Дешифраторы от компании Emsisoft

2»

Комментарии

  • +
    [Dec, 20, 2019] - Version: 1.0.0.1
    Emsisoft Decryptor for ChernoLocker
    ChernoLocker is a ransomware programmed in Python, and encrypts files using AES-256, adding the extension "(.CHERNOLOCKER)".

    https://www.emsisoft.com/ransomware-decryption-tools/chernolocker
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +
    [Feb, 5, 2020] - Version: 1.0.0.0
    Emsisoft Decryptor for Ransomwared

    This ransomware encrypts victim's files using DES, and appends the extension ".ransomwared".

    Victims are presented with a dialog box with the following text.
    You are ransomwared! To recover your files, email us and buy recovery code ;)
    [email protected]
    https://www.emsisoft.com/ransomware-decryption-tools/ransomwared
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2022 PM
    +
    [Jun, 4, 2020] - Version: 1.0.0.0
    Emsisoft Decryptor for RedRum
    RedRum Ransomware encrypts victim's files using AES256 GCM and RSA-1024, adding the extension ".id-.[].redrum" to files.

    https://www.emsisoft.com/ransomware-decryption-tools/redrum

    File: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\03.ai.id-D992041A.[[email protected]].redrum
    Decrypted: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\03.ai

    File: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\newsletter_01_2018_1.docx.id-D992041A.[[email protected]].redrum
    Decrypted: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\newsletter_01_2018_1.docx

    File: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\Receipt-2018-06-23.pdf.id-D992041A.[[email protected]].redrum
    Decrypted: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\Receipt-2018-06-23.pdf

    Finished!
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • +
    [Jun, 8, 2020] - Version: 1.0.0.0
    Emsisoft Decryptor for Zorab
    Zorab pretends to be a ransomware decryptor, but instead re-encrypts it's victims files with AES-256 and adds the extension ".ZRB" to files.

    https://www.emsisoft.com/ransomware-decryption-tools/zorab
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2021 PM
    [Feb, 7, 2021] - Version: 1.0.0.0
    Emsisoft Decryptor for Ziggy

    The Ziggy ransomware first appeared at the end of 2020, and encrypts its victims files using RSA-4096 and AES-256 GCM, and adds the extension ".id=[].email=[].ziggy".

    The ransom note executable "## HOW TO DECRYPT ##.exe" displays the following message:
    All your files have been encrypted!

    Ziggy Ransomware

    All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: [REDACTED]

    Write this ID in the title of your message : [REDACTED]

    In case of no answer in 12 hours write us to this e-mail: [REDACTED]

    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

    https://www.emsisoft.com/ransomware-decryption-tools/download/ziggy
    После этого объявления администратор программы-вымогателя Ziggy выпустил файл SQL, содержащий 922 ключа дешифрования, 340 из которых являются уникальными идентификаторами. Мы можем подтвердить, что ключи законные.
    Emsisoft выпускает инструмент дешифрования Ziggy

    Администратор также выпустил дешифратор, который жертвы Ziggy могут использовать с ключами дешифрования, указанными в файле SQL. Однако дешифратор громоздок в использовании и часто дает сбой. Мы настоятельно рекомендуем жертвам использовать наш дешифратор вместо дешифратора, предоставленного злоумышленником
    https://blog.emsisoft.com/en/37722/emsisoft-releases-new-decryptor-for-ziggy-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано May 2021 PM
    Медленные дешифраторы и поиск альтернативных быстрых дешифраторов

    Недавно две широко разрекламированные жертвы программ-вымогателей получили дешифратор, который работал слишком медленно, чтобы быстро восстановить сеть жертвы.

    Первым был Colonial Pipeline, который заплатил выкуп в размере 4,4 миллиона долларов за дешифратор после атаки программы-вымогателя DarkSide.

    Однако дешифратор был настолько медленным, что компания прибегла к восстановлению из резервных копий.

    "Как только они получили платеж, хакеры предоставили оператору инструмент дешифрования для восстановления его отключенной компьютерной сети. Инструмент работал настолько медленно, что компания продолжала использовать свои собственные резервные копии, чтобы помочь восстановить систему, - сказал один из людей, знакомых с компанией.", - сообщает Bloomberg.

