Каталог расширений

Популярные теги

3gp       avi       fb2       jpg       mp3       pdf      

Как расшифровать файл no more ransom


Вирус шифровальщик шифрует файлы, ставит расширение .no_more_ransom

Примерно месяц назад в сети появился новый вирус-шифровальщик NO_MORE_RANSOM. Назван он так по расширению, которое ставит на файлы после шифрования. Внешне вирус похож на da_vinci_code и скорее всего является его клоном или более современной реализацией. Ведет он себя похожим образом в системе. Да и в целом похож на предыдущий вирус.

Описание вируса шифровальщика no_more_ransom

Первое, что бросается в глаза это название нового шифровальщика - no_more_ransom. Не так давно был анонсирован международный совместный проект по борьбе с вирусами шифровальщиками - https://www.nomoreransom.org. Инициатором создания проекта выступил антивирус Касперского. И как ответ на открытие проекта появляется новый вирус с одноименным названием. На наших глазах разворачивается картина противостояния вирусов и антивирусов. Возможно, через некоторое время об этом будут снимать фильмы. Хотя я не уверен на 100%, что это противостояние существует. Вдруг это действуют одни и те же структуры, достоверно мы об этом не можем сейчас судить. Это только предположение.

Основывается мое предположение на похожих случаях в фармакологии, когда уже не раз всплывали истории создания для людей определенных проблем со здоровьем, которые потом успешно лечились дорогостоящими лекарствами. А тут по сути то же самое. Кому выгоднее всего наличие в интернете вирусов? Очевидно, что антивирусам. А кому выгодно распространение рака?

"Обеспечьте 10 процентов, и капитал согласен на всякое применение, при 20 процентах он становится оживлённым, при 50 процентах положительно готов сломать себе голову, при 100 процентах он попирает все человеческие законы, при 300 процентах нет такого преступления, на которое он не рискнул бы, хотя бы под страхом виселицы. Если шум и брань приносят прибыль, капитал станет способствовать тому и другому. Доказательство: контрабанда и торговля рабами."

Ведь с тех времен принципиально ничего не изменилось. Мы все живем на том же нравственном фундаменте в настоящее время. В какой-то момент наша страна попыталась его изменить, но проиграла борьбу, значит еще не время, люди в большинстве своем не готовы меняться и становиться человеками. Но это я отвлекся от темы. Вернемся к вирусу.

Все происходит как обычно:

  1. На почту приходит письмо нейтрального содержания, которое многие принимают за рабочую переписку.
  2. В письме вложение с определенным кодом. После запуска вложения, скачивается вирус на компьютер и заражает его.
  3. Начинается шифрование файлов, после окончания пользователь видит информацию о том, что все зашифровано и контакты куда обращаться за расшифровкой.

Конкретно вирус no_more_ransom оставляет в системе на дисках и рабочем столе текстовые файлы README1.txt следующего содержания:

Bаши фaйлы былu зaшuфрованы.
 Чmобы paсшuфрoваmь ux, Вам нeобxoдuмo отnpавить koд:
 E0188ABF32FC305B50BF|722|6|10
 нa электpонный адрec [email protected] .
 Дaлeе вы пoлучите вcе нeобxодимые инcmрyкцuи.
 Поnытku раcшифpoвamь cамoсmoятeльно нe npивeдyт ни k чему, kрoмe бeзвoзвpатной поmepu инфopмaциu.
 Ecли вы вcё же хoтume noпытaтьcя, то прeдвaриmельнo cдeлaйтe peзeрвные кonuи файлoв, uначe в cлучаe
 их uзменения pасшифpовkа cтaнeт нeвoзмoжнoй нu пpи каkиx ycлoвuях.
 Ecлu вы не nолyчuлu omвеma по вышеуkaзанномy адрeсу в течeнue 48 чaсoв (u mолькo в эmoм cлyчае!),
 вocпользyйтeсь формой oбpаmной связu. Этo можно cдeлать двумя споcoбамu:
 1) Сkачайme и yсmaновuтe Tor Browser nо cсылke: https://www.torproject.org/download/download-easy.html.en
 В aдрeсной cmрokе Tor Browser-а ввeдите aдрес:
 http://cryptsen7fo43rr6.onion/
 u нaжмume Enter. Загpyзumcя cmpaница с формoй обpаmной cвязи.
 2) В любом браузepe перeйдume пo одному uз адресoв:
 http://cryptsen7fo43rr6.onion.to/
 http://cryptsen7fo43rr6.onion.cab/

Текст письма похож на все предыдущие версии шифровальщиков - Enigma, Vault. Про да винчи я уже упомянул. Это наводит на мысль, что пишутся они одними и теми же людьми. Я рекомендую ознакомиться с описанием выше приведенных вирусов, особенно da_vinci_code. По сути это то же самое, поэтому дальше я буду в основном повторяться.

Как только поняли, что ваши файлы зашифрованы, сразу же выключайте компьютер. И на всякий случай вытащите сетевой провод, чтобы отключить компьютер от сети и по ошибке потом не загрузить его с активной сетью. Некоторые вариации вирусов, например ваулт, шифруют и сетевые диски. Ниже я расскажу, как действовать дальше, чтобы восстановить хотя бы часть, а при удаче и все файлы.

Вирус ставит расширение no_more_ransom на файлы

После работы вируса на компьютере все ваши полезные файлы будут переименованы, и заменено расширение на no_more_ransom. Плохо еще то, что имена файлов будут тоже изменены. Вы не сможете достоверно узнать, какие именно файлы зашифрованы, если не помните точно, где и что у вас лежало. Названия файлов приобретут следующий вид:

  • 1uUxn+rIgpjNG0NbxMJG2EVGVlVujSiGY+ZEaodVYkPZ276fgzxSH5XVJZ+m62HrJj-jvVz0A+c5CH9H9htVpqZibtcArKoO8ublF5NiPK4=.E0188ABF32FC305B50BF.no_more_ransom
  • --B8vyQyK-L0cKbW5G77ptS8svf2ZZpJZPuVdxBkpZ13-raxNiehV2C-AlYhAxqasDM6gP8j9vwAb1AN0lOCeAUMO00YyedzSsIJrOXlkh2Mvg1VhAavFVQPtg98zPzYKsmmhazTO9Bz+lA+NImS8A==.E0188ABF32FC305B50BF.no_more_ransom
  • DIRInxdjashCXts6MVT7kMAvE91nzNvP0jaXMvNas7vTEWGrNLVj9IDeIqW3XvOSsjzetxglc-SDuNqN2FlghQ==.E0188ABF32FC305B50BF.no_more_ransom

и так далее. То есть вообще не понятно, что конкретно было в этих файлах. Из-за этого выборочно расшифровать файлы не получится - либо все, либо ничего. Вам повезет, если будут зашифрованы только локальные файлы. Хуже, если вирус пройдется и по сетевым дискам. Это вообще может парализовать работу всей организации. Даже если есть бэкапы, восстановление может занять значительное время. А если бэкапов нет, то беда.

Как лечить компьютер и удалить вирус no_more_ransom

Вирус no_more_ransom уже у вас на компьютере. Первый и самый главный вопрос — как вылечить компьютер и как удалить из него вирус, чтобы предотвратить дальнейшее шифрование, если оно еще не было закончено. Сразу обращаю ваше внимание на то, что после того, как вы сами начнете производить какие-то действия со своим компьютером, шансы на расшифровку данных уменьшаются. Если вам во что бы то ни стало нужно восстановить файлы, компьютер не трогайте, а сразу обращайтесь к профессионалам. Ниже я расскажу о них и приведу ссылку на сайт и опишу схему их работы.

А пока продолжим самостоятельно лечить компьютер и удалять вирус. Традиционно шифровальщики легко удаляются из компьютера, так как у вируса нет задачи во что бы то ни стало остаться на компьютере. После полного шифрования файлов ему даже выгоднее самоудалиться и исчезнуть, чтобы было труднее расследовать иницидент и расшифровать файлы.

Описать ручное удаление вируса трудно, хотя я пытался раньше это делать, но вижу, что чаще всего это бессмысленно. Названия файлов и пути размещения вируса постоянно меняются. То, что видел я уже не актуально через неделю-две. Обычно рассылка вирусов по почте идет волнами и каждый раз там новая модификация, которая еще не детектится антивирусами. Помогают универсальные средства, которые проверяют автозапуск и детектят подозрительную активность в системных папках.

Для удаления вируса no_more_ransom можно воспользоваться следующими программами:

  1. Kaspersky Virus Removal Tool - утилитой от касперского http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - похожий продукт от др.веб http://free.drweb.ru/cureit.
  3. Если не помогут первые две утилиты, попробуйте MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Скорее всего, что-то из этих продуктов очистит компьютер от шифровальщика no_more_ransom. Если вдруг так случится, что они не помогут, попробуйте удалить вирус вручную. Методику по удалению я приводил на примере вируса да винчи, можете посмотреть там. Если кратко по шагам, то действовать надо так:

  1. Смотрим список процессов, предварительно добавив несколько дополнительных столбцов в диспетчер задач.
  2. Находим процесс вируса, открываем папку, в которой он сидит и удаляем его.
  3. Чистим упоминание о процессе вируса по имени файла в реестре.
  4. Перезагружаемся и убеждаемся, что вируса no_more_ransom нет в списке запущенных процессов.

Где скачать дешифратор no_more_ransom

Вопрос простого и надежного дешифратора встает в первую очередь, когда дело касается вируса-шифровальщика. Первое, что я посоветую, это воспользоваться сервисом https://www.nomoreransom.org. А вдруг вам повезет у них будет дешифратор под вашу версию шифровальщика no_more_ransom. Скажу сразу, что шансов у вас не много, но попытка не пытка. На главной странице нажимаете Yes:

Затем загружаете пару зашифрованных файлов и нажимаете Go! Find out:

На момент написания статью дешифратора на сайте не было.

