[Feb, 7, 2021] - Version: 1.0.0.0 Emsisoft Decryptor for Ziggy
The Ziggy ransomware first appeared at the end of 2020, and encrypts its victims files using RSA-4096 and AES-256 GCM, and adds the extension ".id=[].email=[].ziggy".
The ransom note executable "## HOW TO DECRYPT ##.exe" displays the following message:
All your files have been encrypted!
Ziggy Ransomware
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: [REDACTED]
Write this ID in the title of your message : [REDACTED]
In case of no answer in 12 hours write us to this e-mail: [REDACTED]
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
После этого объявления администратор программы-вымогателя Ziggy выпустил файл SQL, содержащий 922 ключа дешифрования, 340 из которых являются уникальными идентификаторами. Мы можем подтвердить, что ключи законные.
Emsisoft выпускает инструмент дешифрования Ziggy
Администратор также выпустил дешифратор, который жертвы Ziggy могут использовать с ключами дешифрования, указанными в файле SQL. Однако дешифратор громоздок в использовании и часто дает сбой. Мы настоятельно рекомендуем жертвам использовать наш дешифратор вместо дешифратора, предоставленного злоумышленником
Медленные дешифраторы и поиск альтернативных быстрых дешифраторов
Недавно две широко разрекламированные жертвы программ-вымогателей получили дешифратор, который работал слишком медленно, чтобы быстро восстановить сеть жертвы.
Первым был Colonial Pipeline, который заплатил выкуп в размере 4,4 миллиона долларов за дешифратор после атаки программы-вымогателя DarkSide.
Однако дешифратор был настолько медленным, что компания прибегла к восстановлению из резервных копий.
"Как только они получили платеж, хакеры предоставили оператору инструмент дешифрования для восстановления его отключенной компьютерной сети. Инструмент работал настолько медленно, что компания продолжала использовать свои собственные резервные копии, чтобы помочь восстановить систему, - сказал один из людей, знакомых с компанией.", - сообщает Bloomberg.
Последней жертвой стала HSE, национальная система здравоохранения Ирландии, которая подверглась атаке программы-вымогателя Conti, но отказалась платить выкуп.
Вероятно, поняв, что они допустили ошибку при нацеливании на правительственное учреждение, они выпустили бесплатный дешифратор для атаки.
Однако тестирование дешифратора показало, что он слишком медленный, поэтому HSE работала с новозеландской фирмой по кибербезопасности Emsisoft, чтобы использовать их дешифратор, который, как утверждается, в два раза быстрее.
Универсальный дешифратор Emsisoft
Узнав о дешифраторе Emsisoft, BleepingComputer обратился к техническому директору Emsisoft Фабиану Восару, чтобы узнать больше о том, как HSE использует его.
Хотя Wosar отказался поделиться информацией о своей работе с HSE, он объяснил, что они создали свой «Universal Decryptor» после того, как операции вымогателей сделали ужасную работу при расшифровке файлов.
Например, у дешифратора вымогателя Ryuk были проблемы с расшифровкой больших файлов, что приводило к повреждению данных. Точно так же ошибка в дешифраторе Babuk Locker вызвала потерю данных при расшифровке серверов ESXi.
В дополнение к ошибкам Восар сообщил, что дешифраторы от операторов вымогателей «ужасающе медленны», что делает их намного менее эффективными, чем восстановление файлов из резервных копий.
Хотя дешифратор Emsisoft был разработан для обеспечения безопасности данных, он также намного быстрее, чем дешифратор от кибер_вымогателей. Поскольку инструмент разработан известной и уважаемой компанией, занимающейся кибербезопасностью, он также устраняет необходимость проверки дешифратора злоумышленника на предмет злонамеренного поведения.
Восар также заявил, что жертвы могут быть затронуты несколькими атаками программ-вымогателей одновременно, что побудило Emsisoft адаптировать свой дешифратор, чтобы иметь возможность загружать несколько ключей дешифрования из разных семейств программ-вымогателей и расшифровывать файлы за один раз.
Поскольку жертвам обычно приходится расшифровывать тысячи устройств и терабайты данных, скорость расшифровки на 37–41% является значительной и может сократить дни, если не недели, на процесс восстановления.
Emsisoft взимает плату за свои услуги по восстановлению, где они анализируют конкретную программу-вымогатель и создают настраиваемые дешифраторы, но оказывает бесплатную поддержку организациям в области здравоохранения.
The Avaddon ransomware encrypts victim's files using AES-256 and RSA-2048, and appends a random extension.
update: - Version: 2.0.0.1
Только что выпущено обновление дешифратора Avaddon, которое включает некоторые исправления для расшифровки больших файлов, таких как файлы данных базы данных.