    Последней жертвой стала HSE, национальная система здравоохранения Ирландии, которая подверглась атаке программы-вымогателя Conti, но отказалась платить выкуп.

    Вероятно, поняв, что они допустили ошибку при нацеливании на правительственное учреждение, они выпустили бесплатный дешифратор для атаки.

    Однако тестирование дешифратора показало, что он слишком медленный, поэтому HSE работала с новозеландской фирмой по кибербезопасности Emsisoft, чтобы использовать их дешифратор, который, как утверждается, в два раза быстрее.

    Универсальный дешифратор Emsisoft

    Узнав о дешифраторе Emsisoft, BleepingComputer обратился к техническому директору Emsisoft Фабиану Восару, чтобы узнать больше о том, как HSE использует его.

    Хотя Wosar отказался поделиться информацией о своей работе с HSE, он объяснил, что они создали свой «Universal Decryptor» после того, как операции вымогателей сделали ужасную работу при расшифровке файлов.

    Например, у дешифратора вымогателя Ryuk были проблемы с расшифровкой больших файлов, что приводило к повреждению данных. Точно так же ошибка в дешифраторе Babuk Locker вызвала потерю данных при расшифровке серверов ESXi.

    В дополнение к ошибкам Восар сообщил, что дешифраторы от операторов вымогателей «ужасающе медленны», что делает их намного менее эффективными, чем восстановление файлов из резервных копий.

    Хотя дешифратор Emsisoft был разработан для обеспечения безопасности данных, он также намного быстрее, чем дешифратор от кибер_вымогателей. Поскольку инструмент разработан известной и уважаемой компанией, занимающейся кибербезопасностью, он также устраняет необходимость проверки дешифратора злоумышленника на предмет злонамеренного поведения.

    emsisoft-decryptor-comparison.png

    Восар также заявил, что жертвы могут быть затронуты несколькими атаками программ-вымогателей одновременно, что побудило Emsisoft адаптировать свой дешифратор, чтобы иметь возможность загружать несколько ключей дешифрования из разных семейств программ-вымогателей и расшифровывать файлы за один раз.

    Поскольку жертвам обычно приходится расшифровывать тысячи устройств и терабайты данных, скорость расшифровки на 37–41% является значительной и может сократить дни, если не недели, на процесс восстановления.

    Emsisoft взимает плату за свои услуги по восстановлению, где они анализируют конкретную программу-вымогатель и создают настраиваемые дешифраторы, но оказывает бесплатную поддержку организациям в области здравоохранения.

    https://www.bleepingcomputer.com/news/security/ransomware-gangs-slow-decryptors-prompt-victims-to-seek-alternatives/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2021 PM
    +
    [Jun, 11, 2021] - Version: 2.0.0.0
    Emsisoft Decryptor for Avaddon

    The Avaddon ransomware encrypts victim's files using AES-256 and RSA-2048, and appends a random extension.

    update: - Version: 2.0.0.1
    Только что выпущено обновление дешифратора Avaddon, которое включает некоторые исправления для расшифровки больших файлов, таких как файлы данных базы данных.

    есть еще одно обновление, запланированное на конец этой недели, чтобы добавить поддержку небольшого подмножества ключей, которые используют другой формат зашифрованного файла.
    update+: Version: 2.1.0.0
    только что выпустили новую версию инструмента Avaddon ~( 2.1.0.0) для поддержки несколько более неуловимого варианта Avaddon, поразившего около 130 человек.

    https://www.emsisoft.com/ransomware-decryption-tools/download/avaddon
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    [19 августа 2021 г.] - Версия: 1.0.0.0
    Emsisoft Decryptor для SynAck

    SynAck - это программа-вымогатель, которая была впервые обнаружена в 2017 году и шифрует файлы с помощью ECIES и AES-256 или RSA-2048 и AES-256.

    SynAck добавляет случайное расширение к каждому файлу, но может быть идентифицировано специальным файловым маркером в конце файлов, который также указывает, какая версия вредоносного ПО была использована.

    Чтобы расшифровать ваши файлы, дешифратор потребует записку о выкупе, которая содержит зашифрованный ключ.

