CHKLST.RU

Дешифраторы от компании Emsisoft

отредактировано 15 июн Раздел: Шифровирусы шумной толпою
emsisoft_logo.png
дешифраторы от компании Emsisoft
https://decrypter.emsisoft.com/

Emsisoft Decrypter for Nemucod
Используйте этот Decrypter, если файлы были переименованы в * .crypted и вы нашли ransomnote с именем DECRYPT.txt на рабочем столе. Для использования Decrypter вам потребуется зашифрованный файл, по меньшей мере, 510 байт, а также его незашифрованный версию. Для запуска Decrypter выбрать как зашифрованное и незашифрованный файл и перетащите их на исполняемый файл Decrypter.
Emsisoft Decrypter for DMALocker2
Emsisoft Decrypter for HydraCrypt
Используйте этот Decrypter, если файлы были зашифрованы и переименован либо * .hydracrypt * или * .umbrecrypt *.
Emsisoft Decrypter for DMALocker
Emsisoft Decrypter for CrypBoss
Emsisoft Decrypter for Gomasom
Emsisoft Decrypter for LeChiffre
Используйте этот Decrypter, если ваши файлы были зашифрованы и переименован в * .LeChiffre и ransomnote просит вас связаться с decrypt.my.files@gmail.com по электронной почте.
Emsisoft Decrypter for KeyBTC
Emsisoft Decrypter for Radamant
Use this decrypter if your files have been encrypted and renamed to either *.rdm or *.rrk.
Emsisoft Decrypter for CryptInfinite
Use this decrypter if your files have been encrypted and renamed to *.CRINF.
Emsisoft Decrypter for PClock
Emsisoft Decrypter for CryptoDefense
Используйте этот Decrypter, если вредоносная программа идентифицирует себя как CryptoDefense и оставляет выкупов ноты названные HOW_DECRYPT.txt позади.
Emsisoft Decrypter for Harasom
Emsisoft Decrypter for Stampado
Emsisoft Decrypter for ApocalypseVM
Emsisoft Decrypter for Apocalypse
Emsisoft Decrypter for BadBlock
Emsisoft Decrypter for Xorist
Используйте этот Decrypter, если файлы были зашифрованы с помощью вымогателей Xorist. Типичные расширения, используемые Xorist включают * .EnCiPhErEd, * .0JELvV, * .p5tkjw, * .6FKR8d, * .UslJ6m, * .n1wLp0, * .5vypSa и ​​* .YNhlv1. Ransomnote обычно можно найти на рабочем столе с названием "КАК дешифровать files.txt". Для использования Decrypter вам потребуется зашифрованный файл, по меньшей мере, 144 байт, а также его незашифрованный версию. Для запуска Decrypter выбрать как зашифрованное и незашифрованный файл и перетащите их на исполняемый файл Decrypter.
Emsisoft Decrypter for 777
Emsisoft Decrypter for AutoLocky
Тэги темы:

Комментарии

  • отредактировано Декабрь 2016 PM
    добавился дешифратор
    [Nov, 29, 2016] - Version: 1.0.0.8
    Emsisoft Decrypter for NMoreira
    NMoreira, also known as XRatTeam or XPan, is a file encrypting ransomware. It uses a mix of RSA and AES-256 to encrypt your files. Encrypted files have either the extension *.maktub or *.__AiraCropEncrypted!. In addition, the ransomware will create one of the following ransom notes.

    https://decrypter.emsisoft.com/nmoreira

    проверил расшифровку файлов на единственном пока примере.
    Starting decryption ...

    Encrypted file: E:\deshifr\_AiraCropEncrypted!\01\1\Бух.rar.__AiraCropEncrypted!
    Decryption: Trying to reconstruct encryption key, this will take a bit ...
    Destination file: E:\deshifr\_AiraCropEncrypted!\01\1\Бух.rar
    Status: Successfully decrypted!

    Encrypted file: E:\deshifr\_AiraCropEncrypted!\01\2\1sys_buh 2016-08-31 19;21;16 (Full).zip.__AiraCropEncrypted!
    Decryption: Successfully recovered encryption keys based on previous key.
    Destination file: E:\deshifr\_AiraCropEncrypted!\01\2\1sys_buh 2016-08-31 19;21;16 (Full).zip
    Status: Successfully decrypted!

    Encrypted file: E:\deshifr\_AiraCropEncrypted!\01\3\Бух.rar.__AiraCropEncrypted!
    Decryption: Trying to reconstruct encryption key, this will take a bit ...
    Destination file: E:\deshifr\_AiraCropEncrypted!\01\3\Бух.rar
    Status: Successfully decrypted!

    Encrypted file: E:\deshifr\_AiraCropEncrypted!\01\4\04-2016_подр_6606087 (1).txt.__AiraCropEncrypted!
    Decryption: Trying to reconstruct encryption key, this will take a bit ...
    Could not guess key. Most likely the original file format is not supported.

