CHKLST.RU

Счастливые владельцы зашифрованных файлов могут получить обратно свои ключи/файлы....

2»

Комментарии

  • отредактировано October 2018 PM
    The ESET GandCrab decryption tool is designed to decrypt files of 979 Syrian victims irrespective of the malware version they were affected with (1.0 to 5.0). Users can download the decryptor here. For further instructions and information, please refer to our GandCrab decryptor knowledgebase article.

    This is not the first time malware authors have released keys for a prevalent ransomware family (or its variants), allowing cybersecurity companies to create decryptors. Previously, ESET has released such tools for TeslaCrypt, several variants of Crysis, as well as for earlier variants of the AESNI ransomware.

    Средство дешифрования ESET GandCrab предназначено для дешифрования файлов из 979 сирийских жертв независимо от версии вредоносного ПО, на которую они были затронуты (от 1.0 до 5.0). Здесь можно скачать дешифратор. Для получения дополнительных инструкций и информации обратитесь к нашей статье базы знаний дешифратора GandCrab.

    Это не первый раз, когда авторы вредоносных программ выпустили ключи для распространенного семейства ransomware (или его вариантов), что позволяет компаниям кибербезопасности создавать дешифраторы. Ранее ESET выпустила такие инструменты для TeslaCrypt, несколько вариантов Crysis, а также для более ранних версий AESNI ransomware.

    https://www.welivesecurity.com/2018/10/25/eset-releases-new-decryptor-syrian-victims-gandcrab-ransomware/

  • отредактировано October 2018 PM
    Bitdefender releases new decryption tool to unlock #GandCrab, including latest v5.


    A newly released decryptor allows for the free recovery of files encrypted by some versions of GandCrab, a ransomware family that has affected hundreds of thousands of people since the beginning of the year.

    The free GandCrab decryption tool will decrypt files encrypted by versions 1, 4 and 5 of the ransomware. These versions are recognizable by the extensions they use: GDCB, KRAB, and a series of random characters of various length (example: .rnsgl). Instructions on using the decryptor are available later in the article.

    Недавно выпущенный дешифратор позволяет бесплатно восстанавливать файлы, зашифрованные некоторыми версиями GandCrab, семейства ransomware, которые затронули сотни тысяч людей с начала года.

    Бесплатный инструмент дешифрования GandCrab расшифровывает файлы, зашифрованные версиями 1, 4 и 5. Эти версии распознаются расширениями, которые они используют: GDCB, KRAB и ряд случайных символов различной длины (пример: .rnsgl). Инструкции по использованию дешифратора доступны позже в статье.
    In a blog post today, Bitdefender notes that they are working on a solution to decrypt data locked by GandCrab 2 and 3, which use the .CRAB extension and ask users to be patient and not to pay the ransom. The ransom note typically asks victims between $600 and $6.000 in exchange for the decryption key.

    Сегодня в блоге Bitdefender отмечает, что они работают над решением для дешифрования данных, заблокированных GandCrab 2 и 3, которые используют расширение .CRAB и просят пользователей быть терпеливыми, а не платить выкуп. В примечании о выкупе обычно запрашиваются жертвы между 600 и 6000 долларов в обмен на ключ дешифрования.

    https://www.bleepingcomputer.com/news/security/free-decrypter-available-for-the-latest-gandcrab-ransomware-versions/
    The good news is that now you can have your data back without paying a cent to the cyber-criminals, as Bitdefender has released a free utility that automates the data decryption process. This tool recovers files encrypted by GandCrab ransomware versions 1, 4 and 5. You can recognize this ransomware and its version, by the extension it appends to the encrypted files and/or ransom-note:

    Хорошей новостью является то, что теперь вы можете вернуть свои данные, не выплачивая центов кибер-преступникам, так как Bitdefender выпустил бесплатную утилиту, которая автоматизирует процесс дешифрования данных. Этот инструмент восстанавливает файлы, зашифрованные версиями 1, 4 и 5. Ransomware GandCrab. Вы можете распознать это программное обеспечение и его версию с помощью расширения, которое оно добавляет к зашифрованным файлам и / или записку о выкупе:
    Version 1: file extension is .GDCB. The ransom note starts with —= GANDCRAB =—, ……………. the extension: .GDCB
    Version 2: file extension is .GDCB. The ransom note starts with —= GANDCRAB =—, ……………. the extension: .GDCB
    Version 3: file extension is .CRAB. The ransom note starts with —= GANDCRAB V3 =— ……….. the extension: .CRAB
    Version 4: file extension is .KRAB. The ransom note starts with —= GANDCRAB V4 =— ……….. the extension: .KRAB
    Version 5: file extension is .([A-Z]+). The ransom note starts with —= GANDCRAB V5.0 =— ………. the extension: .UKCZA
    Version 5.0.1: file extension is .([A-Z]+). The ransom note starts with —= GANDCRAB V5.0.2 =— …. the extension: .YIAQDG
    Version 5.0.2: file extension is .([A-Z]+). The ransom note starts with—= GANDCRAB V5.0.2 =— …. the extension: .CQXGPMKNR
    Version 5.0.3: file extension is .([A-Z]+). The ransom note starts with—= GANDCRAB V5.0.2 =— …. the extension: .HHFEHIOL

    https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/
  • отредактировано December 2018 PM
    Майк Гиллеспи разработал дешифратор для нескольких версий STOP Ransomware
    Here's a free decrypter for some variants of STOP #Ransomware. Only works for extensions ".puma", ".pumas", and ".pumax". Requires encrypted and original file pair > ~150KB.

  • отредактировано December 2018 PM
    hiddentear-brute-forcer.jpg
    If you have been infected with a HiddenTear Ransomware variant, then you are in luck as a program called HT Brute Forcer has been created by Michael Gillespie that allows you recover your encryption key without having to pay the ransom.

    HiddenTear is the name of a ransomware family whose full source code was published on GitHub. This allowed attackers to download the source code and create their own ransomware variants that could be used to infect victims.

    Due to the source code's wide availability, there are many ransomware infections under different names that utilize the same HiddenTear code base. As the original code was decryptable, this means all other ransomware created from the same code are decryptable as well.

    Some of the HiddenTear variants supported by this tool include:
    8lock8, AnonCrack, Assembly, Balbaz, BankAccountSummary, Bansomqare Wanna, Blank, BloodJaws, Boris, CerberTear, CryptConsole2, CryptoKill, CyberResearcher, Data_Locker, Dev-Nightmare 2xx9, Diamond, Domino, Donut, dotRansom, Executioner, Executioner2, Executioner3, Explerer, FlatChestWare, Frog, Fuck_You, Gendarmerie, Horros, JobCrypter, Jodis, J-Ransomware, J-Want-To-Cry, Karmen, Kraken 2.0, Kratos, LanRan, Lime, Lime-HT, Luv, Matroska, MireWare, MoonCrypter, MTC, Nobug, Nulltica, onion3cry, OpsVenezuela, Paul, PayOrDie, Pedo, PGPSnippet, Poolezoor, Pransomware, Predator, Qwerty, Random6, Random6 2, Randion, RansomMine, Rootabx, Saramat, Shrug, ShutUpAndDance, Sorry, Symbiom, TearDr0p, Technicy, The Brotherhood, TheZone, tlar, TotalWipeOut, TQV, Ton, VideoBelle, WhiteRose, WhiteRose2, Zalupaid, ZenCrypt, Zenis, ZeroRansom, Zorro

    Если вы были заражены вариантом HiddenTear Ransomware, то вам повезло, поскольку Michael Gillespie создал программу под названием HT Brute Forcer, которая позволяет вам восстановить свой ключ шифрования, не выплачивая выкуп.

    HiddenTear - это имя семейства вымогателей, полный исходный код которого был опубликован на GitHub. Это позволило злоумышленникам загрузить исходный код и создать свои собственные варианты вымогателей, которые можно использовать для заражения жертв.