Возможно вам повезет больше. Можно еще ознакомиться со списком дешифраторов для скачивания на отдельной странице - https://www.nomoreransom.org/decryption-tools.html. Может быть там найдется что-то полезное. Когда вирус совсем свежий шансов на это мало, но со временем возможно что-то появится. Есть примеры, когда в сети появлялись дешифраторы к некоторым модификациям шифровальщиков. И эти примеры есть на указанной странице.

Где еще можно найти дешифратор я не знаю. Вряд ли он реально будет существовать, с учетом особенностей работы современных шифровальщиков. Полноценный дешифратор может быть только у авторов вируса.

Как расшифровать и восстановить файлы после вируса no_more_ransom

Как и с любым другим вирусом-шифровальщиком, расшифровать файлы без закрытого ключа, который находится у злоумышленников, невозможно. Единственным вариантом для самостоятельного возврата файлов является их восстановление из теневых копий, либо с помощью программ для восстановления удаленных файлов.

Нам понадобится программа shadow explorer для восстановления файлов из теневых копий. Чтобы попытаться восстановить остальные файлы, воспользуемся программой для восстановления удаленных файлов photorec. Обе программы бесплатные, можно без проблем качать и пользоваться. Дальше расскажу как их использовать.

Для начала попробуем восстановить архивные копии файлов, которые хранятся в теневых копиях диска. По-умолчанию, начиная с Windows 7 технология теневых копий включена. Проверить это можно в свойствах компьютера, в разделе защита системы.

Если у вас она включена, то запускайте программу ShadowExplorer, которую я предлагал скачать чуть выше. Распаковывайте из архива и запускайте. Нас встречает главное окно программы. В левом верхнем углу можно выбрать диск и дату резервной копии. Скорее всего у вас их будет несколько, нужно выбрать необходимую. Чтобы восстановить как можно больше файлов, проверьте все даты на наличие нужных файлов.

В моем примере на рабочем столе лежат 4 документа, которые там были до работы вируса. Я их могу восстановить. Выделяю нужную папку, в данном случае Desktop и нажимаю правой кнопкой мышки, жму на Export и выбираю папку, куда будут восстановлены зашифрованные файлы.

Если у вас не была отключена защита системы, то с большой долей вероятности вы восстановите какую-то часть зашифрованных файлов. Некоторые восстанавливают 80-90%, я знаю такие случаи.

Если у вас по какой-то причине нет теневых копий, то все значительно усложняется. У вас остается последний шанс бесплатно расшифровать свои файлы - восстановить их с помощью программ по поиску и восстановлению удаленных файлов. Я предлагаю воспользоваться бесплатной программой Photorec. Скачивайте ее и запускайте.

После запуска выберите ваш диск, на котором будем проводить восстановление данных. Затем укажите папку, куда будут восстановлены найденные файлы. Лучше, если это будет какой-то другой диск или флешка, но не тот же самый, где осуществляете поиск.

Поиск и восстановление файлов будет длиться достаточно долго. После окончания процесса восстановления вам будет показано, сколько и каких файлов было восстановлено.

Можно закрыть программу и пройти в папку, которую указали для восстановления. Там будет набор других папок, в которых будут файлы. Все, что получилось расшифровать, находится в этих папках. Вам придется вручную смотреть, искать и разбирать файлы.

Если результат вас не удовлетворит, то есть другие программы для восстановления удаленных файлов. Вот список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Это все, что я знал и мог подсказать на тему того, как расшифровать и восстановить файлы после вируса no_more_ransom. В принципе, шансы на восстановление есть, но не в полном объеме. Наверняка может помочь только своевременно сделанная архивная копия.

Касперский, eset nod32 и другие в борьбе с шифровальщиком

Современные антивирусы, к сожалению, до сих пор пасуют перед угрозой шифровальщиков. Они и пропускают их на компьютер, и не могут ничего предложить по расшифровке. К примеру, вот ответ с форма Eset Nod 32 по поводу расшифровки файлов после no_more_ransom:

http://forum.esetnod32.ru/messages/forum35/topic13688/message96440/#message96440

Kaspersky тоже не может расшифровать no_more_ransom

https://forum.kasperskyclub.ru/index.php?showtopic=52990&p=777596

Это хоть и не официальный форум касперского, но с него отправляют писать запросы именно сюда. Можно, конечно, попробовать написать в техподдержку, но вряд ли они смогут предложить готовое решение по расшифровке. Но тем не менее, попробовать стоит, если у вас есть лицензия антивируса.

Если у вас лицензия Dr.Web, попробуйте обратиться в их техподдержку. У них есть отдельная форма для отправки запросов по поводу расшифровки файлов - https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru. Хотя они принимают запросы даже от тех, кто не приобретал их антивирус, но тем не менее в приоритете будет обращение клиента компании.

Методы защиты от вируса no_more_ransom

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

  1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
  2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
  3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву. К примеру no_more_ransom показывает сначала очень замыленное изображение файла и предлагает скачать версию с четким изображением. И люди ведутся.
  4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
  5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

Постарался дополнить то, что уже писал раньше в каждой статье про вирус шифровальщик. Постараюсь в скором времени сделать единую компиляцию по всем известным мне вирусам-шифровальщикам, чтобы охватить все аспекты в одном месте. А пока прощаюсь. Буду рад полезным замечаниям по статье и вирусу-шифровальщику no_more_ransom в целом.

Видео c расшифровкой и восстановлением файлов

Здесь пример предыдущей модификации вируса, но видео полностью актуально и для no_more_ransom.

Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

No more ransom: как расшифровать вирус дешифратором

В конце 2016 года был замечен новый вирус-шифровальщик – NO_MORE_RANSOM. Такое длинное название он получил из-за расширения, которое присваивает файлам пользователя.

Очень многое перенял у других вирусов, например у da_vinci_cod. Так как появился в Сети недавно, антивирусные лаборатории еще не смогли расшифровать его код. Да и сделать в ближайшее время это вряд ли смогут – используется улучшенный алгоритм шифровки. Итак, разберемся, что делать, если ваши файлы зашифрованы с расширением «no_more_ransom».

Описание и принцип работы

Главная задача No_more_ransom и других вирусов-шифровальщиков – блокировка файлов пользователя с целью последующего выкупа. Совместил в себе черты предыдущих версий вирусов, получив более стойкий алгоритм шифровки. Как заявили авторы, используется режим шифрования RSA-3072, которые в разы лучше RSA-2048.

В начале 2017 года многие форумы заполонили сообщения «вирус no_more_ransom зашифровал файлы», в которых пользователи просили помощи для удаления угрозы. Атаке подверглись не только частные компьютеры, но и целые организации (особенно те, в которых используются базы 1С). Ситуация у всех пострадавших примерно одинаковая: открыли вложение из электронного письма, через некоторое время файлы получили расширение No_more_ransom. Вирус-шифровальщик при этом без проблем обходил все популярные антивирусные программы.

Вообще, по принципу заражения No_more_ransom ничем не отличим от своих предшественников:

  1. На электронную почту поступает письмо нейтрального содержания с вложением. Как правило, оно маскируется под рабочую переписку или сообщение от каких-либо организаций.
  2. Вложение, представляющее текстовый документ или архив, несет в себе вредоносный код, который начинается распространяться после открытия на компьютере. То есть, заражение пользователь начинает самолично.
  3. Вирус-шифровальщик очень быстро заражает каждый файл на ПК, добавляя расширение и сложный пароль. Чтобы обеспечить собственную безопасность, вирус копирует себя в корневые каталоги и реестр.
  4. На рабочем столе и в некоторых системных папках появляется текстовый документ, содержание которого примерно одинаково. В нем злоумышленник за определенную плату обещает выслать пароль. Для его поучения составлены инструкции.
  5. Вот и все. После этого, пользователи, впадая в панику, начинают искать информацию, как расшифровать файлы, что делать с вирусом No_more_ransom. Дабы спасти ценные данные, многие даже идут навстречу мошенникам, пересылая деньги. Вот только зачастую злоумышленники не спешат выполнить обещание.

Как вылечить или удалить вирус No_more_ransom

Важно понимать, что после того, как вы начнете самостоятельно бороться с вирусом-шифровальщиком No_more_ransom, потеряете возможность восстановить доступ к файлам при помощи пароля злоумышленников. Можно ли восстановить файл после No_more_ransom? На сегодняшний день нет на 100% рабочего алгоритма расшифровки данных. Исключением становятся только утилиты от известных лабораторий, но подбор пароля занимает очень много времени (месяцы, годы). Но о восстановлении чуть ниже. Для начала разберемся, как определить троян no more ransom (перевод – «нет больше выкупа») и побороть его.

Как правило, установленное антивирусное ПО пропускает шифровальщики на компьютер – часто выходят новые версии, для которых попросту не успевают выпускать базы. Вирусы этого типа довольно просто удаляются с компьютера, ведь мошенникам и не нужно, чтобы они оставались в системе, выполнив свою задачу (шифрование). Для удаления можно воспользоваться уже готовыми утилитами, которые распространяются бесплатно:

Пользоваться ими очень просто: запускаем, выбираем диски, жмем «Начать проверку». Остается лишь ждать. После появится окошко, в котором будут отображены все угрозы. Жмем «Удалить».

Скорее всего, одна из этих утилит удалит вирус-шифровальщик. Если этого не произошло, то необходимо удаление вручную:

  1. Откройте «Диспетчер задач». Найдите процесс вируса (по названию). Переходим в папку, в которой он разместился.
  2. Удаляем. Переходим в реестр. Для этого нажимаем сочетание клавиш Win+R, в строку «Выполнить» вписываем «regedit». Перейдите в пункт «Правка», далее «Найти», здесь вводим «Client Server Runtime Subsystem». Находим и удаляем вирус No_more_ransom.
  3. Перезагружаем компьютер, заходим в «Диспетчер задач» и проверяем, чтобы не было процесса «No_more_ransom».

Если быстро заметите вирус, успев его удалить, то есть шанс, что часть данных не будет зашифрована. Лучше сохранить файлы, которые не подверглись атаке, на отдельный накопитель.

Утилиты-дешифровщики для расшифровки файлов «No_more_ransom»

Подобрать код самостоятельно просто невозможно, если только вы не продвинутый хакер. Для расшифровки потребуются специальные утилиты. Сразу скажу, что далеко не всем удастся расшифровка зашифрованного файла типа «No_more_ransom». Вирус новый, поэтому подбор пароля — очень сложная задача.

