Avast Decryption Tool для EncrypTile расшифровывает файлы, которые требуют выкупа от шифратора EncrypTile.
EncrypTile - это вирус, впервые обнаруженный в ноябре 2016 года. Затем Avast обнаружил новую, окончательную версию этой программы вымогятеля, используя шифрование AES-128, создав ключ, который является постоянным для данного ПК и пользователя.
Вымогатель добавляет слово «encrypTile» в имя файла. Например, foobar.doc будет переименован foobar.docEncrypTile.doc.
EncrypTile также создает четыре новых файла на рабочем столе пользователя.
|
Тест и настройка оборудования
Avast Decryption Tool для XData расшифровывает файлы, которые были зашифрованы вирусом вымогателем XData ransomware, который является производным от AES_NI. Все средства шифрования Avast доступны в одном архиве.
XData использует эксплойт Eternal Blue для распространения и заражения других машин.
Avast Decryption Tool для AES_NI может помочь расшифровать файлы зашифрованные вирусом AES_NI ransomware.
Известны несколько вариантов с разными расширениями файлов. AES_NI использует AES-256 в сочетании с RSA-2048.
Ransomware добавляет одно из следующих расширений к зашифрованным файлам:
.aes_ni
.aes256
.aes_ni_0day
В каждой папке с хотя бы одним зашифрованным файлом можно найти файл "!!!READ THIS - IMPORTANT!!!. Txt". Кроме того, ransomware создает ключевой файл с именем, похожим на: [PC_NAME] # 9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day в папке C:\ProgramData.
Avast Decryption Tool для NoobCrypt расшифровывает файлы, которые шифруются вирусом-вымогателем NoobCrypt ransomware; этот специфический штамм находится в обращении с июля 2016 года.
Он использует методы шифрования военного класса AES 256 для блокировки ваших файлов. NoobCrypt не меняет имена файлов, но файлы, которые были зашифрованы, не могут быть открыты с помощью связанных приложений. После того как ваши файлы будут зашифрованы, вы получите сообщение, которое находится в файле под названием "ransomed.html" на рабочем столе.
Avast Decryption Tool для Legion может разблокировать Legion, разновидонсть ransomware, впервые обнаруженную в июне 2016 года.
Legion добавляет ._23-06-2016-20-27-23_ $ f_tactics @ aol.com $ .legion или. $ Centurion_legion @ aol.com $ .cbf в конец имен файлов. (например, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).
Avast Decryption Tool для Jigsaw может разблокировать Jigsaw, названный в честь персонажа фильма «The Jigsaw Killer».
Несколько вариантов этого вируса используют изображение Jigsaw Killer на экране, что облегчает его обнаружение.
Зашифрованные файлы будут иметь одно из следующих расширений: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb,. платит, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer @ sigaint.org или .gefickt.
Avast Decryption Tool для Stampado разблокирует файлы, зашифрованные приложением Stampado ransomware; он находится в обращении с августа 2016 года.
Этот конкретный штамп написан с помощью инструмента скрипта AutoIt и по-прежнему продается в даркнете, поскольку новые варианты продолжают оставаться жизнеспособными. Stampado ransomware добавит расширение .locked к любому файлу, который он зашифровал. Кроме того, есть несколько вариантов, которые также шифруют имя самого файла, поэтому они могут выглядеть либо как document.docx.locked, либо 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.
Avast Decryption Tool для HiddenTear может разблокировать HiddenTear, один из первых открытых кодов выкупов, размещенных на GitHub начиная с августа 2015 года.
С тех пор сотни вариантов HiddenTear были созданы мошенниками с использованием исходного исходного кода. HiddenTear использует шифрование AES.
Зашифрованные файлы будут иметь одно из следующих расширений (но не ограничиваясь этим): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro. lok, .m • "n ?? ён ™" лђЁ, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.
После шифрования файлов на рабочем столе пользователя появляется текстовый файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML).
Avast Decryption Tool для Globe может разблокировать Globe, штамп ransomware, который использует метод шифрования RC4 или Blowfish. Все средства шифрования Avast доступны в одном почтовом индексе.
Globe добавляет одно из следующих расширений к имени файла: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", ".hnyear". Кроме того, некоторые из его версий также шифруют имя файла.
Avast Decryption Tool для SZFLocker позволяет расшифровать файлы, зашифрованные SZFLocker; впервые замечено в мае 2016 года.
SZFLocker добавит .szf к концу целевых имен файлов, например, Thesis.doc = Thesis.doc.szf.
Avast Decryption Tool для FindZip разблокирует штамп FindSip, который распространяется на Mac OS X (версия 10.11 или новее). Шифрование основано на создании ZIP-файлов - каждый зашифрованный файл представляет собой ZIP-архив, содержащий исходный документ.
Зашифрованные файлы будут иметь расширение .crypt.
После шифрования ваших файлов на рабочем столе пользователя создаются несколько файлов с вариантами имен DECRYPT.txt, HOW_TO_DECRYPT.txt и README.txt.
Средство дешифрования Avast для CrySiS может разблокировать CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma), штамп ransomware.
Он использует AES-256 в сочетании с асимметричным шифрованием RSA-1024.
Зашифрованные файлы имеют множество различных расширений, в том числе:
.johnycryptor @ hackermail.com.xtbl,
.ecovector2 @ aol.com.xtbl,
.systemdown @ india.com.xtbl,
.Vegclass @ aol.com.xtbl,
. {} Milarepa.lotos@aol.com .CrySiS,
. {} Greg_blood@india.com .xtbl,
. {} Savepanda@india.com .xtbl,
. {} Arzamass7@163.com .xtbl,
. {} 3angle@india.com .dharma,
. {} Tombit@india.com .dharma,
.wallet
Avast Decryption Tool для CryptoMix может разблокировать Ransomware CryptoMix (также известный как CryptFile2 или Zeta), а затем CryptoShield.
Оба варианта шифруют файлы с помощью шифрования AES256 с уникальным ключом шифрования, загружаемым с удаленного сервера. Однако, если сервер недоступен или пользователь не подключен к Интернету, ransomware будет шифровать файлы с помощью фиксированного ключа («offline key»).
Важно: предоставленный инструмент дешифрования поддерживает только файлы, зашифрованные с помощью «offline key». В случаях, когда автономный ключ не использовался для шифрования файлов, наш инструмент не сможет восстановить файлы, и никакая модификация файла не будет выполнена.
Avast Decryption Tool для Crypt888 может разблокировать Crypt888 ransomware (также известный как Mircop).
Crypt888 добавляет Lock к началу имен файлов и после шифрования ваших файлов Crypt888 изменяет обои рабочего стола на изображение с сообщением о выкупе файлов.
Средство дешифрования Avast может разблокировать BTCWare, ransomware, впервые появившийся в марте 2017 года.
Варианты можно различать зашифрованным расширением файла. В Ransomeware используются два разных метода шифрования - RC4 и AES 192.
Зашифрованные имена файлов будут иметь следующий формат:
foobar.docx. [sql772@aol.com] .theva
foobar.docx. [no.xop@protonmail.ch] .cryptobyte
foobar.bmp. [no.btc@protonmail.ch] .cryptowin
foobar.bmp. [no.btcw@protonmail.ch] .btcware
foobar.docx.onyon
Кроме того, один из следующих файлов можно найти на ПК
Key.dat в %USERPROFILE%\Desktop
1.bmp в %USERPROFILE%\AppData\Roaming
#_README _ #. Inf или! #_ DECRYPT _ # !. inf в каждой папке с хотя бы одним зашифрованным файлом.
|