есть еще одно обновление, запланированное на конец этой недели, чтобы добавить поддержку небольшого подмножества ключей, которые используют другой формат зашифрованного файла.
update+: Version: 2.1.0.0
только что выпустили новую версию инструмента Avaddon ~( 2.1.0.0) для поддержки несколько более неуловимого варианта Avaddon, поразившего около 130 человек.
[19 августа 2021 г.] - Версия: 1.0.0.0 Emsisoft Decryptor для SynAck
SynAck - это программа-вымогатель, которая была впервые обнаружена в 2017 году и шифрует файлы с помощью ECIES и AES-256 или RSA-2048 и AES-256.
SynAck добавляет случайное расширение к каждому файлу, но может быть идентифицировано специальным файловым маркером в конце файлов, который также указывает, какая версия вредоносного ПО была использована.
Чтобы расшифровать ваши файлы, дешифратор потребует записку о выкупе, которая содержит зашифрованный ключ.
Ниже приведен пример записки с требованием выкупа «RESTORE_INFO-538E9B04.txt»:
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site https://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes,
because they contain important information required for file restoring.
Please include the following text in your message:
It seems #SynAck hadn't handed over all their keys. They've now provided more and the additional keys have been added to our decryptor. If it didn't work for you before, it may now.
[Aug, 19, 2021] - Version: 1.0.0.2
Emsisoft Decryptor for SynAck
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
[27 августа 2021 г.] - Версия: 1.0.0.0 Emsisoft Decryptor для Ragnarok
Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».
Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.
Обратите внимание, что из-за ошибки в более ранней вредоносной программе расширения «.ragnarok» и «.ragnarok_cry» в настоящее время не могут быть расшифрованы.
[Jan, 28, 2022] - Version: 1.0.0.0 Emsisoft Decryptor for DeadBolt
DeadBolt encrypts QNAP devices using AES-128, and appends the extension ".deadbolt".
This decryptor requires a key received after paying the criminals.
An example of the ransom note "!!!_IMPORTANT_README_WHERE_ARE_MYFILES!!!.txt" can be found below:
===============================================================================
/!\ ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT /!\
===============================================================================
# What happened?
All your files have been encrypted and made inaccessible. This includes
(but is not limited to) Photos, Documents and Spreadsheets.
# Why Me?
This is not a personal attack. You have been targeted because of the inadequate
security provided by your vendor (QNAP).
# What now?
Visit your QNAP machine in a webbrowser and follow the instructions to
get your files back.
# Important Message for QNAP
All your affected customers have been targeted using a zero-day vulnerability in
your product. We offer you two options to mitigate this (and future) damage:
1) Make a bitcoin payment of 5 BTC to [redacted]:
You will receive all details about this zero-day vulnerability so it
can be patched. A detailed report will be sent to [email protected].
2) Make a bitcoin payment of 50 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:
You will receive a universal decryption master key (and instructions) that can
be used to unlock all your clients their files. Additionally, we will also send
you all details about the zero-day vulnerability to [email protected].
Upon receipt of payment for either option, all information will be sent to
you in a timely fashion.
There is no way to contact us.
These are our only offers.
Thanks for your consideration.
Greetings,
DEADBOLT team.
Фирма по кибербезопасности Emsisoft выпустила бесплатный инструмент для расшифровки, который поможет жертвам программы-вымогателя Diavol восстановить свои файлы без уплаты выкупа.
Жертвы программы-вымогателя Diavol могут загрузить бесплатный инструмент с серверов Emsisoft для расшифровки своих данных, используя подробные инструкции, доступные в этом руководстве по использованию [PDF].
«Расшифровщику требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы восстановить ключи шифрования, необходимые для расшифровки остальных ваших данных», — объясняет Emsisoft.
Перед завершением процесса шифрования Diavol изменяет фон зашифрованных устройств Windows на черный фон с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt».
Примечательно, что хотя программа-вымогатель Diavol изначально создавала заметки о выкупе под названием README_FOR_DECRYPT.txt, и далее перешла на заметки о выкупе под названием Warning.txt.
AstraLocker is a ransomware based on the leaked Babuk source code, and encrypts files using a modified HC-128 encryption algorithm, and Curve25519. The extension ".Astra" or ".babyk" is appended to files.
Комментарии
[Dec, 20, 2019] - Version: 1.0.0.1
Emsisoft Decryptor for ChernoLocker
https://www.emsisoft.com/ransomware-decryption-tools/chernolocker
[Feb, 5, 2020] - Version: 1.0.0.0
Emsisoft Decryptor for Ransomwared
This ransomware encrypts victim's files using DES, and appends the extension ".ransomwared".