    Ниже приведен пример записки с требованием выкупа «RESTORE_INFO-538E9B04.txt»:

    Syn---->
    Ack---->

    ==================================================================================

    Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
    To decrypt your files, please contact us using this e-mail address:

    [email protected]
    If for unknown reasons you did not receive any answer on e-mail,
    write to BitMessage (using site https://bitmsg.me/):

    BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k

    Please do not perform any manipulations with encrypted files.
    If you want to try to restore your files manually, do backups first.
    And please do not remove files with text notes,
    because they contain important information required for file restoring.

    Please include the following text in your message:

    [redacted base64]

    https://www.emsisoft.com/ransomware-decryption-tools/synack

    детальная информация о шифраторе SynAck в блоге Амиго (Андрея Иванова)
    +
    https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/

    update:
    It seems #SynAck hadn't handed over all their keys. They've now provided more and the additional keys have been added to our decryptor. If it didn't work for you before, it may now.
    [Aug, 19, 2021] - Version: 1.0.0.2
    Emsisoft Decryptor for SynAck
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • [27 августа 2021 г.] - Версия: 1.0.0.0
    Emsisoft Decryptor для Ragnarok

    Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».

    Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.

    Обратите внимание, что из-за ошибки в более ранней вредоносной программе расширения «.ragnarok» и «.ragnarok_cry» в настоящее время не могут быть расшифрованы.

    https://www.emsisoft.com/ransomware-decryption-tools/ragnarok
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2021 PM
    [Dec, 28, 2021] - Version: 1.0.0.0
    Emsisoft Decryptor for NoWay

    NoWay шифрует файлы жертвы и переименовывает их в [base64] .noway.

    https://www.emsisoft.com/ransomware-decryption-tools/download/noway
    Starting...

    File: G:\DATA\shifr\encode_files\NoWay\10\Q0dQRVJTSUEucG5n.noway
    Decrypted: G:\DATA\shifr\encode_files\NoWay\10\CGPERSIA.png

    File: G:\DATA\shifr\encode_files\NoWay\10\Q1JBQ0tXQVRDSC5wbmc=.noway
    Decrypted: G:\DATA\shifr\encode_files\NoWay\10\CRACKWATCH.png

    Finished!
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2022 PM
    [Jan, 28, 2022] - Version: 1.0.0.0
    Emsisoft Decryptor for DeadBolt


    DeadBolt encrypts QNAP devices using AES-128, and appends the extension ".deadbolt".
    This decryptor requires a key received after paying the criminals.
    An example of the ransom note "!!!_IMPORTANT_README_WHERE_ARE_MYFILES!!!.txt" can be found below:
    ===============================================================================
                  /!\ ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT /!\              
    ===============================================================================
    
    # What happened?
    
    All your files have been encrypted and made inaccessible. This includes 
    (but is not limited to) Photos, Documents and Spreadsheets.
    
    # Why Me?
    
    This is not a personal attack. You have been targeted because of the inadequate 
    security provided by your vendor (QNAP).
    
    # What now?
    
    Visit your QNAP machine in a webbrowser and follow the instructions to
    get your files back.
    
    # Important Message for QNAP
    
    All your affected customers have been targeted using a zero-day vulnerability in
    your product. We offer you two options to mitigate this (and future) damage:
    
    1) Make a bitcoin payment of 5 BTC to [redacted]:
    
    You will receive all details about this zero-day vulnerability so it 
    can be patched. A detailed report will be sent to [email protected].
    
    2) Make a bitcoin payment of 50 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:
    
    You will receive a universal decryption master key (and instructions) that can
    be used to unlock all your clients their files. Additionally, we will also send
    you all details about the zero-day vulnerability to [email protected].
    
    Upon receipt of payment for either option, all information will be sent to
    you in a timely fashion.
    
    There is no way to contact us.
    These are our only offers.
    Thanks for your consideration.
    
    Greetings, 
    DEADBOLT team.
    

    https://www.emsisoft.com/ransomware-decryption-tools/deadbolt
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2022 PM
    Компания Emsisoft выпустила дешифратор, позволяющий любым жертвам Maze, Egregor и Sekhmet, которые ждали, восстановить свои файлы бесплатно.
    [Feb, 9, 2022] - Version: 1.0.0.0
    Emsisoft Decryptor for Maze / Sekhmet / Egregor

    The Maze, Sekhmet, and Egregor ransomwares encrypt victim's files using ChaCha8, and append a random extension.

