такой crypted000007 есть новости

Нет пока. Все ждут. См. мои комментарии от 8 мая и 4 августа.

Файлы были зашифрованы троянской программой Trojan-Ransom.Win32.Cryakl. Зашифрованные файлы имеют разные расширения: stu, uvw, yyz, efg, ccd, cde, abc, jjk, ijk, nop, mmn, qqr, vxy, zza, aaa, jkl и т.д. В каждой зашифрованной папке располагается README.txt файл с сообщением "files encrypted write you country to komar@tuta.io"Возможна ли расшифровка?

Для Cryakl нет расшифровки. Уже давно бушует. Судя по новому email - одна из новый модификаций. Тем более нет дешифровщика. Даже антивирусные "гиганты" ничего не могут поделать.

Пробуйте по инструкции инструмент Rannoh Decryptorhttps://noransom.kaspersky.com/ru/

Trojan encoder 11539 v3 слышно что нибудь?

Видимо, вы имеете ввиду Fake Globe (GlobeImposter 2.0).Описание: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.htmlМного модификаций. На него нет дешифровщика. Файлы нужно собрать, возможно что-то появится в будущем.

Добрый день словили шифровальщик расширение файлов .codedесли что есть оригинальные файлы и зашифрованные.очень нужна помощь

Возможно, это Fake Globe (GlobeImposter-2). В обновлении от 7 августа было такое расширение заш-файлов. Ссылка: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html Для этого семейства пока нет никакого дешифровщика. Рекомендуем сделать бэкап зашифрованных файлов.

Люди, а что с этим новым трояном .arena? Беда. Все базы 1С зашифровались. Требуют 1 биткоин ((

Наше описание здесь: https://id-ransomware.blogspot.ru/2017/08/arena-ransomware.html Дешифровщика пока нет. Рекомендуем сделать бэкап зашифрованных файлов.

Добрый день. Поймали - email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-285088181-22.11.2017 21@04@476141204.fname-README.txt.fairytailПосле перезагрузки продолжает шифровать, как вытащить ключ для дешифровки?

Вероятно это CryaklПробуйте по инструкции инструмент Rannoh Decryptorhttps://noransom.kaspersky.com/ru/

Теперь есть дешифровщик для Cryakl Fairytailhttps://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

Добрый день.С crypted000007 ничего не прояснилось?

С этим пока нет.

После второго взлома с шифрованием crypted000007 негодяй запросил очень большую сумму, обратился к первому негодяю, к которому до этого обращался, он дал адекватную стоимость, походу существует по crypted000007 какая-то общая база. все получилось расшифровать как в первом так и во втором случае. Комп в ожидании расшифровки находился около года (биткоин дорогой был).

Здравствуйте. Люди добрые помогите. Поймал вирус. Всё файлы на компьютере зашифрованы. Имеют расширение ". Fairytail" rahon не помогает. Что делать не знаю ((((((

Теперь есть дешифровщик для Cryakl Fairytailhttps://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

Здравствуйте. Попал на компьютер вирус:email-lybot@keemail.me.ver-CL 1.4.0.0.id-3367407718-21.12.2017 17@11@497255988.fname-Октябрь.xlsx.fairytail.Rannoh Decryptor не помогает. Люди добрые помогите спасти данные. (((((

Выше был уже коммент с таким же шифровальщиком. Лучших новостей нет.

Я могу помочь. Извините, я говорю только по-английски и написал это с помощью Google Translate. Я расшифровал мои собственные файлы, затронутые этой версией ransomware, и я работаю над инструментом дешифрования. Если вы хотите отправить мне несколько файлов, я был бы более чем счастлив попробовать. Мне нужен один незашифрованный файл, тот же файл после его зашифрования и один или два других зашифрованных файла.

HI. I really need to decrypt my files. Can you help me? How can I communicate with you? Tell me your email

James GourleyКуда отправить? У меня есть зашифрованные и расшифрованные

Кликните на профиль James Gourley, далее см. про профилю. И помните, у нас нет достоверной информации по нему.