    Из-за широкой доступности исходного кода, существует много вирусов-вымогателей под разными именами, которые используют одну и ту же базу кода HiddenTear. Поскольку исходный код был дешифруемым, это означает, что все другие программы-вымогатели, созданные из того же кода, также являются дешифруемыми.

    https://www.bleepingcomputer.com/ransomware/decryptor/how-to-decrypt-hiddentear-ransomware-with-ht-brute-forcer/
  • отредактировано December 2018 PM
    +
    BleepingComputer.com официально присоединился к проекту NoMoreRansom (NMR)

    50s3y44rzfek.jpg
    BleepingComputer is humbled and honored to announce that we have joined No More Ransom project as an associate partner! We have been providing ransomware information, support, and the amazing decryptors from Michael Gillespie since the beginning and this partnership will enable more victims to receive the help they need.

    BleepingComputer с гордостью объявляет, что мы присоединились к проекту No More Ransom в качестве ассоциированного партнера! Мы предоставляем информацию о вымогателях, поддержку и удивительные расшифровщики от Майкла Джиллеспи с самого начала, и это партнерство позволит большему количеству жертв получить помощь, в которой они нуждаются.
    How BleepingComputer first got started with ransomware

    To give you a bit of a background on how BleepingComputer first got started writing about and supporting the victims of ransomware, it all goes back to 2012 when the first widespread ransomware called ACCDFISA was released.
    Как BleepingComputer впервые начал работать с вымогателями

    BleepingComputer впервые начал писать о жертвах вымогателей и как их поддерживать, все это восходит к 2012 году, когда был выпущен первый широко распространенный вымогатель под названием ACCDFISA.
    Thankfully, Fabian Wosar of Emsisoft came along and was able to continue to assist victims in recovering their files

    К счастью, Фабиан Восар из Emsisoft пришел и смог продолжать помогать жертвам в восстановлении их файлов.
    Then in 2013, CryptoLocker came and it took the computer security world by storm as massive malspam campaigns started pushing the ransomware installer. It wasn't until I made the connection that Zbot was distributing CryptoLocker and wrote about did I realize how much the ransomware developers were paying attention to what we were writing about.

    Затем, в 2013 году, появился CryptoLocker, и он покорил мир компьютерной безопасности, когда масштабные кампании по распространению вредоносного ПО начали подталкивать установщика вымогателей. Только когда я установил связь, Zbot распространял CryptoLocker и написал о ней, я понял, насколько разработчики вымогателей обращали внимание на то, о чем мы пишем.
    As ransomware grew, BleepingComputer began publishing our weekly "Week in Ransomware" articles and started working with independent security researchers and those from security companies such as Emsisoft, Kaspersky, Intel, McAfee, ESET, Malwarebytes, Avast, GData, and many more in a common goal to help victims stay informed and receive help.

    По мере роста вымогателей BleepingComputer начал публиковать наши еженедельные статьи «Неделя в вымогателях» и начал сотрудничать с независимыми исследователями в области безопасности, а также с такими компаниями, как Emsisoft, Kaspersky, Intel, McAfee, ESET, Malwarebytes, Avast, GData и многими другими. общая цель - помочь пострадавшим быть в курсе событий и получать помощь.
    It wasn't until TeslaCrypt, though, that I saw the amazing community built at BleepingComputer really came together. Utilizing BloodDolly's tool TeslaDecoder, members of our community volunteered their time and CPU cycles in a 148 page forum topic devoted to factoring hundreds, if not thousands, of victim's decryption keys so that they could get their files back for free.

    Однако с момента как появился TeslaCrypt, я увидел, что удивительное сообщество, созданное на BleepingComputer, действительно собралось вместе. Используя инструмент BloodDolly TeslaDecoder, члены нашего сообщества добровольно посвятили свое время и циклы ЦП теме форума на 148 страницах, посвященной факторизации сотен, если не тысяч, ключей шифрования жертвы, чтобы они могли получить свои файлы обратно бесплатно.
    Ransomware developers also started to come to BleepingComputer to release their master decryption keys when they abandoned their ransomware or switched to a new variant. The release of these keys have enabled the creation of numerous decryptors for Crysis, AES-NI, XData, DXXD, Dharma, and more.

    Разработчики Ransomware также начали приходить к BleepingComputer, чтобы выпустить свои главные ключи дешифрования, когда они отказались от своего вымогателя или переключились на новый вариант. Выпуск этих ключей позволил создать множество расшифровщиков для Crysis, AES-NI, XData, DXXD, Dharma и многих других.
    While ransomware has slowly switched from malspam campaigns to more directed attacks, this type of infection is still a major problems for its victims.