    Чтобы использовать дешифратор, жертвам потребуется записка о выкупе, созданная во время атаки, поскольку она содержит зашифрованный ключ дешифрования.

    r90g8qwowwjd.jpg
    Key: 0702000000A40000525341320008000001000100837884D82BE94FD39814C19DE3B042C51FB8648E51675BBEED85F7FFF54381EC132668F7C682F99BCC8AB7BC62B494E0BF84E7B7C18E521D5D6EC17C047C4ECAB489435D556429AE1D801080F71772F19814317924E99ED1FAAB5522CB284E29662CD67FFE1373C22C1A0AA7DAB69
    Starting...

    File: G:\DATA\shifr\encode_files\MAZE\appanyrun1\filezilla.xml.6UYJ9
    Decrypted: G:\DATA\shifr\encode_files\MAZE\appanyrun1\filezilla.xml

    File: G:\DATA\shifr\encode_files\MAZE\appanyrun1\layout.xml.6UYJ9
    Decrypted: G:\DATA\shifr\encode_files\MAZE\appanyrun1\layout.xml

    File: G:\DATA\shifr\encode_files\MAZE\appanyrun1\Outlook.xml.3YLOqRG
    Decrypted: G:\DATA\shifr\encode_files\MAZE\appanyrun1\Outlook.xml

    File: G:\DATA\shifr\encode_files\MAZE\appanyrun1\queue.sqlite3.S9d6lk
    Decrypted: G:\DATA\shifr\encode_files\MAZE\appanyrun1\queue.sqlite3

    Finished!
    Starting...

    File: G:\DATA\shifr\encode_files\Sekhmet\appanyrun1\devices.html.CngDC
    Decrypted: G:\DATA\shifr\encode_files\Sekhmet\appanyrun1\devices.html

    File: G:\DATA\shifr\encode_files\Sekhmet\appanyrun1\feedback.html.kDWAKv
    Decrypted: G:\DATA\shifr\encode_files\Sekhmet\appanyrun1\feedback.html

    File: G:\DATA\shifr\encode_files\Sekhmet\appanyrun1\index.html.CngDC
    Decrypted: G:\DATA\shifr\encode_files\Sekhmet\appanyrun1\index.html

    Finished!


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2022 PM
    Выпущен бесплатный дешифратор для Diavol Ransomware от кибергруппы TrickBot
    [Feb, 28, 2022] - Version: 1.0.0.0
    Emsisoft Decryptor for Diavol

    Diavol encrypts victim's files and appends the extension ".lock64".

    https://www.emsisoft.com/ransomware-decryption-tools/Diavol

    Фирма по кибербезопасности Emsisoft выпустила бесплатный инструмент для расшифровки, который поможет жертвам программы-вымогателя Diavol восстановить свои файлы без уплаты выкупа.

    Жертвы программы-вымогателя Diavol могут загрузить бесплатный инструмент с серверов Emsisoft для расшифровки своих данных, используя подробные инструкции, доступные в этом руководстве по использованию [PDF].

    «Расшифровщику требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы восстановить ключи шифрования, необходимые для расшифровки остальных ваших данных», — объясняет Emsisoft.

    Diavol_decryptor.png

    Перед завершением процесса шифрования Diavol изменяет фон зашифрованных устройств Windows на черный фон с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt».

    Примечательно, что хотя программа-вымогатель Diavol изначально создавала заметки о выкупе под названием README_FOR_DECRYPT.txt, и далее перешла на заметки о выкупе под названием Warning.txt.

    Diavol_ransom_note.png

    https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-trickbot-gangs-diavol-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано July 2022 PM
    [Jul, 7, 2022] - Version: 1.0.0.0
    AstraLocker decryptor

    AstraLocker is a ransomware based on the leaked Babuk source code, and encrypts files using a modified HC-128 encryption algorithm, and Curve25519. The extension ".Astra" or ".babyk" is appended to files.

    https://www.emsisoft.com/ransomware-decryption-tools/astralocker

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.