Извините, я не был уведомлен об ответах здесь. См. Статью, которую я опубликовал здесь. Он написан на английском языке, но, надеюсь, Google Translate поможет.

Thank you, I translated and added new article with instructions and links to your decoder. // Спасибо. Я добавил инструкцию для русскоязычных пользователей в свой второй блог https://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

Теперь есть дешифровщик для Cryakl Fairytailhttps://decryptors.blogspot.ru/2018/03/cryakl-decoder-fairytail.html

При наличии лицензий на антивирусы Доктор Веб или Касперский можно обратиться на их форумы поддержки. Там также есть возможность частной (платно в разумных пределах) расшифровки.

Здравствуйте, попал вирус .BIG2 кто может помочь

Шифровальщик, который добавляет расширения .BIG2 и .BIG4 к зашифрованным файлам - это GlobeImposter. Описания и обновления здесь: https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Здравствуйте. Попал на компьютер вирус rapid, никто не сталкивался

Описание: https://id-ransomware.blogspot.ru/2018/01/rapid-ransomware.html Для россиян сами вымогатели дешифруют бесплатно.

Здравствуйте. Поймал шифровальщик: decrypthelp@qq.com. Есть о него чего-нибудь? Или это совсем что-то свежее. Переписывался с гадами, просят 0,3 биткоина. 150 касиков, мать их.

На основании этой почты decrypthelp@qq.com можно сказать, что это один из вариантов Dharma ransomware. Публичного дешифровщика пока нет. Полное описание с обновлениями см. на нашем основном сайте: https://id-ransomware.blogspot.ru/2016/11/dharma-ransomware.htmlИтерация с этой почтой была выявлена 5 января 2018. См. внизу статьи под =2018=

Добрый день! Поймали шифровальщик Trojan.Encoder.24450. файлы с расширением .infiniti Помогите расшифровать!

Вероятно, это InfiniteTear Ransomware. Его описание есть на основном сайте поссылке http://id-ransomware.blogspot.ru/2017/08/thelast-ransomware.htmlДешифровщика пока нет. Сделайте бэкап зашифрованных сайтов и обязательно сохраните оригинальный файл записки о выкупе. Хотя бы один.

Если у вас имеется исполняемый файл вредоноса, то забросьте его на https://www.sendspace.com/ и дайте нам ссылку. Мы проанализируем его, если это уже известный образец, то как и сказал раньше, пока нет дешифровщика. Если какой-то другой, то мы узнаем.

подскажите для такого есть дешифратор Trojan.Encoder.11539.просят связаться по почте crypto.supportt@aol.com

Это GlobeImposter-2. Нет публичных дешифровщиков. Увы. https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Какое расширение у файлов этой версии шифровальщика?

Схватили сегодня. В Dr.Web сказали что Trojan.Encoder.11539, видимо GlobeImposter-2. Утилиты emsisoft не расшифровывают. Расширение файлов .[dsupport@protonmail.com], инструкция "How to restore your files.hta". Зловред https://www.sendspace.com/file/3maymv. Персепктив как я понимаю нет?

Это GlobeImposter. Описание и обновления на нашем главном сайте:https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Поймали Здравствуйте, попал вирус .coded кто может помочь

Без просмотра записок и анализа файлов точно не скажешь.Возможно, что это тоже GlobeImposter. Такое расширение у зашифрованных файлов добавлялось в 2017 и 2018 годах. Описание и обновления на нашем главном сайте:https://id-ransomware.blogspot.ru/2016/12/fake-globe-ransomware.html

Готов предоставить файлы для анализа. Готов заплатить(в разумных пределах)

С этим лучше сюда: https://legal.drweb.ru/encoder/Хоть какой-то шанс.