    With that said, we will continue to help ransomware victims in need and look forward to working with No More Ransom and its partners until this threat no longer exists!

    В то время как вымогатели постепенно переключались с кампаний по рассылке спама на более направленные атаки, этот тип инфекции по-прежнему является серьезной проблемой для его жертв.

    С учетом сказанного мы будем продолжать помогать жертвам вымогателей и с нетерпением ждем возможности работать с No More Ransom и его партнерами, пока эта угроза не исчезнет!

    https://www.bleepingcomputer.com/announcement/bleepingcomputer/bleepingcomputercom-is-now-a-partner-with-no-more-ransom/
  • отредактировано 22 Jan PM
    Updated the decrypter for STOP Djvu #Ransomware ONLY FOR OFFLINE ID "D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB" | https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-suspended-yourdatarestore-txt-support-topic/page-31#entry4673086



    p.s. работает дешифратор для STOP/rumba в случае офлайн-шифрования.

    a3upwy5hdkqb.jpg
    Selected directory: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\_files\uvs_doc
    Starting decryption...

    [+] File: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\_files\uvs_doc\AHCI.txt.rumba
    [+] Decrypted: G:\DATA\shifr\encode_files\STOP\rumba\80my_test\_files\uvs_doc\AHCI.txt
    .......
    Decrypted 14 files!
  • отредактировано 19 Feb PM
    +
    Bitdefender #decryption tool now also supports #GandCrab versions 5.04 - 5.1 https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/


    Today we’re happy to announce that our collaboration with the Romanian Police, Europol and other law enforcement agencies has yielded another new decryptor for all GandCrab ransomware versions released since October 2018.

    If you need to decrypt versions 1, 4 and up through 5.1, then download and run our brand new tool:

    Сегодня мы рады сообщить, что наше сотрудничество с румынской полицией, Европолом и другими правоохранительными органами привело к появлению еще одного нового расшифровщика для всех версий GandCrab Ransomware, выпущенных с октября 2018 года.

    Если вам нужно расшифровать версии 1, 4 и выше до 5.1, загрузите и запустите наш новый инструмент:

    0fgparskxgxd.jpg

    https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
    https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

    примеры дешифровки:
    5.03:
    ---= GANDCRAB V5.0.3 =---

    ***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****

    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .MVKDAYY
    https://app.any.run/tasks/3a318c39-36d4-45e2-9477-009570b964ab
    Decryptor Started at Tue Feb 19 20:24:27 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.03\10\encode\MVKDAYY-DECRYPT.txt]
    Looking for VERSION ... [V5]
    Looking for EXT ... [.mvkdayy]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [OK]

    Decrypt Files ...

    Decrypt [ 8] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\filezilla.xml.mvkdayy] ... [OK]
    Decrypt [ 9] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\layout.xml.mvkdayy] ... [OK]
    Decrypt [ 10] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\NoMail.xml.mvkdayy] ... [OK]
    Decrypt [ 11] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\pkcs11.txt.mvkdayy] ... [OK]
    Decrypt [ 12] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\revocations.txt.mvkdayy] ... [OK]
    Decrypt [ 13] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\SiteSecurityServiceState.txt.mvkdayy] ... [OK]
    Decrypt [ 14] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\sonar_policy.xml.mvkdayy] ... [OK]
    Decrypt [ 15] [G:\DATA\shifr\encode_files\GandCrab\5.03\10\test.xml.mvkdayy] ... [OK]

    Total decrypted files: [16]

    Scan finished!

    Total decrypted files: [16]

    Scan finished!