Итак, первым делом пробуем восстановить данные из теневых копий. По умолчанию операционная система, начиная с Windows 7, регулярно сохраняет копии ваших документов. В некоторых случаях вирусу не под силу удалить копии. Поэтому скачиваем бесплатную программу ShadowExplorer. Устанавливать ничего не придется – нужно просто распаковать.

  1. Запускаем утилиту.
  2. В левом верхнем углу видим две колонки: буква диска и дата сохранения копий.
  3. Переходим к нужному логическому диску, выбрав букву из выпадающего списка.
  4. Далее ищем нужную папку с документами. Перебираем даты создания копий, пока не найдем подходящую.
  5. Жмем правой кнопкой мыши по папке, а затем «Export». В новом окошке выбираем, в какую папку сохранить копии.

Если вирус не удалил копии, то есть вероятность восстановить порядка 80-90% зашифрованной информации.

Программы-дешифраторы для восстановления файлов после вируса No_more_ransom предлагают и известные антивирусные лаборатории. Правда, не стоит рассчитывать, что эти утилиты сумеют восстановить ваши данные. Шифровальщики постоянно совершенствуются, а специалисты попросту не успевают выпускать обновления для каждой версии. Отправляйте образцы в техническую поддержку антивирусных лабораторий, чтобы помочь разработчикам.

Для борьбы с No_more_ransom есть Kaspersky Decryptor. Утилита представлена в двух версиях с приставками Rector и Rakhni (о них на нашем сайте есть отдельные статьи). Для борьбы с вирусом и расшифровки файлов необходимо просто запустить программу, выбрав места проверки.

Помимо этого, требуется указать один из заблокированных документов, чтобы утилита занялась подбором пароля.

Можно бесплатно скачать и лучший дешифратор No_more_ransom от Dr. Web. Утилита называется matsnu1decrypt. Работает по схожему сценарию с программами от Kaspersky. Достаточно запустить проверку и дождаться окончания.

Утилита для расшифровки Cryakl загружена на NoMoreRansom

У проекта помощи жертвам шифровальщиков-вымогателей No More Ransom есть хорошая новость: бельгийской федеральной полиции в сотрудничестве с «Лабораторией Касперского» удалось получить ключи для восстановления файлов, пострадавших от новых версий зловреда Cryakl, также известного как «Фантомас». Обновленная утилита для расшифровки уже доступна на портале проекта.

Кто такой Cryakl

Троян-шифровальщик Cryakl (Trojan-Ransom.Win32.Cryakl) известен с 2014 года — поначалу он распространялся через вложения-архивы в письмах, якобы отправленных арбитражным судом в связи с правонарушениями. В таких сообщениях есть что-то магическое: они волей-неволей заставляют нервничать, и по вложению может щелкнуть даже человек, который точно знает, что так лучше не делать. Позже письма стали приходить и от других инстанций — например, от ТСЖ.

Шифруя файлы на компьютере, Cryakl создает длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. Ну а потом он меняет обои на рабочем столе, помещая туда информацию для связи с создателями вымогателя и требование выкупа. К этому всему Cryakl добавляет маску киношного злодея Фантомаса, за что и получил свое второе имя — «Фантомас». Подробнее об этом зловреде вы можете прочитать здесь.

Сантехник-шифровальщик

История успеха

Как мы уже говорили, добыть ключи удалось благодаря сотрудничеству наших экспертов и бельгийской полиции. Расследование началось с того, что отдел по борьбе с компьютерными преступлениями узнал о жертвах вымогателя среди граждан своей страны, а потом обнаружил командный сервер в одном из соседних государств. Операция под руководством федерального прокурора позволила обезвредить этот и несколько других командных серверов, на которые зараженные машины отправляли ключи.

Тогда в дело вступили специалисты «Лаборатории Касперского», которые уже не первый раз помогают правоохранительным органам. Вот и сейчас сотрудничество дало хорошие результаты: наши эксперты помогли проанализировать найденные данные и извлечь ключи для дешифровки.

Ключи уже добавлены в дешифратор RakhniDecryptor, доступный на сайте No More Ransom, а федеральная полиция Бельгии отныне является официальным партнером проекта. Этот проект, действующий с июля 2016 года, помог бесплатно расшифровать файлы, приведенные в негодность вымогателями, десяткам тысяч людей и лишил злоумышленников как минимум 10 млн евро потенциальной прибыли.

No More Ransom: хороший год

Как расшифровать файлы, зашифрованные Cryakl

На сайте No More Ransom есть две утилиты для расшифровки файлов, поврежденных Cryakl. Одна предназначена для старых версий Cryakl и существует аж с 2016 года — ее зовут RannohDecryptor. Скачать ее можно на NoMoreRansom.org, а прочитать, что нужно делать для расшифровки, — здесь.

Вторую утилиту, RakhniDecryptor, мы обновили только что, добавив в нее ключи с сервера, полученного бельгийской полицией. Скачать ее можно там же, а принцип ее работы изложен вот тут. RakhniDecryptor нужен для расшифровки файлов, поврежденных новыми версиями Cryakl. Если не одна, то другая утилита точно позволят вам восстановить файлы, по которым прошелся Cryakl.

Как обезопасить себя в будущем?

Когда имеешь дело с шифровальщиками, профилактика значительно дешевле и проще лечения. То есть лучше сначала защищаться и в ус не дуть, чем пытаться потом разобраться, как восстановить файлы. У нас есть несколько советов, как защитить их превентивно:

  • Всегда сохраняйте копии важных файлов где-нибудь еще: в облаке, на другом диске, на флешке или на другом компьютере. Подробнее о разных возможностях резервного копирования можно почитать здесь.
  • Во-вторых, используйте надежный антивирус. Некоторые защитные решения, например Kaspersky Total Security, могут помочь и с резервным копированием файлов.
  • В-третьих, не скачивайте программы из подозрительных источников. Их установщики могут содержать то, что вы совсем не планировали ставить на свой компьютер.
  • Наконец, не открывайте вложения из писем от незнакомых адресатов, даже если эти письма выглядят очень важными и убедительными. Если есть сомнения, лучше позвоните по телефону, указанному на официальном сайте организации.

NO_MORE_RANSOM - как расшифровать зашифрованные файлы?

В конце 2016 года мир был атакован весьма нетривиальным вирусом-трояном, шифрующим пользовательские документы и мультимедиа-контент, получившим название NO_MORE_RANSOM. Как расшифровать файлы после воздействия этой угрозы, далее и будет рассмотрено. Однако сразу стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано и с использованием одного из самых продвинутых алгоритмов шифрования, и со степенью проникновения вируса в компьютерную систему или даже в локальную сеть (хотя изначально на сетевое воздействие он и не рассчитан).

Что за вирус NO_MORE_RANSOM и как он работает?

Вообще, сам вирус принято относить к классу троянов типа I Love You, которые проникают в компьютерную систему и шифруют файлы пользователя (обычно это мультимедиа). Правда, если прародитель отличался только шифрованием, то этот вирус очень многое позаимствовал у некогда нашумевшей угрозы под названием DA_VINCI_COD, совместив в себе еще и функции вымогателя.

После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длиннющее имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

При попытке их открытия на экране появляется сообщение о том, что файлы зашифрованы, а для произведения дешифрования нужно заплатить некоторую сумму.

Как угроза проникает в систему?

Оставим пока в покое вопрос о том, как после воздействия NO_MORE_RANSOM расшифровать файлы любого из вышеуказанных типов, а обратимся к технологии проникновения вируса в компьютерную систему. К сожалению, как бы банально это ни звучало, для этого используется старый проверенный способ: на адрес электронной почты приходит письмо с вложением, открывая которое, пользователь и получает срабатывание вредоносного кода.

Оригинальностью, как видим, эта методика не отличается. Однако сообщение может быть замаскировано под ничего не значащий текст. Или, наоборот, например, если речь идет о крупных компаниях, - под изменение условий какого-то контракта. Понятно, что рядовой клерк открывает вложение, а далее и получает плачевный результат. Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это уже дело серьезное.

NO_MORE_RANSOM: как расшифровать документы?

Но все же стоит обратиться к главному вопросу. Наверняка всех интересует, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь пытается произвести дешифрование сразу же после заражения, сделать это еще кое-как можно. Если же угроза обосновалась в системе прочно, увы, без помощи специалистов здесь не обойтись. Но и они зачастую оказываются бессильны.

Если угроза была обнаружена своевременно, путь только один – обратиться в службы поддержки антивирусных компаний (пока еще не все документы были зашифрованы), отправить пару недоступных для открытия файлов и на основе анализа оригиналов, сохраненных на съемных носителях, попытаться восстановить уже зараженные документы, предварительно скопировав на ту же флешку все, что еще доступно для открытия (хотя полной гарантии того, что вирус не проник в такие документы, тоже нет). После этого для верности носитель нужно обязательно проверить хотя бы антивирусным сканером (мало ли что).

Алгоритм

Отдельно стоит сказать и о том, что вирус для шифрования использует алгоритм RSA-3072, который, в отличие от ранее применявшейся технологии RSA-2048, является настолько сложным, что подбор нужного пароля, даже при условии, что этим будет заниматься весь контингент антивирусных лабораторий, может занять месяцы и годы. Таким образом, вопрос того, как расшифровать NO_MORE_RANSOM, потребует достаточно больших временных затрат. Но что делать, если восстановить информацию нужно немедленно? Прежде всего – удалить сам вирус.

Можно ли удалить вирус и как это сделать?

Собственно, сделать это нетрудно. Судя по наглости создателей вируса, угроза в компьютерной системе не маскируется. Наоборот – ей даже выгодно «самоудалиться» после окончания произведенных действий.

Тем не менее поначалу, идя на поводу у вируса, его все-таки следует нейтрализовать. Первым делом необходимо использовать портативные защитные утилиты вроде KVRT, Malwarebytes, Dr. Web CureIt! и им подобные. Обратите внимание: применяемые для проверки программы должны быть портативного типа в обязательном порядке (без установки на жесткий диск с запуском в оптимальном варианте со съемного носителя). Если угроза будет обнаружена, ее следует немедленно удалить.

