Дешифровщики в помощь!!!

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 30 дек 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Список шифровальщиков, на которые есть дешифровщики:

    1. 777: ссылка
    2. Alpha: ссылка
    3. Apocalypse: ссылка
    4. ApocalypseVM: ссылка
    5. AutoLocky: ссылка
    6. BadBlock: ссылка
    7. Bart: ссылка
    8. BitStak: ссылка
    9. Cerber и Cerber 2: ссылка
    10. Chimera: ссылка1, ссылка2
    11. CryFile: ссылка
    12. Crypren: ссылка
    13. Crypt0: ссылка
    14. CryptXXX: ссылка
    15. CryptXXX-2: ссылка
    16. DMALocker: ссылка
    17. DMALocker-2: ссылка
    18. Fabiansomware: ссылка
    19. FenixLocker: ссылка
    20. GhostCrypt: ссылка
    21. Gomasom: ссылка
    22. HiddenTear: ссылка
    23. HiddenTear + EDA2, 8lock8, MireWare и др.: ссылка
    24. HydraCrypt: ссылка
    25. JigSaw + CryptoHitman: ссылка1, ссылка2
    26. Juicylemon: ссылка
    27. LeChiffre: ссылка
    28. MirCop (MicroCop): ссылка
    29. Nemucod: ссылка
    30. Nullbyte: ссылка
    31. KawaiiLocker: ссылка
    32. ODCODC: ссылка
    33. Philadelphia: ссылка
    34. PizzaCrypt: ссылка
    35. PowerLocky: ссылка
    36. Radamant: ссылка
    37. SecureCryptor: ссылка
    38. Shade: ссылка1, ссылка2
    39. Smrss32: ссылка
    40. Stampado: ссылка
    41. Tesla: ссылка1, ссылка2
    42. UltraDeCrypter: ссылка
    43. UmbreCrypt: ссылка
    44. Wildfire Locker: ссылка
    45. Xorist: ссылка1, ссылка2
     
    Последнее редактирование модератором: 20 сен 2016
    lilia-5-0, Охотник, thyrex и 3 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904

    Decrypt Gomasom


    Специалист компании Emsisoft Фабиан Восар разработал инструмент, при помощи которого пострадавшие от программы-вымогателя Gomasom смогут восстановить зашифрованные документы.

    Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM. Это новый представитель семейства троянов-вымогателей, который, проникнув в систему, шифрует документы пользователя, вставляя в название файлов адрес электронной почты в Gmail и изменяя расширение файла. Данный адрес служит для связи между жертвой и злоумышленниками.

    Скачать Decrypt Gomasom >>>

    Инструмент дешифровки от Восара позволяет получить ключ дешифрования при условии наличия хотя бы одного незашифрованного файла и восстановить пострадавшие файлы. Процесс расшифровки может занимать довольно длительное время. По завершении расшифровки на экране отобразится соответствующее уведомление. Рисунок ниже демонстрирует использование утилиты.

    [​IMG]

    Инструкция по применению и сама утилита для загрузки доступны на форуме Bleeping Computer.
     
    Охотник нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt Radamant

    Фабиану Восару также удалось успешно взломать алгоритм шифрования, используемый первыми двумя версиями вымогательского ПО Radamant. Первый DecryptRadamant Восар разработал накануне католического Рождества, что позволило восстанавливать зашифрованные вымогателем файлы без необходимости платить выкуп злоумышленникам.

    Узнав о появлении дешифровщика, автор Radamant сразу же взялся за создание второй версии, оставив в конце кода «пару ласковых» в адрес Emsisoft и Восара. Однако Восар взломал алгоритм и второго вредоноса, и спустя всего два дня после появления первых жертв выпустил новый инструмент для расшифровки файлов. По его словам обе версии вымогателя не отличаются высоким качеством. Процессы шифрования и расшифровки повреждают файлы, но, к счастью, инструмент DecryptRadamant способен полностью восстановить их.

    Скачать Decrypt Radamant >>>

    «Не знаю, как у вас, но в тех кругах, где вращаюсь я, получить оскорбление от автора вредоносного ПО означает наивысшую награду, которую только можно получить», — высказался Восар.

    По данным Bleeping Computer, в настоящее время вредонос предлагается на черном рынке по схеме RaaS (вредоносное ПО как услуга). Любой желающий может "арендовать" шифровальщик за $1000 в месяц. Стоимость двухдневного пробного периода составляет $100.
     
    Drongo, lilia-5-0, Охотник и 4 другим нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    TeslaCrack

    Как оказалось, вымогательское ПО семейства TeslaCrypt, появившееся в феврале прошлого года, содержит уязвимость в способе хранения ключей на компьютере жертвы, позволившую разработать инструмент для восстановления зашифрованных им файлов.