    5.04
    ---= GANDCRAB V5.0.4 =---

    ***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .WZRDMCGL
    https://app.any.run/tasks/fe7d7c84-8a88-4007-9f26-d1bc2c47f45b
    Decryptor Started at Tue Feb 19 20:19:07 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.04\10\WZRDMCGL-DECRYPT.txt]
    Looking for VERSION ... [V5]
    Looking for EXT ... [.wzrdmcgl]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [OK]

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\Black board.xml.wzrdmcgl] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\filezilla.xml.wzrdmcgl] ... [OK]
    Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\layout.xml.wzrdmcgl] ... [OK]
    Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\NoMail.xml.wzrdmcgl] ... [OK]
    Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\Outlook.xml.wzrdmcgl] ... [OK]
    Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\queue.sqlite3.wzrdmcgl] ... [OK]
    Decrypt [ 6] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\sonar_policy.xml.wzrdmcgl] ... [OK]
    Decrypt [ 7] [G:\DATA\shifr\encode_files\GandCrab\5.04\10\times.json.wzrdmcgl] ... [OK]

    Total decrypted files: [8]

    Scan finished!
    5.1
    ---= GANDCRAB V5.1 =---

    ***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .MKPZNULUVY
    https://app.any.run/tasks/06c954e0-57ce-45d6-9db8-35f925383194
    Decryptor Started at Tue Feb 19 20:37:33 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.1\20\MKPZNULUVY-DECRYPT.txt]
    Looking for VERSION ... [V5]
    Looking for EXT ... [.mkpznuluvy]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [OK]

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\000017.log.mkpznuluvy] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\ContentStore.xml.mkpznuluvy] ... [OK]
    Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\filezilla.xml.mkpznuluvy] ... [OK]
    Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\layout.xml.mkpznuluvy] ... [OK]
    Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\Outlook.xml.mkpznuluvy] ... [OK]
    Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\queue.sqlite3.mkpznuluvy] ... [OK]
    Decrypt [ 6] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\sonar_policy.xml.mkpznuluvy] ... [OK]
    Decrypt [ 7] [G:\DATA\shifr\encode_files\GandCrab\5.1\20\tracking.log.mkpznuluvy] ... [OK]

    Total decrypted files: [8]

    Scan finished!

    Total decrypted files: [8]

    Scan finished!
  • отредактировано 20 Feb PM
    GandCrab Decrypter Available for v5.1, New Variant Already Out
    A free file decryption tool is available for users whose computers got infected with the latest confirmed versions of GandCrab. It can unlock data encrypted by versions 4 through 5.1 of the malware, and some earlier releases of the threat.

    Для пользователей, чьи компьютеры были заражены последними подтвержденными версиями GandCrab, доступен бесплатный инструмент для расшифровки файлов. Он может разблокировать данные, зашифрованные версиями вредоносного ПО с версий 4 по 5.1, и некоторыми более ранними выпусками угрозы.

    https://www.bleepingcomputer.com/news/security/gandcrab-decrypter-available-for-v51-new-variant-already-out/
    Here comes the moment everybody has been waiting for. We have just released a new decryptor that solves for versions 1, 4, and 5.0.1 through 5.1. Download the tool and get your data back.

    +
    примеры расшифровки:
    5.02
    ---= GANDCRAB V5.0.2 =---



    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .WRVOQVIPR

    https://app.any.run/tasks/cbbf63ef-347f-4320-aebf-58aa240a2d2a
    ecryptor Started at Tue Feb 19 22:08:03 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.02\10\WRVOQVIPR-DECRYPT.txt]
    Looking for VERSION ... [V5]
    Looking for EXT ... [.wrvoqvipr]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [OK]

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\filezilla.xml.wrvoqvipr] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\layout.xml.wrvoqvipr] ... [OK]
    Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\NoMail.xml.wrvoqvipr] ... [OK]
    Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\Outlook.xml.wrvoqvipr] ... [OK]
    Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\queue.sqlite3.wrvoqvipr] ... [OK]
    Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\5.02\10\sonar_policy.xml.wrvoqvipr] ... [OK]

    Total decrypted files: [6]

    Scan finished!

    5.0
    ---= GANDCRAB V5.0 =---



    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .YQOAP
    https://app.any.run/tasks/a0456fee-bf41-4b9f-9754-2416ccc32e01
    Decryptor Started at Tue Feb 19 22:15:38 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.0\10\YQOAP-DECRYPT.txt]
    Looking for VERSION ... [V5]
    Looking for EXT ... [.yqoap]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [OK]

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\filezilla.xml.yqoap] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\layout.xml.yqoap] ... [OK]
    Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\NoMail.xml.yqoap] ... [OK]
    Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\Outlook.xml.yqoap] ... [OK]
    Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\5.0\10\sonar_policy.xml.yqoap] ... [OK]

    Total decrypted files: [5]

    Scan finished!