Если таковые действия не предусмотрены, необходимо сначала зайти в «Диспетчер задач» и завершить в нем все процессы, связанные с вирусом, отсортировав службы по названию (как правило, это процесс Runtime Broker).

После снятия задачи нужно вызвать редактор системного реестра (regedit в меню «Выполнить») и задать поиск по названию «Client Server Runtime System» (без кавычек), после чего используя меню перемещения по результатам «Найти далее…», удалить все найденные элементы. Далее нужно произвести перезагрузку компьютера и поверить в «Диспетчере задач», нет ли там искомого процесса.

В принципе, вопрос того, как расшифровать вирус NO_MORE_RANSOM еще на стадии заражения, может быть решен и таким методом. Вероятность его нейтрализации, конечно, невелика, но шанс есть.

Как расшифровать файлы, зашифрованные NO_MORE_RANSOM: резервные копии

Но есть еще одна методика, о которой мало кто знает или даже догадывается. Дело в том, что сама операционная система постоянно создает собственные теневые резервные копии (например, на случай восстановления), или пользователь намеренно создает такие образы. Как показывает практика, именно на такие копии вирус не воздействует (в его структуре это просто не предусмотрено, хотя и не исключено).

Таким образом, проблема того, как расшифровать NO_MORE_RANSOM, сводится к тому, чтобы использовать именно их. Однако применять для этого штатные средства Windows не рекомендуется (а многие пользователи к скрытым копиям не получат доступа вообще). Поэтому применять нужно утилиту ShadowExplorer (она является портативной).

Для восстановления нужно просто запустить исполняемый файл программы, отсортировать информацию по датам или разделам, выбрать нужную копию (файла, папки или всей системы) и через меню ПКМ использовать строку экспорта. Далее просто выбирается директория, в которой будет сохранена текущая копия, а затем используется стандартный процесс восстановления.

Сторонние утилиты

Конечно, к проблеме того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Так, например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух модификациях – Rakhini и Rector.

Не менее интересно выглядят и аналогичные разработки вроде дешифратора NO_MORE_RANSOM от Dr. Web. Но тут стоит сразу же учесть, что применение таких программ оправдано только в случае быстрого обнаружения угрозы, пока еще не были заражены все файлы. Если же вирус обосновался в системе прочно (когда зашифрованные файлы просто невозможно сравнить с их незашифрованными оригиналами), и такие приложения могут оказаться бесполезными.

Как итог

Собственно, вывод напрашивается только один: бороться с этим вирусом необходимо исключительно на стадии заражения, когда происходит шифрование только первых файлов. А вообще, лучше всего не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников (это касается исключительно клиентов, установленных непосредственно на компьютере – Outlook, Oulook Express и др.). К тому же если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открытие «левых» сообщений становится совершенно нецелесообразным, поскольку большинство при приеме на работу подписывает соглашения о неразглашении коммерческой тайны и кибербезопасности.

No Ransom: бесплатная расшифровка файлов

0 инструментов найдено

Смотрите также

Название Описание Дата обновления

Shade Decryptor

Скачать

30 Апр 2020

Rakhni Decryptor

Восстанавливает файлы после шифровальщиков Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt, версии 3 и 4), Chimera, Crysis (версий 2 и 3).

Обновления: восстанавливает файлы после шифровальщиков Dharma, Jaff, новые версии Cryakl, Yatron, FortuneCrypt.

Как расшифровать

Скачать

25 Сен 2019

Rannoh Decryptor

Восстанавливает файлы после шифровальщиков Rannoh, AutoIt, Fury, Crybola, Cryakl, CryptXXX (версий 1, 2 и 3), Polyglot или Marsjoke.

Как расшифровать

Скачать

20 Дек 2016

Wildfire Decryptor

Скачать

24 Авг 2016

CoinVault Decryptor

Восстанавливает файлы после шифровальщиков CoinVault и Bitcryptor. Утилита создана совместно с полицией и прокуратурой Нидерландов.

Как расшифровать

Скачать

15 Апр 2015

Xorist Decryptor

Скачать

23 Авг 2016

Установите Kaspersky Internet Security,
чтобы уберечь свой компьютер от вымогателей

The No More Ransom Project

История троянцев-вымогателей

1989: Джозеф Попп пишет первого известного шифровальщика – датируемый 1989 годом троянец AIDS (известный так же как «PCCyborg»)

2005: В мае троянцы-вымогатели появляются в общественном доступе в Интернете

2006: К середине 2006 года такие троянцы как Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, и MayArchive начинают использовать более сложные схемы шифрования RSA с более сложными ключами

2011: Появляется троянец-вымогатель, имитирующий уведомление о необходимости активации Windows

2013: Появляется троянец-вымогатель, основанный на наборе эксплойтов Stamp.EK; появляется первый вымогатель, специально созданный для MacOSX. Сумма выкупов, собранная CryptoLocker в последние четыре месяца года, составляет около 5 миллионов долларов

2015: Разнообразные троянцы-вымогатели на разных платформах наносят жертвам огромный ущерб

Виды троянцев-вымогателей
  • Шифровальщики

Шифруют личные файлы и папки (документы, электронные таблицы, изображения и видеоролики).

Оригиналы зашифрованных файлов удаляются. Как правило, пользователь обнаруживает на компьютере текст с инструкциями по оплате (требованиями выкупа) в той же папке, где были ставшие недоступными файлы.

Возможно, вы обнаружите проблему, только попытавшись открыть один из таких файлов.

Некоторые, но не все разновидности шифровальщиков так же блокируют доступ к устройству:

  • Блокировщики — WinLocker

Блокировщики — WinLocker

Демонстрируют полноэкранное изображение, которое блокирует все остальные окна.

Не шифруют личные файлы.

  • Трояны-вымогатели, заражающие MBR

Master Boot Record, MBR – это часть жесткого диска компьютера, которая обеспечивает загрузку операционной системы.

Трояны-вымогатели, заражающие MBR, изменяют главную загрузочную запись таким образом, что нормальный процесс загрузки операционной системы становится невозможен.

Вместо этого на экран выводится требование выкупа.

  • Трояны-вымогатели, шифрующие веб-серверы

Заражают веб-серверы и шифруют часть находящихся на них файлов.

Для развертывания троянцев-вымогателей на веб-серверах киберпреступники зачастую используют известные уязвимости в системах управления контентом.

  • Трояны-вымогатели для мобильных устройств (Android)

Заражение мобильных устройств (прежде всего Android) возможно через drive-by загрузку вредоносного ПО.

Возможно так же заражение через фальшивые приложения, выдаваемые за популярные сервисы, такие какas Adobe Flash или антивирусные продукты.

Платить ли мне выкуп в случае атаки?

Платить выкуп не рекомендуется никогда, поскольку это не гарантирует решения проблемы. К тому же, что-то может пойти не так совершенно случайно. Например, вредоносное ПО может содержать ошибки, из-за которых зашифрованные данные будет невозможно восстановить даже при наличии правильного ключа.

Кроме того, оплата выкупа показывает киберпреступникам, что троянцы-вымогатели работают. В результате злоумышленники продолжают свою деятельность и ищут новые способы заражения пользователей, что приводит росту доходов киберпреступников.

Как происходит заражение троянцами-вымогателями?

Самый распространенный способ — через электронную почту. Вымогатели обычно прикидываются каким-нибудь полезным вложением — срочным счетом на оплату, интересной статьей или бесплатной программой. Открыв такое вложение, вы запускаете на компьютер зловреда. Можно подцепить вымогателя и просто просматривая интернет-сайты, даже не запуская при этом никаких файлов. Для захвата контроля над системой вымогатели используют ошибки в коде операционной системы, браузера или какой-нибудь другой установленной на компьютере программы.

Жертва не сразу поймет, что заражена. Вначале зловред действует незаметно,в фоновом режиме, пока не будет запущен и реализован механизм шифрования данных. После того как все файлы на зараженном устройстве зашифрованы, появляется диалоговое окно, в котором пользователю сообщается, что данные заблокированы и предъявляется требование выплаты выкупа для доступа к ним. К этому времени уже слишком поздно пытаться сохранить данные с помощью мер безопасности.

Дополнительную информацию можно получить из следующего видео:

Кто может стать жертвой троянцев-вымогателей?

Любой пользователь и любая компания может стать жертвой троянцев-вымогателей. Киберпреступники не действуют избирательно – они зачастую стремятся поразить как можно больше пользователей, чтобы получить максимальный доход.

Растет ли число атак троянцев-вымогателей на компании?

Да, поскольку киберпреступники знают, что шансы получить выкуп от компании выше: как правило, заблокированные данные являются конфиденциальными и важными для непрерывности бизнес-процессов. Кроме того, иногда дешевле заплатить выкуп, чем восстанавливать данные резервных копий.

Почему так трудно найти единое решение для защиты от троянцев-вымогателей?

Число троянцев-вымогателей растет – сейчас активно действует более 50 семейств. К тому же, этот вид вредоносного ПО быстро развивается. Каждый новый образец троянца совершенствует процесс шифрования и добавляет новых функций. Это невозможно просто игнорировать!

Одна из причин того, что единое решение так трудно найти, – тот факт, что шифрование само по себе не является вредоносным. Шифрование – полезная возможность, которую используют многие легитимные программы.

Первые вредоносные шифровальщики использовали симметричный алгоритм шифрования, в котором файлы кодировались и раскодировались одним и тем же ключом. Компании, работающие в сфере информационной безопасности, как правило, были способны помочь расшифровать эти данные. Со временем киберпреступники перешли на асимметричные алгоритмы шифрования, в которых используется два ключа: данные шифруются открытым ключом, а для их расшифровки необходим закрытый ключ.