    TeslaCrypt шифрует файлы с помощью алгоритма AES, использующего для шифрования и дешифровки один и тот же ключ. При каждой перезагрузке вредонос генерирует новый ключ и сохраняет его в файле, зашифрованном в течение сессии. В свою очередь ключи шифруются с помощью другого алгоритма и сохраняются в каждом зашифрованном файле. Там же сохраняется информация о зашифрованных ключах.

    Скачать TeslaCrack >>>

    Предоставленное экспертами решение TeslaCrack позволяет восстанавливать файлы, зашифрованные с расширением .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC и .VVV.
    Но этот инструмент не восстанавливает файлы, зашифрованные новейшей версией TeslaCrypt с расширением .TTT, .XXX и .MICRO.

    Методы и инструменты для восстановления файлов, зашифрованных TeslaCrypt, появились некоторое время назад, однако скрывались с целью сохранить их в тайне от создателей вредоноса.
    --- Объединённое сообщение, 23 янв 2016 ---
    Подробнее:
    TeslaCrypt Decrypted: Flaw in TeslaCrypt allows Victim's to Recover their Files
     
    Kиpилл, Drongo, lilia-5-0 и ещё 1-му нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt LeChiffre

    Вымогательское ПО LeChiffre известно с июня 2015 на форуме bleepingcomputer.com, оказывающем помощь в лечении, но до недавнего времени не было известно методов расшифровки для зашифрованных им файлов. Необычность этого вредоноса только в методах распространения и в том, то он добавляет к зашифрованным файлам расширение .LeChiffre. Он не распространяется через вложения в сообщения электронной почты или через наборы эксплойтов, а загружается на взломанные серверы через программы удаленного доступа и запускается вручную. После шифрования все следы зачищаются.

    Специалисты из Malwarebytes недавно получили образец вредоноса, рассказали о нем на своем сайте и любезно поделились им с Emsisoft. Уже известный нам Фабиан Восар проанализировал его код и обнаружил уязвимости, которые помогли ему создать дешифратор.

    Скачать Decrypt LeChiffre >>>

    Подробнее:
    Emsisoft releases Decrypter for the LeChiffre Ransomware
    LeChiffre, Ransomware Ran Manually
     
    lilia-5-0, Kиpилл, orderman и 2 другим нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt DMALocker v.1 и предзащита от новой версии DMA Locker

    Если ПК был инфицирован ранними версиями DMA Locker, особенно с ID 41:55:16:13:51:76:67:99, то файлы можно расшифровать с помощью Decrypter созданным Fabian Wosar из Emsisoft.
    Чтобы убедиться, что ваша версия совместима с декриптером, загрузите Decrypt_DMA Locker.exe по следующей ссылке и сохраните его на рабочем столе. Запустите файл двойным щелчком, пройдите контроль UAK и следуйте указаниям программы, описанным по этой ссылке.

    Decrypt DMALocker v.1.0.115 >>>

    ***
    Новая версия DMA Locker не содержит баг, который позволил создать первый дешифровщик, но можно, используя небольшой трюк, защититься от него заранее, не дожидаясь инфицирования и выхода новой версии дешифровщика.

    Дело в том, что по окончании шифрования данных DMA Locker всегда создаёт два файла, которые указывают ему на то, что процесс шифрования завершён. И когда он запустится снова, то обратится к этим файлам и не станет шифровать данные повторно.

    Чтобы при вероятном попадании на ваш ПК вымогатель DMA Locker считал файлы в вашем ПК уже зашифрованными, нужно заранее создать два следующих файла.
    Код (Text):
    C:\ProgramData\decrypting.txt
    C:\ProgramData\start.txt
    C:\Documents и Settings\All Users\decrypting.txt
    C:\Documents и Settings\All Users\start.txt
    Не имеет значения каким будет их содержимое, т.к. они нужны только для того, чтобы обмануть DMA Locker и не шифровать на вашем ПК никаких файлов.
     
    Kиpилл, lilia-5-0, -SEM- и 2 другим нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt HydraCrypt & Decrypt UmbreCrypt (2 в 1)

    HydraCrypt и UmbreCrypt — новые вредоносы, впервые замеченные в 2016 году. Оба из семейства CrypBoss и распространяются с помощью набора эксплойтов Angler. Код CrypBoss в прошлом году был опубликован неизвестными на PasteBin. Это существенно облегчило Восару задачу и Фабиану Восару, ему удалось взломать алгоритм шифрования и создать инструмент для восстановления файлов, зашифрованных с помощью CrypBoss и его вариантов Hydracrypt и Umbrecrypt.