Добрый день! Есть ли новости про crypted000007? Dr-shifro.ru/Шифр-CRYPTED000007 просит 40 тыс.за расшифровку.

Ну и пошлите им парочку файлов размера больше 1 Мб для тестовой расшифровки, содержимое которой вам достоверно известно. Пусть расшифруют и покажут скриншот всех страниц документа или все изображение. Общественного декриптера (дешифратора) для версии Troldesh (Shade) с расширением .crypted000007 нет. "Помощь" подобных контор также попадает под статью закона РФ 159.6 "Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину"http://www.consultant.ru/document/Cons_doc_LAW_10699/51c53d82b60ac8c009745bdea3838d507064c6d3/

ANyone happened to bump with *.bip ransomwaer extension?

This is Dharma Ransomware. There are no public decryptors.https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Здравствуйте! Cловили .glutton, кто может помочь

Вариант Scarab Ransomware с расширением .glutton относится к группе Scarab-Bomber RansomwareНаше описание и обновления см. в статье: https://id-ransomware.blogspot.com/2018/06/scarab-bomber-ransomware.htmlО процесе дешифрования и помощи читайте на странице: https://decryptors.blogspot.com/2018/06/scarab-decryptor.htmlВы можете обратиться за частной дешифровкой на форумы Dr.Web (Россия) или ESET (офиц. англоязычный).

По PSCrypt есть какая-то инфа? Недельку назад принесли ПК и флешку с ним. В интернете инфа только за 2017 год.

Приветствую. Словили .omerta, куста реестра уже нет. Стоит хранить зашифрованные файлы или без шансов?

Некоторые версии Scarab можно дешифровать и без куста реестра. Можно подать запрос на бесплатную дешифровку файлов (png, jpg, doc, pdf) в Dr.Web, ESET (английский сайт). Если получится, они предложат купить пакет восстановлений с AV-продукт на 1-2 года. У ESET только лицензия на продукт.

Добрый день! Есть ли новости про crypted000007? Уже даже интересно, что за загадочный шифровальщик , что за столько лет ничего по нему в общем доступе нет.

Никакая он не загадка. Вся информация представлена здесь https://id-ransomware.blogspot.com/2016/06/troldesh-ransomware-email.html

Инфа о самом зловреде есть, а вот насчет дешифратора нет

Загадка что нет решения)

Дешифраторы для Troldesh/Shade есть от Касперского (указан в статье про него), только для ранних и некоторых промежуточных версий. А для того варианта, что добавляется расширение crypted000007 - не могут сделать. Шифрование - это такая штука, что чуть-чуть изменил и всё, не расшифровывается. Искать надо способ извлечения ключей. Ии ждать, когда сами вымогатели или их конкуренты выложат. Для ранних версий Troldesh/Shade тоже пришлось ждать полгода или больше.

Файлы зашифрованы, в названия файлов добавлен текст id-C09C8F75.[decrypthelp@qq.com].java

Есть какое-то решение для расшифровки?

Файлы зашифрованы Dharma https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.htmlПубличного дешифровщика для данного варианта пока нет.

Здравствуйте, помогите дешифровать файлы "Шназвание файла.xls.id-38BA783E.[unblock@badfail.info].ETHесть ли варианты?

Это Dharma, один из новых вариантов. Для него пока нет никаких способов дешифрвоки, кроме тех, что имеются у вымогателей. Общее описание: http://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Чем можно помочь вашему проекту? .ETH заражения.

Мы принимаем помощью в любом виде. Но расшифровать новые варианты Dharma с указанным расширением .ETH не могут даже специалисты из антивирусных компаний.

О Dharma Ransomware https://id-ransomware.blogspot.com/2016/11/dharma-ransomware.html

Всем привет!Я тоже недавно подхватил от злоумышленника трояна-шифровальшика который зашифровал мои файлы с расширением crypted000007.Прошу Вас сообщить когда появиться программа для расшифровки файлов.