Троянец CryptoLocker – один из самых известных вымогателей. Он использует асимметричный алгоритм шифрования. После заражении компьютера он связывается с командным сервером и загружает открытый ключ. При этом закрытый ключ доступен только преступникам, создавшим CryptoLocker. Как правило, жертве дается не более 72 часов на оплату выкупа, после чего соответствующий закрытый ключ безвозвратно уничтожается; при этом расшифровать файлы без ключа невозможно.

Это означает, что основное внимание должно уделяться превентивным мерам. В состав большинства антивирусных продуктов входит компонент, позволяющий обнаружить шифровальщиков на ранних этапах заражения. Проверьте, работает ли этот функционал в вашем антивирусном продукте или если нет обязательно включите его.

Каковы шансы на то, что проект сможет помочь жертве шифровальщиков вернуть доступ к своим файлам?

Проект «No More Ransom» только начал действовать, но мы постоянно сотрудничаем с различными антивирусными компаниями и правоохранительными органами, чтобы найти как можно больше ключей для максимально возможного числа троянцев-шифровальщиков. Если у вас есть информация, которая, по вашему мнению, может помочь проекту, пожалуйста, поделитесь ей с нами.

Что такое Крипто-шериф и как мне его использовать?

Крипто-шериф – это инструмент, цель которого – определить тип шифровальщика на вашем устройстве. Это даст нам возможность проверить, есть ли у нас утилита для расшифровки. Следующее видео объясняет, как работает этот инструмент:

Я уверен, что использую правильную утилиту для расшифровки файлов – почему же она не работает?

Такое возможно. Иногда в нашем распоряжении есть только часть ключей, поэтому мы просим вас регулярно сверяться с нашим сайтом.

В каких случаях возможно расшифровать файлы, зашифрованные троянцем-вымогателем?

Это возможно в следующих случаях:

  • Создатели вредоносного ПО допустили ошибку реализации, что позволило взломать код. Так было, например, с троянцами-вымогателями Petya и CryptXXX.
  • Создатели вредоносного ПО раскаялись в содеянном и опубликовали ключи или мастер-ключ, как в случае TeslaCrypt.
  • Правоохранительные органы конфисковали сервер, на котором хранились ключи, и передали ключи антивирусным компаниям. В качестве примера можно привести CoinVault.


Случается, что оплата выкупа помогает вернуть файлы, однако нет никаких гарантий что если вы заплатите, то ваши файлы будут расшифрованы. Кроме того, этим вы поддержите бизнес-модель преступников, что сделает вас в какой-то мере ответственным за заражение компьютеров все большего числа пользователей троянцами-вымогателями.

Почему вы решили организовать инициативу ‘No More Ransom’?

Не секрет, что в последние годы троянцы-вымогатели, шифрующие данные на компьютерах жертв, стали огромной проблемой кибербезопасности. Они получили такое широкое распространение, что это вполне можно назвать эпидемией. Число пользователей, атакованных вымогателями, стремительно растет. Только в период с апреля 2015 года по март 2016 года были заражены компьютеры 718.000 пользователей. Это в 5.5 раз больше в сравнении с тем же периодом 2014-2015 годов.

Полиция не способна самостоятельно справиться с киберпреступностью и, в частности, троянцами-вымогателями. Эксперты по безопасности также не могут эффективно противостоять этим угрозам без поддержки со стороны правоохранительных органов. Эта борьба требует совместных усилий всех этих организаций. Вместе мы сделаем все возможное, чтобы разрушить созданные преступниками схемы обогащения и вернуть файлы их законным владельцам без выплаты последними значительных денежных сумм.

Есть ли в моей стране подобные инициативы?

‘No More Ransom’ международная инициатива, которая показывает ценность государственно-частного партнерства в деле борьбы с киберпреступностью. Это сотрудничество выходит за рамки государственных границ. Главная цель проекта – делиться знаниями и информировать пользователей по всему миру о том, как не допустить атак троянцев-вымогателей. Мы убеждены, что со временем сможем помочь пользователям во всем мире свести на нет ущерб, нанесенный троянцами-вымогателями. Возвращая людям доступ к их системам и данным, мы показываем им, что они могут себя защитить и не награждать преступников, выплачивая им выкуп.

На данном – начальном – этапе на портале доступно пять декрипторов/утилит по расшифровке различных типов вредоносного ПО. Все перечисленные на сайте инструменты дешифрования бесплатны и работают одинаково хорошо для всех жертв, – в какой бы точке земного шара эти пользователи ни находились.

Вот бесплатные инструменты для расшифровки программ-вымогателей, которые вам нужны [Обновлено 2020 г.]

Если ваша сеть заражена программой-вымогателем, выполните следующие действия, чтобы восстановить важные данные:


Шаг 1: Не платите выкуп, потому что нет гарантии, что создатели программ-вымогателей предоставят вам доступ к вашим данным.

Шаг 2: Найдите все доступные резервные копии и подумайте о том, чтобы хранить резервные копии данных в безопасных удаленных местах.

Шаг 3. Если резервных копий нет, попробуйте расшифровать данные, заблокированные программой-вымогателем, с помощью лучших доступных инструментов расшифровки программ-вымогателей.

В это руководство по борьбе с программами-вымогателями мы включили эти бесплатные инструменты дешифрования, которые вы можете использовать, чтобы избежать всех типов вредоносных программ.

Перейдите по этим ссылкам, чтобы узнать больше.

Как определить зараженную программу-вымогатель
Инструменты дешифрования программ-вымогателей
Описание семейств программ-вымогателей и инструментов для расшифровки
Как избежать заражения программ-вымогателей в будущем
12 Контрольный список для защиты от программ-вымогателей

Как определить программу-вымогатель, которой вы были заражены

Часто в записке о выкупе содержится подробная информация о типе программы-вымогателя, с помощью которой были зашифрованы ваши файлы, но может случиться так, что у вас нет этой информации под рукой.Читатели просили нас показать, какие расширения шифрования принадлежат к каким семействам программ-вымогателей. Многие из этих расширений сигнализируют о новых типах вредоносных программ для шифрования, для которых нет доступных дешифраторов.

Если вам нужна помощь в определении того, какой тип программ-вымогателей влияет на вашу систему, вы можете использовать эти два инструмента ниже:

Крипто-шериф от No More Ransom
ID Ransomware от MalwareHunter Team

Инструменты дешифрования программ-вымогателей - постоянный список

Заявление об отказе от ответственности:

Вы должны знать, что список ниже не является полным и, вероятно, никогда не будет полным.Используйте его, но также проведите задокументированное исследование. Безопасное дешифрование ваших данных может быть нервным процессом, поэтому постарайтесь действовать как можно тщательнее.

Мы сделаем все возможное, чтобы обновлять этот список и добавлять в него больше инструментов. Вклады и предложения более чем приветствуются , так как мы обещаем оперативно реагировать на них и включать их в список.

Если вам понравился этот пост, вам понравится наша рассылка.

Получайте новые статьи прямо на почту

Некоторые из упомянутых ниже инструментов дешифрования программ-вымогателей просты в использовании, в то время как для расшифровки других требуется немного больше технических знаний.Если у вас нет технических навыков, вы всегда можете обратиться за помощью на один из форумов по удалению вредоносных программ , на которых вы найдете массу информации и полезные сообщества.

.777 инструмент для дешифрования программ-вымогателей

Инструмент для дешифрования 7even-HONE $ T

.8lock8 инструмент для дешифрования программ-вымогателей + объяснения

7ev3n дешифратор

Инструмент AES_NI Rakhni Decryptor

Агент.iih дешифратор (расшифровывается Rakhni Decryptor)

Инструмент дешифрования Alcatraz Ransom

Инструмент для дешифрования Alma

Инструмент для расшифровки Al-Namrood

Инструмент альфа-дешифрования

Инструмент для расшифровки AlphaLocker

Расшифровщик Amnesia Ransom

Средство дешифрования Amnesia Ransom 2

Инструмент для дешифрования Апокалипсиса

Инструмент дешифрования ApocalypseVM + альтернатива

Инструмент для расшифровки Aura (расшифрован с помощью Rakhni Decryptor)

Инструмент дешифрования AutoIT (расшифрован с помощью Rannoh Decryptor)

Инструмент дешифрования AutoLT (расшифровывается с помощью Rannoh Decryptor)

Инструмент расшифровки Autolocky

Инструмент для расшифровки плохих блоков + альтернатива 1

Инструмент расшифровки BarRax Ransom

Инструмент для дешифрования Bart

Инструмент для дешифрования BigBobRoss

Инструмент дешифрования BitCryptor

Инструмент дешифрования BitStak

BTCWare Декриптор выкупа

Инструмент дешифрования Cerber

Инструмент для расшифровки химеры + альтернатива 1 + альтернатива 2

Инструмент для расшифровки CoinVault

Инструмент дешифрования Cry128

Инструмент дешифрования Cry9 Ransom

Инструмент дешифрования Cryakl (расшифрован с помощью Rannoh Decryptor)

Инструмент дешифрования Crybola (расшифровывается с помощью Rannoh Decryptor)

Инструмент дешифрования CrypBoss

Инструмент дешифрования Crypren

Инструмент дешифрования Crypt38

Инструмент дешифрования Crypt888 (см. Также Mircop)

Инструмент дешифрования CryptInfinite

Инструмент дешифрования CryptoDefense

Инструмент дешифрования CryptFile2 (расшифровывается с помощью CryptoMix Decryptor)

CryptoHost (a.k.a. Manamecrypt) средство дешифрования

Инструмент дешифрования Cryptokluchen (расшифровывается с помощью Rakhni Decryptor)

Инструмент дешифрования CryptoMix Ransom + автономная альтернатива

Инструмент дешифрования CryptON

Инструмент дешифрования CryptoTorLocker

Инструмент дешифрования CryptXXX

Инструмент дешифрования CrySIS ( расшифровано с помощью Rakhni Decryptor - дополнительные сведения )

CTB-Locker Инструмент для расшифровки веб-страниц

Инструмент дешифрования CuteRansomware (расшифровывается с помощью my-Little-Ransomware Decryptor)

Инструмент для расшифровки выкупа

Инструмент дешифрования DemoTool

Инструмент для дешифрования Dharma Ransom Rakhni

Инструмент для дешифрования DeCrypt Protect

Инструмент дешифрования Democry (расшифровывается Rakhni Decryptor)

Инструмент дешифрования выкупа Derialock

Декриптор Дхармы

Инструмент дешифрования DMA Locker + Инструмент декодирования DMA2 Locker

Инструмент дешифрования программного обеспечения Fabians

Инструмент для расшифровки программ-вымогателей Everbe

Инструмент для дешифрования шифрования

FenixLocker - средство дешифрования

Средство дешифрования FilesLocker

Инструмент для расшифровки FindZip

Инструмент расшифровки FortuneCrypt (расшифрован расшифровщиком Rakhni Decryptor)

Инструмент расшифровки Fury (расшифрован Декриптором Ранно)

Инструмент дешифрования GhostCrypt

Инструмент для дешифрования Globe / Purge + альтернатива

Инструмент дешифрования Globe3

Инструмент для дешифрования Gomasom

Инструмент для расшифровки GandCrab

Взломанный инструмент дешифрования

Декриптор хакбита

Инструмент для дешифрования Harasom

Расшифровка HydraCrypt

.