    Скачать Decrypt HydraCrypt >>>

    Декриптер работает для HydraCrypt и для UmbreCrypt!!!

    Для того чтобы определить правильный ключ дешифровки для вашей системы, то расшифровки потребуется помощь от вас. Возьмите любой зашифрованный файл в вашей системе и перетащите его вместе с незашифрованной версией, или зашифрованный PNG-файл и любое PNG-изображение (именно любое, пусть даже из Интернета) на Decrypter.

    Если то-то для вас непонятно, просто взгляните на анимированное изображение ниже.
    [​IMG]

    Декриптер будет пытаться определить ключ шифрования для вашей системы. Процесс может занять много времени, в зависимости от конфигурации железа вашего ПК — от нескольких часов до нескольких дней.

    После получения ключа шифрования нужно запустить инструмент, ввести полученный ключ и указать директорию с данными, которые нужно восстановить.

    Подробнее:
    Decrypter for HydraCrypt and UmbreCrypt available
     
    Kиpилл, lilia-5-0, Охотник и 2 другим нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    lilia-5-0, Kиpилл, Охотник и ещё 1-му нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Новая версия Hidden Tear Decryptor

    Для тех, чьи файлы были инфицированы Pompous Ransomware, можно просмотреть список уже найденных ключей дешифрования.
    Найдя в списке свой ПК скопируйте соответствующий ключ.
    После этого вы можете скачать Hidden Tear Decryptor и использовать этот ключ для расшифровки зашифрованных файлов.

    Скачать Hidden Tear Decryptor >>>

    Подробнее:
    Pompous Ransomware Dev Gets Defeated by Backdoor
    .LOCKED Ransomware - Support and Help Topic - Read_it.txt - Page 3 - General Security
     
    lilia-5-0, Kиpилл, Охотник и 2 другим нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Nemucod Decrypter

    Nemucod ранее проявлял себя только как троян-загрузчик вредоносных программ, в частности TeslaCrypt и Locky. Последние версии Nemucod обзавелись собственной реализаций вымогателей-шифровальщиков. Вымогатели Nemucod шифруют первые 2048 байт файла, используя 255 байт ключа XOR.

    Скачать Nemucod Decrypter >>>

    Для использования Nemucod Decrypter вам потребуется зашифрованный файл, по меньшей мере, 510 байт, а также его незашифрованная версия. Запустив Decrypter выберите зашифрованное и незашифрованный файл и перетащите их на исполняемый файл декриптера.
     
    lilia-5-0, Kиpилл, Охотник и 2 другим нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    JigSaw Decrypter

    Группе исследователей удалось найти бесплатный способ расшифровать файлы, зашифрованные шифровальщиком-вымогателем JigSaw Ransomware.
    Для расшифровки файлов, первым делом нужно прекратить процесс firefox.exe и drpbx.exe в диспетчере задач. Затем нужно запустить MSConfig и отключить автозапуск для firefox.exe, который находится по адресу %UserProfile%\AppData\Roaming\Frfx\firefox.exe.

    Далее следует загрузить и извлечь Jigsaw Decryptor:

    Скачать JigSaw Decrypter >>>

    Дважды щелкните на файле JigSawDecrypter.exe, чтобы запустить программу.
    Для расшифровки файлов просто выберите каталог и нажмите кнопку "Decrypt My Files".
    Если захотите расшифровать весь диск, то можете выбрать диск C:, нажав кнопку "Select Directory".
    Не ставьте галочку в опции "Delete Encrypted Files" , пока не убедитесь, что инструмент правильно расшифровывает файлы.
    Когда декриптер закончит расшифровку файлы, то вы увидите окно с надписью "Files Decrypted".
     
    Охотник, lilia-5-0, Kиpилл и ещё 1-му нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    AutoLocky Decrypter

    Криптовымогатель AutoLocky написан на популярном языке сценариев AutoIt. Он пытается выдавать себя за вымогателя Locky, добавляя расширение .locky к зашифрованным файлам, но далеко не так сложен и изощрённен, что делает возможным дешифрование зашифрованных им файлов с помощью созданного Фабианом Уосаром декриптера.

    Скачать Decrypter для AutoLocky >>>

    AutoLocky — это, видимо, первый криптовымогатель, созданный с помощью языка сценариев AutoIt, который позволяет создавать программы практически для любой задачи. Одним из слабых звеньев вредоносных программ созданных в AutoIt является то, что они могут быть декомпилированы обратно в читаемый скрипт. Это позволяет исследователям увидеть код, что был в оригинальном сценарии, скомпилированном в исполняемый файл. Это кардинально облегчает анализ вредоносных программ.