Victims are presented with a dialog box with the following text.
https://www.emsisoft.com/ransomware-decryption-tools/ransomwared
[Jun, 4, 2020] - Version: 1.0.0.0
Emsisoft Decryptor for RedRum
https://www.emsisoft.com/ransomware-decryption-tools/redrum
Decrypted: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\03.ai
File: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\newsletter_01_2018_1.docx.id-D992041A.[[email protected]].redrum
Decrypted: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\newsletter_01_2018_1.docx
File: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\Receipt-2018-06-23.pdf.id-D992041A.[[email protected]].redrum
Decrypted: G:\DATA\shifr\encode_files\Tycoon 1.0\redrum\Receipt-2018-06-23.pdf
Finished!
[Jun, 8, 2020] - Version: 1.0.0.0
Emsisoft Decryptor for Zorab
https://www.emsisoft.com/ransomware-decryption-tools/zorab
Emsisoft Decryptor for Ziggy
The Ziggy ransomware first appeared at the end of 2020, and encrypts its victims files using RSA-4096 and AES-256 GCM, and adds the extension ".id=[].email=[].ziggy".
The ransom note executable "## HOW TO DECRYPT ##.exe" displays the following message:
https://www.emsisoft.com/ransomware-decryption-tools/download/ziggy
https://blog.emsisoft.com/en/37722/emsisoft-releases-new-decryptor-for-ziggy-ransomware/
Недавно две широко разрекламированные жертвы программ-вымогателей получили дешифратор, который работал слишком медленно, чтобы быстро восстановить сеть жертвы.
Первым был Colonial Pipeline, который заплатил выкуп в размере 4,4 миллиона долларов за дешифратор после атаки программы-вымогателя DarkSide.
Однако дешифратор был настолько медленным, что компания прибегла к восстановлению из резервных копий.
"Как только они получили платеж, хакеры предоставили оператору инструмент дешифрования для восстановления его отключенной компьютерной сети. Инструмент работал настолько медленно, что компания продолжала использовать свои собственные резервные копии, чтобы помочь восстановить систему, - сказал один из людей, знакомых с компанией.", - сообщает Bloomberg.
Последней жертвой стала HSE, национальная система здравоохранения Ирландии, которая подверглась атаке программы-вымогателя Conti, но отказалась платить выкуп.
Вероятно, поняв, что они допустили ошибку при нацеливании на правительственное учреждение, они выпустили бесплатный дешифратор для атаки.
Однако тестирование дешифратора показало, что он слишком медленный, поэтому HSE работала с новозеландской фирмой по кибербезопасности Emsisoft, чтобы использовать их дешифратор, который, как утверждается, в два раза быстрее.
Универсальный дешифратор Emsisoft
Узнав о дешифраторе Emsisoft, BleepingComputer обратился к техническому директору Emsisoft Фабиану Восару, чтобы узнать больше о том, как HSE использует его.
Хотя Wosar отказался поделиться информацией о своей работе с HSE, он объяснил, что они создали свой «Universal Decryptor» после того, как операции вымогателей сделали ужасную работу при расшифровке файлов.
Например, у дешифратора вымогателя Ryuk были проблемы с расшифровкой больших файлов, что приводило к повреждению данных. Точно так же ошибка в дешифраторе Babuk Locker вызвала потерю данных при расшифровке серверов ESXi.
В дополнение к ошибкам Восар сообщил, что дешифраторы от операторов вымогателей «ужасающе медленны», что делает их намного менее эффективными, чем восстановление файлов из резервных копий.
Хотя дешифратор Emsisoft был разработан для обеспечения безопасности данных, он также намного быстрее, чем дешифратор от кибер_вымогателей. Поскольку инструмент разработан известной и уважаемой компанией, занимающейся кибербезопасностью, он также устраняет необходимость проверки дешифратора злоумышленника на предмет злонамеренного поведения.
Восар также заявил, что жертвы могут быть затронуты несколькими атаками программ-вымогателей одновременно, что побудило Emsisoft адаптировать свой дешифратор, чтобы иметь возможность загружать несколько ключей дешифрования из разных семейств программ-вымогателей и расшифровывать файлы за один раз.
Поскольку жертвам обычно приходится расшифровывать тысячи устройств и терабайты данных, скорость расшифровки на 37–41% является значительной и может сократить дни, если не недели, на процесс восстановления.
Emsisoft взимает плату за свои услуги по восстановлению, где они анализируют конкретную программу-вымогатель и создают настраиваемые дешифраторы, но оказывает бесплатную поддержку организациям в области здравоохранения.
https://www.bleepingcomputer.com/news/security/ransomware-gangs-slow-decryptors-prompt-victims-to-seek-alternatives/
[Jun, 11, 2021] - Version: 2.0.0.0
Emsisoft Decryptor for Avaddon
The Avaddon ransomware encrypts victim's files using AES-256 and RSA-2048, and appends a random extension.
update: - Version: 2.0.0.1
update+: Version: 2.1.0.0
https://www.emsisoft.com/ransomware-decryption-tools/download/avaddon
Emsisoft Decryptor для SynAck
SynAck - это программа-вымогатель, которая была впервые обнаружена в 2017 году и шифрует файлы с помощью ECIES и AES-256 или RSA-2048 и AES-256.