Это Troldesh/Shade https://id-ransomware.blogspot.com/2016/06/troldesh-ransomware-email.htmlЧто-то давно Аверы не могут ничего сделать с шифрованием.

Добрый день! Прошу помочь дешифровать файлы, зашифровали NAS D-Link DNS-325 - вот этим Cr1ptT0r .

Он описан еще в феврале в нашей статье Cr1ptT0r Ransomwarehttps://id-ransomware.blogspot.com/2019/02/cr1ptt0r-ransomware.htmlНет бесплатного публичного дешифровщика. Создать запрос на пробную бесплатную расшифровку можете попробовать в DrWeb https://legal.drweb.ru/encoder/ О результатах сообщите.

Здравствуйте, споймали вирус .systems32x Есть ли способ дешифровки? Спасибо.

Обновление от 17 апреля 2019:Расширение: .systems32xЗаписка: HOW TO BACK YOUR FILES.TXTEmail: systems32x@gmail.comsystems32x@yahoo.comsystems32x@tutanota.comhelp32xme@usa.com additional.mail@mail.com Если все данные такие же, то это GlobeImposter-2 https://id-ransomware.blogspot.com/2016/12/fake-globe-ransomware.htmlИ бесплатного дешифратора нет. Если с этим расширением другие данные. то присылайте мне ссылку с запиской о выкупе и несколько файлов разного формата. Используйте www.sendspace.com. Он принимает файлы и дает ссылку на загрузку. Ссылку вставьте сюда.

Платный есть у вымогателей.

Здравствуйте! у Главбух за шифровался вирусом DOUBLEOFFSET 3nity@tuta.io весь комп и windows теперь не грузится( помогите расшифровкой файлов?

Windows можно откатить на предпоследнюю или более раннюю версию, файлы - выбрать в контекстном меню ПКМ "Восстановить прежнюю версию".Если это не помогает и файлы остаются зашифрованы, то для этой версии Cryakl Ransomware нет бесплатного дешифратора. Главбух в компании всегда стратегически важное, но уязвимое звено. Её ПК нужно защищать, как свои "помидоры". Актуальную защиту можете выбрать здесь (тоже мой сайт) https://anti-ransomware.blogspot.com/2019/02/topical-protection.html Если совсем нет денег, можете попросить ключ на Norton Security по ссылке http://club-symantec.ru/showthread.php?t=4824 Три месяца будет ПК под защитой, потом еще попросите. :)

Всем доброго времени суток!Все стандартно, бухгалтерия поймала вирус, теперь файлы вида - email-3nity@tuta.io.ver-CS 1.6.id-.fname-1Cv8.dt.cs16 ну и плюс readme.txt - "send your country and ip to 3nity@tuta.io". НИкто не сталкивался с этой бякой? Буду признателен за любую информацию.

Это Cryakl Ransomware. Иногда можно расшифровать. Обратитесь за помощью по ссылке на форум https://forum.kasperskyclub.ru/index.php?showforum=26Возможно, вам может помочь консультант thyrex

На форуме ответили, что файлы, на данный момент расшифровке подвергнуть нельзя - "Возможность расшифровать будет после ареста серверов с ключами, что маловероятно."

Когда выходит новый вариант, всегда кажется невозможным. Потом, по истечение времени исследования образцов и методов распространения, находится способ. Вам нужно проанализировать ситуацию, выяснить слабое звено в защите (если она есть), которое могло быть атаковано. Его нужно защитить лучше в любом случае. Мои рекомендации https://id-ransomware.blogspot.com/p/ransomware.html

Да я и так знаю, это RDP(наследство от предыдущего админа). Всё требовал от руководства закрыть RDP и использовать vpn, ответом было мы так привыкли, и уже столько лет работает, ничего же не случилось. Вот и получили. А теперь пытаются на меня все шишки повесить, с мотивировкой надо было отключить этот RDPи всё.

📎📎📎📎📎📎📎📎📎📎