    Подробнее об AutoLocky Ransomware >>>
     
    Kиpилл, Охотник, lilia-5-0 и ещё 1-му нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Декриптер для CryptXXX и CryptXXX v.2.0

    ЛК сделала бесплатный дешифратор для файлов, пострадавших от CryptXXX. Этот новый дешифратор называется RannohDecryptor и пытается определить ключ дешифрования в зашифрованном файле. Если он не в состоянии сделать это, пострадавшему нужно будет ввести в программу один и тот же файл в зашифрованном и незашифрованном формате. С помощью этой пары файлов, дешифратор определит ключ дешифровки, используемый всеми зашифрованными файлами. Если на компьютере не осталось незашифрованных файлов, то возьмите любой файл тут.

    Скачать RannohDecryptor для CryptXXX >>>

    Подробнее о шифровальщике-вымогателе CryptXXX.
     
    lilia-5-0, Kиpилл, Drongo и 2 другим нравится это.
  14. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Alpha Decrypter

    Майкл Гиллеспи, открывший сервис ID Ransomware, создал дешифровщик для Alpha Ransomware.

    Скачать Alpha Decrypter >>>

    Скачайте, запустите, выберите нужную директорию или диск кнопкой "Select Directory" и нажмите кнопку "Decrypt My Files".
    По завершении дешифровки появится надпись зеленым цветом Files Decrypted!
    alpha-decryptor.jpg


    Дополнительные опции:
    Delete Encrypted Files? - удаление зашифрованных файлов после дешифровки
    Delete Ransom Notes? - удаление записок с требованием выкупа во всех папках
     
    lilia-5-0, Kиpилл, Drongo и 2 другим нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    JigSaw + CryptoHitman Decrypter

    Всвязи с ребрендингом криптовымогателя JigSaw в CryptoHitman возникла необходимость переработать декриптор для JigSaw, чтобы он мог дешифровать и файлы, зашифрованные в результате "деятельности" CryptoHitman. Спасибо Майклу Гиллеспи.

    Скачать новый JigSaw Decrypter >>>

    Подробнее о новом криптовымогателе CryptoHitman >>>
     
    lilia-5-0, Kиpилл и Охотник нравится это.
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Брутфорсер и Декриптер для HiddenTear, EDA2, 8lock8, MireWare и др.

    HiddenTearBruteforcer v.1.1.3.0 для поиска ключа (пароля) дешифровки в зашифрованных файлах, с режимами:
    - HiddenTear
    - EDA2
    - BankAccountSummary
    - MireWare
    - EightLockEight (8lock8)
    - Custom

    Скачать HiddenTear Bruteforcer >>>
    --------------------------------------------------------------------------

    HiddenTear Decrypter v.1.0.1.0 для дешифровки файлов, пострадавших от вымогателей, созданных на основе криптоконструктора HiddenTear.

    Скачать HiddenTear Decrypter >>>

    Пример инструкции по работе с зашифрованными файлами см. в теме про 8lock8 Ransomware
     
    lilia-5-0, Kиpилл и Охотник нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt Crypren

    Предназначен для дешифровки файлов, зашифрованных Crypren Ransomware.

    Скачать Decrypt Crypren >>>

    Crypren шифрует данные и требует 0.1 Bitcoins, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение файлов .encrypted

    К счастью, криптовымогатель имеет дефект (ключ шифрования хранится в каждом из изменённых файлов), потому специалистам удалось создать дешифратор DecryptCrypren.
     
    lilia-5-0, Kиpилл и Охотник нравится это.
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    GhostCrypt Decrypter

    Предназначен для дешифровки файлов, зашифрованных GhostCrypt Ransomware.

    Скачать GhostCrypt Decrypter >>>

    GhostCrypt шифрует данные и требует 2 Bitcoins, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .Z81928819
     
    lilia-5-0, Kиpилл, Охотник и ещё 1-му нравится это.
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt Xorist от Emsisoft

    Предназначен для дешифровки файлов, зашифрованных Xorist Ransomware.

    Скачать Decrypt Xorist >>>

    Фабиан Восар из Emsisoft смог найти конструктор Encoder Builder, использовавшийся потенциальными вымогателями для создания собственных Xorist-вымогателей и создать общий Decrypter для этой семьи криптовымогателей.
     
    lilia-5-0, Kиpилл и Охотник нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Decrypt 777 от Emsisoft
    Предназначен для дешифровки файлов, зашифрованных 777 Ransomware.

    Скачать Decrypt 777 >>>

    Используйте этот Decrypter, если файлы были зашифрованы и переименованы согласно схеме с файловым расширением *.777 в конце.
    FileName.[nativefiletype]_[timestamp]_$[emailtocontact]$.777



     
    lilia-5-0, Kиpилл и Охотник нравится это.

Поделиться этой страницей