SynAck добавляет случайное расширение к каждому файлу, но может быть идентифицировано специальным файловым маркером в конце файлов, который также указывает, какая версия вредоносного ПО была использована.
Чтобы расшифровать ваши файлы, дешифратор потребует записку о выкупе, которая содержит зашифрованный ключ.
Ниже приведен пример записки с требованием выкупа «RESTORE_INFO-538E9B04.txt»:
Syn---->
Ack---->
==================================================================================
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
[email protected]
https://www.emsisoft.com/ransomware-decryption-tools/synack
детальная информация о шифраторе SynAck в блоге Амиго (Андрея Иванова)
+
https://www.bleepingcomputer.com/news/security/synack-ransomware-sees-huge-spike-in-activity/
update: [Aug, 19, 2021] - Version: 1.0.0.2
Emsisoft Decryptor for SynAck
Emsisoft Decryptor для Ragnarok
Программа-вымогатель Ragnarok шифрует файлы жертвы с помощью AES-256 и RSA-4096, добавляя расширение «..thor» или «..hela».
Чтобы расшифровать ваши файлы, вам нужно будет предоставить дешифратору записку с требованием выкупа.
Обратите внимание, что из-за ошибки в более ранней вредоносной программе расширения «.ragnarok» и «.ragnarok_cry» в настоящее время не могут быть расшифрованы.
https://www.emsisoft.com/ransomware-decryption-tools/ragnarok
Emsisoft Decryptor for NoWay
NoWay шифрует файлы жертвы и переименовывает их в [base64] .noway.
https://www.emsisoft.com/ransomware-decryption-tools/download/noway
Emsisoft Decryptor for DeadBolt
DeadBolt encrypts QNAP devices using AES-128, and appends the extension ".deadbolt".
This decryptor requires a key received after paying the criminals.
An example of the ransom note "!!!_IMPORTANT_README_WHERE_ARE_MYFILES!!!.txt" can be found below:
=============================================================================== /!\ ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT /!\ =============================================================================== # What happened? All your files have been encrypted and made inaccessible. This includes (but is not limited to) Photos, Documents and Spreadsheets. # Why Me? This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor (QNAP). # What now? Visit your QNAP machine in a webbrowser and follow the instructions to get your files back. # Important Message for QNAP All your affected customers have been targeted using a zero-day vulnerability in your product. We offer you two options to mitigate this (and future) damage: 1) Make a bitcoin payment of 5 BTC to [redacted]: You will receive all details about this zero-day vulnerability so it can be patched. A detailed report will be sent to [email protected]. 2) Make a bitcoin payment of 50 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8: You will receive a universal decryption master key (and instructions) that can be used to unlock all your clients their files. Additionally, we will also send you all details about the zero-day vulnerability to [email protected]. Upon receipt of payment for either option, all information will be sent to you in a timely fashion. There is no way to contact us. These are our only offers. Thanks for your consideration. Greetings, DEADBOLT team.https://www.emsisoft.com/ransomware-decryption-tools/deadbolt
Чтобы использовать дешифратор, жертвам потребуется записка о выкупе, созданная во время атаки, поскольку она содержит зашифрованный ключ дешифрования.
https://www.emsisoft.com/ransomware-decryption-tools/Diavol
Фирма по кибербезопасности Emsisoft выпустила бесплатный инструмент для расшифровки, который поможет жертвам программы-вымогателя Diavol восстановить свои файлы без уплаты выкупа.
Жертвы программы-вымогателя Diavol могут загрузить бесплатный инструмент с серверов Emsisoft для расшифровки своих данных, используя подробные инструкции, доступные в этом руководстве по использованию [PDF].
«Расшифровщику требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы восстановить ключи шифрования, необходимые для расшифровки остальных ваших данных», — объясняет Emsisoft.
Перед завершением процесса шифрования Diavol изменяет фон зашифрованных устройств Windows на черный фон с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt».
Примечательно, что хотя программа-вымогатель Diavol изначально создавала заметки о выкупе под названием README_FOR_DECRYPT.txt, и далее перешла на заметки о выкупе под названием Warning.txt.
https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-trickbot-gangs-diavol-ransomware/
AstraLocker decryptor
AstraLocker is a ransomware based on the leaked Babuk source code, and encrypts files using a modified HC-128 encryption algorithm, and Curve25519. The extension ".Astra" or ".babyk" is appended to files.
https://www.emsisoft.com/ransomware-decryption-tools/astralocker