    Encrypted file: E:\deshifr\_AiraCropEncrypted!\01\4\1sys_buh 2016-08-31 19;21;16 (Full).zip.__AiraCropEncrypted!
    Decryption: Successfully recovered encryption keys based on previous key.
    Destination file: E:\deshifr\_AiraCropEncrypted!\01\4\1sys_buh 2016-08-31 19;21;16 (Full).zip
    Status: Successfully decrypted!

    Encrypted file: E:\deshifr\_AiraCropEncrypted!\01\4\Выгрузка каталога и коммерческих предложений на сайт в формате CommerceML версии 2.docx.__AiraCropEncrypted!
    Decryption: Successfully recovered encryption keys based on previous key.
    Destination file: E:\deshifr\_AiraCropEncrypted!\01\4\Выгрузка каталога и коммерческих предложений на сайт в формате CommerceML версии 2.docx
    Status: Successfully decrypted!

    Finished!

  • отредактировано 22 янв PM
    добавился дешифратор Globe3


    [Jan, 4, 2017] - Version: 1.0.0.12
    Emsisoft Decrypter for Globe3
    Globe3 is a ransomware kit that we first discovered at the beginning of 2017. Globe3 encrypts files and optionally filenames using AES-256. Since the extension of encrypted files is configurable, several different file extensions are possible. The most commonly used extensions are .decrypt2017 and .hnumkhotep. To use the decrypter, you will require a file pair containing both an encrypted file and its non-encrypted original version. Select both the encrypted and unencrypted file and drag and drop both of them onto the decrypter file in your download directory. If file names are encrypted, please use the file size to determine the correct file. The encrypted and the original file will have the same size for files greater than 64 kb.

    Due to a bug in the ransomware, decrypted files smaller than 64 kb will be up to 15 bytes larger than the originals. This file size increase is due to the fact, that the ransomware rounds file sizes up to the next 16-byte boundary without saving the original file size. For most file formats this is unlikely to cause problems. However, if your applications complain about corrupted file formats, you may have to manually remove trailing zero bytes at the end of the file using a hex editor.

    https://decrypter.emsisoft.com/globe3


    Decryption key found
    The decrypter detected the following key to be a match for the given file:

    Key:
    C6DE117389F107D2579B10030848DFE8D07419DCA1AA271C861DDC96D9C4A328

    Extension:
    True

    File name encryption:
    .hnumkhotep@india.com.hnumkhotep

    Please keep in mind that there is a slight chance that this key might be wrong. We suggest trying decrypting a few files first to check whether it is working correctly.
    ОК

    Looking for active infection ...
    No active infection was found!


    Encrypted file: E:\deshifr\encode_files\Globe\globe3\10\sample\encode_files\UfBsIpZIndE2OSOp6Hx+mM.hnumkhotep@india.com.hnumkhotep
    Destination file: E:\deshifr\encode_files\Globe\globe3\10\sample\encode_files\Hotel.dll
    Status: Successfully decrypted!

    Finished!


  • отредактировано 29 янв PM
    добавился дешифратор MRCR

    [Jan, 12, 2017] - Version: 1.0.0.45
    Emsisoft Decrypter for MRCR

    MRCR or Merry X-Mas is a ransomware family that first appeared in December last year. It is written in Delphi and uses a custom encryption algorithm. Encrypted files will have either ".PEGS1", ".MRCR1", ".RARE1", ".MERRY", or ".RMCM1" as an extension. The ransom note is named "YOUR_FILES_ARE_DEAD.HTA" or "MERRY_I_LOVE_YOU_BRUCE.HTA" and asks victims to contact either "[email protected]" or "comodosecurity" via the secure mobile messenger Telegram.

    To start the decryption process you will need a file pair consisting of an encrypted file and the non-encrypted version of the same file. The files need to be between 64 KB and 100 MB in size. Select both and drag and drop them onto the decrypter executable to start the process.
    [/email]

    https://www.bleepingcomputer.com/news/security/merry-christmas-ransomware-and-its-dev-comodosecurity-not-bringing-holiday-cheer/

    https://decrypter.emsisoft.com/mrcr
    в данной версии дешифратор неудовлетворителен, по крайней мере не для всех заявленных расширений (в частности для *.RARE1) работает корректно.
  • DDoS attacks hit Emsisoft over the weekend
    Three days later, on Saturday, January 28, Emsisoft suffered a similar fate, when a DDoS attack hit a specific section of the company's portal, the place where Emsisoft hosts ransomware decrypters.

    Looks like someone DDoSes our decrypter site. Coincides with MRCR devs showing up in our forums. Guess I pissed someone off again. ¯\_(ツ)_/¯
    — Fabian Wosar (@fwosar) January 28, 2017

    Speaking to Bleeping Computer, Emsisoft's CTO Fabian Wosar said the attack clocked in at around 80 Gbps, and its defenses held up just fine, with no downtime to its website.