100+ бесплатных инструментов дешифрования программ-вымогателей для удаления и разблокировки зашифрованных файлов

как расшифровать файлы, зашифрованные программой-вымогателем? Вызывает тревогу рост числа киберпреступных организаций, использующих обманчивые ссылки и веб-сайты для установки вредоносных программ, которые могут хранить ваши важные данные и файлы с целью выкупа, они известны как программы-вымогатели [Википедия].

Альтернативная статья 2020 г. ➤ 17 Загрузочный антивирус для удаления вируса-вымогателя FBI и вируса CryptoLocker

Зараженные компьютеры Microsoft Windows, macOS (да, включая Apple mac) и Linux будут отображать сообщения, требующие оплаты, чтобы получить правильный ключ для расшифровки файлы.Невыполнение этого требования означает, что ваш компьютер или файлы будут заблокированы до тех пор, пока вы не оплатите их через BitCoin.

Эти атаки, иногда называемые «программами-вымогателями», используют вредоносное ПО, которое может вывести из строя ваш компьютер. Чтобы избежать заражения, убедитесь, что на вашем компьютере установлена ​​последняя версия программного обеспечения и антивирусных программ, и избегайте подозрительных сайтов. Если ваша машина уже заражена, не платите выкуп. Вместо этого попробуйте следующий бесплатный инструмент дешифрования, есть хороший шанс, что вы сможете разблокировать свои файлы, это может занять некоторое время, но это время стоит подождать.Этот бесплатный инструмент дешифрования разблокирует следующие программы-вымогатели - Croti, Fakebsod, Brolo, Exxroute, Cerber, Locky, Teerac, Critroni, Reveton, Krypterade и другие. Профилактика лучше лечения, вот 2 веские причины.

  • Всегда делайте резервную копию всех ваших файлов. Даже если киберпреступникам удастся заразить ваш компьютер, вы можете просто стереть систему и восстановить последнюю резервную копию. Никаких потерь денег и, самое главное, никакой компрометации важной информации!
  • Используйте настоящий антивирус, постоянно обновляйте его. Всегда рекомендуется использовать оригинальный антивирус, а не пиратскую версию, загруженную с торрента.Если у вас установлен настоящий антивирус, маловероятно, что ваша система будет заражена программой-вымогателем, если только она не обновлена.

Преступники начали использовать новые типы вредоносных программ, чтобы удерживать ваш компьютер в заложниках за деньги. Как это работает и как оставаться в безопасности?

Правоохранительные органы и компании, занимающиеся информационной безопасностью, объединили свои усилия, чтобы подорвать деятельность киберпреступников с помощью программ-вымогателей. Веб-сайт «No More Ransom» - это инициатива Национального отдела по борьбе с преступлениями в сфере высоких технологий полиции Нидерландов, Европейского центра киберпреступности Европола и McAfee с целью помочь жертвам программ-вымогателей получить свои зашифрованные данные без необходимости платить преступникам.

Поскольку гораздо проще избежать угрозы, чем бороться с ней, когда система поражена, проект также направлен на ознакомление пользователей с принципами работы программ-вымогателей и с контрмерами, которые могут быть приняты для эффективного предотвращения заражения. Чем больше сторон поддерживает этот проект, тем лучше могут быть результаты. Эта инициатива открыта для других государственных и частных лиц. У них есть дешифратор для BigBobRoss, Pylocky, Aurora, Thanatos, Annabelle, GandCrab (версии V1, V4 и V5 до V5.1), LambdaLocker, NemucodAES, MacRansom, Jaff, EncrypTile, Amnesia2 и других.

Kaspersky NoRansom - это ваш дом для инструментов дешифрования и обучения программам-вымогателям. Программы-вымогатели - это вредоносные программы, которые блокируют ваш компьютер или шифруют ваши файлы. Вы не сможете получить данные обратно, если не заплатите выкуп, и даже если вы это сделаете, нет гарантии, что вы вернете свои данные. Перед загрузкой и запуском решения убедитесь, что вы удалили вредоносное ПО с помощью Kaspersky Internet Security из вашей системы, иначе оно будет многократно блокировать вашу систему или шифровать файлы.Отлично работает в Windows 10 от Microsoft и macOS от Apple.

  • Smash Rannoh & Co - Инструмент RannohDecryptor предназначен для расшифровки файлов, затронутых CryptXXX версий 1-3 (новинка!), Rannoh, AutoIt, Fury, Crybola, Cryakl, Polyglot.
  • Combat Shade - инструмент ShadeDecryptor предназначен для расшифровки файлов, затронутых Shade версии 1 и версии 2.
  • Fight Rakhni & Friends - Инструмент RakhniDecryptor предназначен для расшифровки файлов, затронутых агентом Rakhni.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) версии 3 и 4, Chimera, Crysis версии 2 и 3.
  • Eliminate Wildfire - Инструмент WildfireDecryptor предназначен для расшифровки затронутых файлов пользователя Wildfire.
  • Destroy Coinvault - Инструмент CoinVaultDecryptor предназначен для расшифровки файлов, затронутых CoinVault и Bitcryptor. Национальный отдел по борьбе с преступлениями в сфере высоких технологий (NHTCU) полиции Нидерландов, Национальная прокуратура Нидерландов и компания Kaspersky помогли создать этот инструмент.
  • Kill Xorist - Инструмент XoristDecryptor предназначен для расшифровки файлов, затронутых Xorist и Vandev.
  • Rakhni Decryptor - Расшифровывает файлы, затронутые Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman (TeslaCrypt) версии 3 и 4, Chimera, Crysis (версии 2 и 3) ), Jaff, Dharma и новые версии вымогателей Cryakl.
  • Rannoh Decryptor - Расшифровывает файлы, затронутые Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (версии 1, 2 и 3), Polyglot aka Marsjoke.
  • Shade Decryptor - Расшифровывает файлы, затронутые Shade версии 1 и 2.
  • CoinVault Decryptor - Расшифровывает файлы, затронутые CoinVault и Bitcryptor. Создано в сотрудничестве с Национальным отделом по преступлениям в сфере высоких технологий (NHTCU) полиции Нидерландов и национальной прокуратурой Нидерландов.
  • Wildfire Decryptor - Расшифровывает файлы, затронутые Wildfire.
  • Xorist Decryptor - Расшифровывает файлы, затронутые Xorist и Vandev.

Бесплатные инструменты дешифрования программ-вымогателей. Попался под удар программы-вымогателя? Не платите выкуп! Бесплатные инструменты расшифровки программ-вымогателей AVG могут помочь расшифровать файлы, зашифрованные следующими видами программ-вымогателей. Просто щелкните имя, чтобы увидеть признаки заражения и получить бесплатное решение.

  • Апокалипсис
  • BadBlock
  • Барт
  • Crypt888
  • Legion
  • SZFLocker
  • TeslaCrypt

Попался вымогатель? Не платите выкуп! Используйте эти бесплатные инструменты расшифровки программ-вымогателей. Бесплатные инструменты расшифровки программ-вымогателей Avast могут помочь расшифровать файлы, зашифрованные с помощью следующих форм программ-вымогателей.Просто щелкните имя, чтобы увидеть признаки заражения и получить бесплатное решение.

Alcatraz Locker - Alcatraz Locker - это штамм вымогателя, который впервые был обнаружен в середине ноября 2016 года. Для шифрования файлов пользователя этот вымогатель использует шифрование AES 256 в сочетании с кодировкой Base64.

  • AES_NI
  • Alcatraz Locker
  • Apocalypse - Apocalypse - это разновидность программы-вымогателя, впервые обнаруженной в июне 2016 года.
  • Crypt888 - Crypt888 (также известный как Mircop) - это программа-вымогатель, впервые обнаруженная в июне 2016 года.
  • CryptoMix (Offline)
  • CrySiS - CrySiS (JohnyCryptor, Virus-Encode или Aura) - это штамм вымогателя, который наблюдается с сентября 2015 года. Он использует AES256 в сочетании с асимметричным шифрованием RSA1024.
  • EncrypTile
  • FindZip
  • Globe - Globe - это штамм вымогателя, который наблюдается с августа 2016 года. В зависимости от варианта он использует метод шифрования RC4 или Blowfish.
  • HiddenTear
  • Jigsaw
  • LambdaLocker
  • Legion
  • NoobCrypt - NoobCrypt - это штамм вымогателя, который наблюдается с конца июля 2016 года.Для шифрования файлов пользователя эта программа-вымогатель использует метод шифрования AES 256.
  • Stampado
  • SZFLocker
  • TeslaCrypt
  • XData

В этом руководстве представлены инструкции и расположение для загрузки и использования новейшего инструмента Trend Micro Ransomware File Decryptor для попытки дешифрования файлов зашифрованы некоторыми семействами программ-вымогателей. Важное напоминание: лучшая защита от программ-вымогателей - это предотвратить их попадание в вашу систему.В то время как Trend Micro постоянно работает над обновлением наших инструментов, разработчики программ-вымогателей также постоянно меняют свои методы и тактику, что со временем может привести к устареванию предыдущих версий инструментов, таких как эта. В следующем списке описаны известные типы файлов, зашифрованных программами-вымогателями, с которыми можно работать с помощью последней версии инструмента.

  • CryptXXX V1, V2, V3 * - {исходное имя файла} .crypt, cryp1, crypz или 5 шестнадцатеричных символов
  • CryptXXX V4, V5 - {MD5 Hash}.5 шестнадцатеричных символов
  • Crysis -. {Id}. {Адрес электронной почты} .xtbl, crypt
  • TeslaCrypt V1 ** - {исходное имя файла} .ECC
  • TeslaCrypt V2 ** - {исходный файл name} .VVV, CCC, ZZZ, AAA, ABC, XYZ
  • TeslaCrypt V3 - {исходное имя файла} .XXX или TTT или MP3 или MICRO
  • TeslaCrypt V4 - Имя файла и расширение не изменились
  • SNSLocker - {Origi
.

как расшифровать зашифрованные файлы?

В конце 2016 года мир атаковал очень простой вирус - троянец NO_MORE_RANSOM, шифрующий пользовательские документы и мультимедийный контент. Как расшифровать файлы после воздействия этой угрозы и будет рассмотрено далее. Однако стоит предупредить всех пользователей, подвергшихся атаке, что единой методики нет. Это связано с одним из самых совершенных алгоритмов шифрования и степенью проникновения вируса в компьютерную систему или даже в локальную сеть (правда, изначально на сетевой эффект и не рассчитано).

Что за вирус NO_MORE_RANSOM и как он работает?

В общем, сам вирус обычно относят к троянцам типа I Love You, которые проникают в компьютерную систему и шифруют пользовательские файлы (обычно мультимедийные). Однако, если прародитель отличался только шифрованием, этот вирус во многом заимствован у некогда пресловутой угрозы DA_VINCI_COD, совмещая в себе функции шантажиста.

После заражения большинству файлов аудио, видео, графики или офисных документов присваивается длинное имя с расширением NO_MORE_RANSOM, содержащее сложный пароль.

Когда вы пытаетесь открыть их на экране, появляется сообщение о том, что файлы были зашифрованы и для расшифровки вам нужно заплатить определенную сумму.

Как угроза попадает в систему?

Оставим в покое вопрос о том, как после эффектов NO_MORE_RANSOM расшифровать файлы любого из вышеперечисленных типов, обратитесь к технологиям проникновения вируса в компьютерную систему. К сожалению, как бы банально это ни звучало, используется устаревший способ: на электронную почту приходит письмо с вложением, открывая которое, пользователь и получает срабатывающий вредоносный код.

Рекомендуется

Как выйти из «Скайпа» на «Андроид» и не только

Как выйти из «Скайпа» «Андроид»? Этот вопрос беспокоит многих пользователей. Все дело в том, что мессенджер не так уж и сложен. Но есть функции, которые есть только в мобильных версиях. Выйти из Skype в этом случае сложнее, чем кажется. Но я ...

Как добраться из Штормграда в Танарис: практические советы

World of Warcraft - культовая MMORPG, объединяющая миллионы игроков по всему миру.Здесь много локаций и головоломок, секретных троп и больших, но довольно опасных троп. Рано или поздно каждый игрок выберет сторону Альянса, мы должны ...

Оригинальность, как видите, этот метод ничем не отличается. Однако сообщение может быть замаскировано под бессмысленный текст. Или наоборот, например, если мы говорим о крупных компаниях, при изменении условий контракта. Понятно, что средний клерк открывает вложение, а потом получает плохие результаты.Одной из самых ярких вспышек стало шифрование баз данных популярного пакета 1С. А это серьезное дело.

NO_MORE_RANSOM: как расшифровать документы?

Но все же необходимо перейти к основному вопросу. Наверняка каждый хочет знать, как расшифровать файлы. Вирус NO_MORE_RANSOM имеет свою последовательность действий. Если пользователь попытается выполнить расшифровку сразу после заражения, это сделаете вы. Если угроза прочно обосновалась в системе, увы, без помощи профессионалов не обойтись.Но часто они бессильны.

Если угроза была обнаружена своевременно, только один способ - обратиться в службу поддержки антивирусной компании (пока не все документы были зашифрованы), отправить несколько недоступных для открытия файла и на основании анализа оригиналы, хранящиеся на съемных носителях, попробуйте восстановить ваши документы после сохранения на тот же диск, все остальное доступно для открытия (хотя полная уверенность в том, что вирус не проник и в такие документы). После этого, чтобы наверняка, носитель должен проверить хотя бы антивирусный сканер (кто знает что).

Алгоритм

Следует также упомянуть тот факт, что вирус использует для шифрования алгоритм RSA-3072, который, в отличие от ранее используемой технологии, RSA-2048, настолько сложен, что выбор правильного пароля даже при условии, что он будет иметь дело со всем контингентом антивирусных лабораторий, на это могут уйти месяцы и годы. Таким образом, вопрос о том, как расшифровать NO_MORE_RANSOM, потребует довольно много времени. Но что, если сразу восстановить нужную информацию? Прежде всего - удалите сам вирус.

Могу ли я удалить вирус и как это сделать?

Вообще-то несложно. Судя по высокомерию создателей вируса, угроза для компьютерной системы не замаскирована. Напротив - ей даже выгодно «автоматически удалять себя» после совершенных действий.

Тем не менее, на первых порах, о вирусе, его все равно нужно обезвредить. Первым делом нужно использовать портативные средства защиты, такие как KVRT, Malwarebytes, Dr.Web CureIt! и тому подобное. Примечание: для проверки программное обеспечение должно быть обязательного портативного типа (без установки на жесткий диск при запуске оптимального варианта со съемного носителя).Если угроза обнаружена, ее необходимо немедленно удалить.

При любом из действий вам необходимо сначала войти в «задачу» и завершить все процессы, связанные с вирусом, отсортировать службы по имени (как правило, процесс Runtime Broker).

После устранения проблемы необходимо вызвать редактор реестра (regedit в меню «Выполнить») и запросить поиск по имени «Client Server Runtime System» (без кавычек), а затем с помощью меню перемещаться по результаты «Найти следующий…» удаляет все найденные элементы.Далее нужно произвести перезагрузку компьютера и поверить «диспетчеру задач», есть ли нужный процесс.

В принципе, вопрос, как расшифровать вирус NO_MORE_RANSOM на стадии заражения, можно решить этим методом. нейтрализация, конечно, небольшая, но шанс есть.

Как расшифровать файлы зашифрованные NO_MORE_RANSOM: backups

Но есть еще один метод, о котором мало кто знает или даже осознает. Дело в том, что операционная система сама постоянно создает свою теневую резервную копию (е.грамм. в случае восстановления), либо пользователь сознательно создает такие образы. Как показывает практика, на такую ​​копию вирус не действует (по своей структуре он просто недоступен, хотя и устарел).

Таким образом, проблема расшифровки NO_MORE_RANSOM сводится к тому, как их использовать. Однако применять стандартные инструменты Windows не рекомендуется (а многие пользователи к скрытым копиям вообще не будут иметь доступа). Так что применить понадобится утилита ShadowExplorer (она портативна).

Для восстановления просто запустите исполняемый файл программы, отсортируйте по дате добавления или разделам, выберите нужную копию (файл, папку или всю систему) и через меню ПКМ используйте экспорт строки.Затем просто выберите каталог, в котором будет сохранена текущая копия, и затем используйте стандартный процесс восстановления.

Инструменты сторонних разработчиков

Конечно, для решения проблемы того, как расшифровать NO_MORE_RANSOM, многие лаборатории предлагают свои собственные решения. Например, «Лаборатория Касперского» рекомендует использовать собственный программный продукт Kaspersky Decryptor, представленный в двух версиях - Rakhini и Rector.

Не менее интересный внешний вид и похожий дизайн, как у декодера NO_MORE_RANSOM от Dr.Интернет. Но тогда нужно учитывать, что использование подобных программ оправдано только в случае быстрого обнаружения угроз, пока не были заражены все файлы. Однако если вирус поселился в системе устойчиво (когда зашифрованные файлы просто невозможно сравнить с незашифрованными оригиналами) и такое приложение может оказаться бесполезным.

Резюме

Собственно вывод один: бороться с этим вирусом нужно только на стадии заражения, когда есть шифрование только первого файла.В общем, лучше не открывать вложения в письмах, полученных из сомнительных источников (это касается только клиентов, установленных непосредственно на компьютере - Outlook, Oulook Express и т. Д.). Кроме того, если сотрудник компании имеет в своем распоряжении список адресов клиентов и партнеров, открывать «левое» сообщение становится совершенно нецелесообразным, поскольку большинство при подаче заявки на работу подписывают соглашения о неразглашении коммерческой тайны и кибербезопасности.

.

Как удалить Shade Ransomware и расшифровать файлы .no_more_ransom

Поделиться - это забота!

Заражены программой-вымогателем Shade? Нужно расшифровать ваши файлы?