    "They didn't manage to take the site down," Wosar said. "According to our provider it was a smaller attack of about 80 GBit. It was [...] kinda slow."

    https://www.bleepingcomputer.com/news/security/emsisoft-website-hit-by-ddos-attack-as-company-releases-ransomware-decrypter/
  • отредактировано 15 мар PM
    добавлены дешифраторы Emsisoft Decrypter for CryptON, for Damage


    [Mar, 7, 2017] - Version: 1.0.0.33
    Emsisoft Decrypter for CryptON
    Today, Emsisoft CTO and Malware researcher Fabian Wosar released a free decrypter for the CryptON ransomware family, allowing those that have been infected to free their encrypted files without having to pay a ransom.

    Variants of the Russian-originated CryptON ransomware, such as X3M and Nemesis, started to appear on the Bleeping Computer forums from December 2016. All of them seem to be put together using the same “builder”, a term that describes a software application which automates the process of customizing a malware executable.

    http://blog.emsisoft.com/2017/03/07/emsisoft-releases-free-decrypter-for-crypton-ransomware/

    [Mar, 11, 2017] - Version: 1.0.0.12
    Emsisoft Decrypter for Damage

    дешифратор (for Damage) рабочий, ключ в итоге по паре чистый - зашифрованный был вычислен, и все файлы были корректно расшифрованы.
    Encrypted file: E:\deshifr\encode_files\damage\10\encode_files\бесхозяйные вещи исковое заявление.doc.damage
    Destination file: E:\deshifr\encode_files\damage\10\encode_files\бесхозяйные вещи исковое заявление.doc
    Status: Successfully decrypted!

    Finished!
  • отредактировано 8 май PM
    Emsisoft Releases a Decryptor for the Amnesia Ransomware
    On Saturday, Emsisoft's CTO and malware researcher Fabian Wosar released a decryptor for the Amnesia Ransomware. This ransomware was first spotted in early May and has had one other variant released called CryptoBoss. This family of ransomware was named Amnesia based on the extension appended to encrypted files by the first variant.

    https://www.bleepingcomputer.com/news/security/emsisoft-releases-a-decryptor-for-the-amnesia-ransomware/

    [May, 6, 2017] - Version: 1.0.0.25
    Emsisoft Decrypter for Amnesia
  • отредактировано 10 ноя PM
    decrypt_Xorist обновился до версии 1.0.0.33
    https://decrypter.emsisoft.com/xorist

    расшифровка вариантов значительно улучшена.

    tdw4bdj7nq76.jpg

    тестирую расшифровку на примере шифратора *.id70915

    Emsisoft:
    ключ самостоятельно вычислен по паре чистый - зашифрованный
    Key : DAC1055D494221DB36287C849183EEE2
    Encryption Rounds: 32 
    Start Offset: 62 
    Encryption Limit: 1371077
    Algorithm: TEA
    
    расшифровка тестовой папки - отлично (100%)

    ESET (ESETFilecoderQCleaner.exe v. 3.2.0.7):
    (ключ предварительно был получен от вирлаба).
    расшифровка теcmовой папки - отлично (100%),
    - ("минус") в том, что опция "/a" вычисления ключа по группе зашифрованных документов не работает в ESETFilecoderQCleaner.exe. Т.е. ключ расшифровки для данной утилиты можно получить только в вирлабе.
    2017.09.16 15:17:15.648] -
    [2017.09.16 15:17:15.648] - ....................................
    [2017.09.16 15:17:15.648] - ..::::::::::::::::::....................
    [2017.09.16 15:17:15.664] - .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Win32/Filecoder.Q
    [2017.09.16 15:17:15.664] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 3.2.0.7
    [2017.09.16 15:17:15.664] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Dec 11 2015
    [2017.09.16 15:17:15.664] - .::EE:::::::::::::SS:.EE..........TT......
    [2017.09.16 15:17:15.664] - .::EEEEEE:::SSSSSS::..EEEEEE.....TT..... Copyright (c) ESET, spol. s r.o.
    [2017.09.16 15:17:15.664] - ..::::::::::::::::::.................... 1992-2015. All rights reserved.
    [2017.09.16 15:17:15.664] - ....................................
    [2017.09.16 15:17:16.241] -
    [2017.09.16 15:17:16.241] - INFO: 26 infected files found.
    [2017.09.16 15:17:16.241] - INFO: 26 file(s) cleaned.
    [2017.09.16 15:17:21.966] - End

    LK v2.5.1.0:
    отключил проверку жестких дисков (только съемные), но утилита на это почему то не реагирует.
    15:27:22.0960 0x06dc Can't init decryptor on file Z:\test_decrypt\keygpg.rar.id70915

    Trend Micro v 1.0.1667 даже не шевельнулся, после того как я указал пару файлов: зашифрованный - оригинал
Войдите или Зарегистрируйтесь чтобы комментировать.