Что такое программа-вымогатель Shade

Shade - это программа-вымогатель, очень похожая на Wildfire, Hades Locker, CryptFIle2 (или CryptMix) и MarsJoke (или JokeFromMars). Как только программа-вымогатель Shade заразила ваш компьютер, она шифрует различные данные. После завершения процесса шифрования эта программа-вымогатель добавляет .no_more_ransom расширение (какая ирония) к имени всех зашифрованных файлов. Он создаст текстовую заметку с именем nomoreransom_note_original.txt / YourID.txt / hacked.txt в каждой папке с зашифрованными данными и на вашем рабочем столе.
У этого вымогателя есть две особенности, которые отличают его от других программ-вымогателей. Во-первых, это плата за расшифровку файлов. 30 $ - это гораздо меньший выкуп по сравнению с 500-1000 $ (обычно такую ​​сумму требуют разработчики программ-вымогателей).Даже если комиссия не такая большая, не пытайтесь платить им, поскольку нет гарантии, что вы вернете свои файлы. Вторая особенность заключается в том, что эти киберпреступники предлагают вам платить им через систему PayPal, что странно, потому что платеж PayPal очень легко отслеживать, в отличие от системы биткойнов.
Каждое изменение, которое Shade Ransomware вносит на ваш компьютер, предъявляет требования разработчика. Эти киберпреступники хотят, чтобы вы связались с ними, а затем они предложат вам восстановить зашифрованные файлы, заплатив им определенную плату.Вы можете найти их электронную почту в каждом текстовом файле. Вот что обычно содержат эти txt-файлы:

«Вы были поражены черными оттенками. Все ваши файлы были защищены надежным шифрованием с помощью RSA-4096. Более подробную информацию о ключах шифрования с использованием RSA-4096 можно найти здесь: http : //en.wikipedia.org/wiki/RSA_ (криптосистема) Ваши файлы будут зашифрованы на всю жизнь, поэтому не ждите так долго, чтобы восстановить ваши файлы, потому что ВЫ НЕ МОЖЕТЕ !! Вам нужно выполнить один, если эти шаги>
1- отправить 30 $ = 0.0700 биткойнов на эту учетную запись >> - а затем свяжитесь с сайленс[email protected], сообщив свои идентификационные данные (вы найдете их в папке [/ Desktop или / Downloads или / Documents]) и подтверждение своей денежной транзакции.
2- Посетите этот веб-сайт> http://daftoraytg.com/ и следуйте инструкциям по расшифровке файлов.
через (96) часов ключ для расшифровки ваших файлов будет удален из нашей базы данных.
# ПРИМЕЧАНИЕ> (100% у вас будут все файлы обратно), если вы выполните шаги 1 или 2
3- После того, как вы закончите 1 из ваших шагов, откройте программу дешифрования и восстановите все ваши файлы, которые мы отправим вам после наш Deal
Чем опасен RSA-4096?
После того, как RSA-4096 проникает в вашу систему, вы даже не подозреваете об этом, он начинает работать.
Начинает процесс шифрования и очищает все, что вы храните на своем компьютере. Каждый файл, каждая фотография, каждое видео, музыка, документы - нет ничего безопасного.
Заражение все шифрует. Вы все еще видите его, но не можете открыть. Это его игра. Он всегда под рукой, но не дает вам к нему доступа ».

Не платите этим преступникам, инвестирование в их схему выкупа вам не поможет, потому что нет гарантии, что они расшифруют ваши файлы.Поэтому вам лучше попробовать решить эту проблему самостоятельно.

Обновление. Используйте следующую службу, чтобы определить версию и тип программы-вымогателя, которая была атакована вами: ID Ransomware. Также проверьте следующий веб-сайт на предмет возможного дешифратора: Emsisoft Decryptors.

Как программа-вымогатель Shade заразила ваш компьютер

Программа-вымогатель Shade обычно заражает ваш компьютер через зараженные вложения электронной почты, поддельные программы обновления программного обеспечения и трояны - вот почему хорошие антивирусы жизненно важны для предотвращения угрозы программ-вымогателей.Вы также можете получить эту программу-вымогатель в сетях обмена файлами, включая торрент-файлы. После завершения процесса проникновения Shade Ransomware выполняет следующие шаги:

  • Shade Ransomware устанавливает соединение со своим сервером управления и контроля, чтобы получить данные конфигурации и другую информацию о вашем компьютере.
  • Shade Ransomware изменяет настройки вашего компьютера, чтобы он запускался автоматически при каждом запуске Windows.
  • Shade Ransomware ищет данные определенного типа и шифрует их с помощью передового алгоритма шифрования.

Единственный способ защитить ваш компьютер от подобных угроз - использовать антивирусы с криптозащитой, такие как HitmanPro.Alert with CryptoGuard.

Что делать, если вы заражены вирусом-вымогателем Shade?

Прежде всего, не паникуйте. Следуйте этим простым шагам ниже.

1. Запустите компьютер в безопасном режиме с подключением к сети . Для этого перезагрузите компьютер, прежде чем ваша система запустится, несколько раз нажмите F8. Это остановит загрузку системы и отобразит экран Расширенные параметры загрузки .Выберите Safe mode with network option из списка опций, используя стрелки вверх и вниз на клавиатуре, и нажмите Enter .
2. Войдите в систему, зараженную вирусом-вымогателем Shade. Запустите свой интернет-браузер, загрузите надежную программу защиты от вредоносных программ и начните полное сканирование системы. После завершения сканирования просмотрите результаты сканирования и удалите все обнаруженные записи.

Рекомендуемое решение:

Norton - мощный инструмент для удаления. Он может удалить все экземпляры новейших вирусов, подобных шифровальщику Shade, - файлы, папки, ключи реестра.

Скачать Norton * Пробная версия Norton обеспечивает БЕСПЛАТНОЕ обнаружение компьютерных вирусов. Чтобы удалить вредоносное ПО, вам необходимо приобрести полную версию Norton.

Шаг 2: Удалите следующие файлы и папки программы-вымогателя Shade:

Удалите следующие записи реестра:

нет информации

Удалите следующие файлы:

Как восстановить files.hta

Как расшифровать файлы заражены программой-вымогателем Shade (.no_more_ransom файлов)?

Используйте автоматические инструменты дешифрования

1. Инструмент дешифрования .no_more_ransom от Kaspersky

Есть дешифратор вымогателя от Kaspersky, который может расшифровать файлы .no_more_ransom. Это бесплатно и может помочь вам восстановить файлы .no_more_ransom, зашифрованные вирусом Vegclass Ransomware. Скачать здесь:

Скачать Kaspersky RakhniDecryptor

Расшифровать файлы .no_more_ransom вручную

Восстановить систему с помощью System Restore

Хотя последние версии программы-вымогателя Shade удаляют файлы восстановления системы, этот метод может помочь вам частично восстановить ваши файлы.Попробуйте и используйте стандартное восстановление системы, чтобы восстановить ваши данные.

  1. Начать поиск по запросу « Восстановление системы »
  2. Щелкните результат
  3. Выберите дату до появления инфекции
  4. Следуйте инструкциям на экране

Откат файлов до предыдущей версии

Назад версии могут быть копиями файлов и папок, созданными с помощью Windows Backup (если оно активно), или копиями файлов и папок, созданных с помощью восстановления системы.Вы можете использовать эту функцию для восстановления файлов и папок, которые вы случайно изменили или удалили, или которые были повреждены (в нашем случае - зашифрованы программой-вымогателем Shade). Эта функция доступна в Windows 7 и более поздних версиях.

  1. Щелкните правой кнопкой мыши файл и выберите Свойства
  2. Откройте вкладку Предыдущая версия
  3. Выберите последнюю версию и щелкните Копировать
  4. Щелкните Восстановить

Восстановить.no_more_ransom с использованием теневых копий

  1. Загрузите и запустите Shadow Explorer .
  2. Выберите диск и папку, в которой находятся ваши файлы, и дату, с которой вы хотите их восстановить.
  3. Щелкните правой кнопкой мыши папку, которую хотите восстановить, и выберите Экспорт .
  4. После завершения процесса сканирования нажмите Восстановить , чтобы восстановить файлы.

Защитите свой компьютер от программ-вымогателей

Большинство современных антивирусов могут защитить ваш компьютер от программ-вымогателей и криптотроянов, но тысячи людей по-прежнему заражаются.Есть несколько программ, которые используют разные подходы для защиты от программ-вымогателей и шкафчиков. Один из лучших - HitmanPro.Alert with CryptoGuard . Возможно, вы уже знаете HitmanPro как известный облачный сканер защиты от вредоносных программ. Ознакомьтесь с новейшим программным обеспечением для активной защиты от SurfRight.

Скачать HitmanPro.Alert с CryptoGuard

Информация предоставлена: Алексей Абалмасов

.

бесплатных дешифраторов программ-вымогателей - Kaspersky

0 инструмент соответствовал вашему запросу

Возможно вам понравится

Название инструмента Описание Обновлено

Расшифровщик оттенков

Расшифровывает файлы, затронутые всеми версиями Shade.

Практическое руководство

Скачать

30 апреля 2020

Декриптор Рахни

Расшифровывает файлы, затронутые Рахни, агентом.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman
(TeslaCrypt) версии 3 и 4, Chimera, Crysis (версии 2 и 3), Jaff, Dharma, новые версии вымогателя Cryakl, Yatron, FortuneCrypt.

Практическое руководство

Скачать

25 сен 2019

Декриптор Ранно

Расшифровывает файлы, затронутые Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (версии 1, 2 и 3), Polyglot aka Marsjoke.

Практическое руководство

Скачать

20 декабря 2016

Декриптор CoinVault

Расшифровывает файлы, затронутые CoinVault и Bitcryptor.Создано в сотрудничестве с Национальным отделом по преступлениям в сфере высоких технологий (NHTCU) полиции Нидерландов и национальной прокуратурой Нидерландов.

Практическое руководство

Скачать

15 апреля 2015 г.

Декриптор Wildfire

Скачать

24 августа 2016

Декриптор Xorist

Скачать

23 августа 2016

Загрузите Kaspersky Internet Security
, чтобы избежать атак программ-вымогателей в будущем

.

Инструмент для расшифровки файлов, зараженных Trojan-Ransom.Win32.Rannoh

Если система заражена вредоносными программами семейства Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32.CryptXXX, все файлы на компьютере будут зашифрованы следующим образом:

  • В случае заражения Trojan-Ransom.Win32.Rannoh имена и расширения файлов будут изменены в соответствии с шаблоном locked- . .
  • В случае заражения Trojan-Ransom.Win32.Cryakl в конец имен файлов добавляется тег {CRYPTENDBLACKDC}.
  • В случае трояна-вымогателя.Win32.AutoIt, расширения будут изменены в соответствии с шаблоном @ _. .
    Пример: [email protected]_.RZWDTDIC.
  • В случае заражения Trojan-Ransom.Win32.CryptXXX расширения будут изменены в соответствии с шаблонами .crypt, .crypz, .cryp1.

Утилита RannohDecryptor предназначена для расшифровки файлов, дешифрованных Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl или Trojan-Ransom.Win32. CryptXXX версии 1, 2 и 3.

.

Смотрите также