    Total decrypted files: [5]

    Scan finished!
    ---= GANDCRAB V4 =---



    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB
    https://app.any.run/tasks/2eb04895-8649-45be-8bd1-39a5b4285ff8
    Decryptor Started at Tue Feb 19 22:26:06 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\v4\10\KRAB-DECRYPT.txt]
    Looking for VERSION ... [V4]
    Looking for EXT ... [.krab]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [OK]

    Decrypt Files ...

    Decrypt [ 0] [G:\DATA\shifr\encode_files\GandCrab\v4\10\filezilla.xml.KRAB] ... [OK]
    Decrypt [ 1] [G:\DATA\shifr\encode_files\GandCrab\v4\10\layout.xml.KRAB] ... [OK]
    Decrypt [ 2] [G:\DATA\shifr\encode_files\GandCrab\v4\10\Outlook.xml.KRAB] ... [OK]
    Decrypt [ 3] [G:\DATA\shifr\encode_files\GandCrab\v4\10\prefs.js.KRAB] ... [OK]
    Decrypt [ 4] [G:\DATA\shifr\encode_files\GandCrab\v4\10\recentservers.xml.KRAB] ... [OK]
    Decrypt [ 5] [G:\DATA\shifr\encode_files\GandCrab\v4\10\sonar_policy.xml.KRAB] ... [OK]

    Total decrypted files: [6]

    Scan finished!

    Total decrypted files: [6]

    Scan finished!

    для актуальной версии GandCrab 5.2 текущее решение не работает.
    (возможно, это вопрос времени.)
    ---= GANDCRAB V5.2 =---

    ***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .GSTDMCUTBY
    Decryptor Started at Wed Feb 20 14:39:43 2019


    Looking for ransom note ... [G:\DATA\shifr\encode_files\GandCrab\5.2\10\GSTDMCUTBY-DECRYPT.txt]
    Looking for VERSION ... [V5]
    Looking for EXT ... [.gstdmcutby]
    Looking for ID ... [OK]
    Looking for decryption KEY ... [FAIL:KEY]
    [ERR:Init]

    Total decrypted files: [0]


  • отредактировано 14 Mar PM
    +
    Added some new OFFLINE keys to decrypter for #STOP #DJVU #Ransomware for OFFLINE IDs "cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1" (.promoz, .promok, and .promorad), and "TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1" (.promok). | https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/#entry4732583



    Update 03/07/19:
    STOPDecrypter has been updated to include support for the promoz, .promock, .promorad variants if you were hit by the OFFLINE KEY -
    "cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1"
    - and support for the .promok variant if you were hit by the OFFLINE KEY -
    "TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1"
    - as explained in Post #1200. As of now there are four OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.

    Update 03/11/19:
    STOPDecrypter has been updated to include support for the .promorad2 variant if you were hit by the OFFLINE KEY -
    "0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1"
    as explained in Post #1251. As of now there are five OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.


    +
    Update 03/13/19:
    STOPDecrypter has been updated to include support for the .kroput variant if you were hit by the OFFLINE KEY -
    "upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1"
    as explained in Post #1305. As of now there are six OFFLINE KEYs (hard-coded keys) embedded in the decrypter tool.



    https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/
  • отредактировано 18 Mar PM

    подробнее о STOP Ransomware:
    ➤ Специалисты Dr.Web расшифровали в частном порядке файлы, зашифрованные некоторыми вариантами этого Ransomware. Публичного дешифровщика от Dr.Web нет.
    ➤ Специалист по шифровальщикам Майкл Джиллеспи (США) сумел создать свой дешифратор для некоторых версий и вариантов STOP (puma, djvu, pdff, tro, tfude, rumba и прочих), когда шифровальщик использует для шифрования оффлайн-ключ.

    https://id-ransomware.blogspot.com/2017/12/stop-ransomware.html
    +
    еще детальные ответы от разработчика дешифратора:
    Вопрос №12: Что такое OFFLINE-ключ и как мне получить его?
    Краткий ответ: OFFLINE-ключ - это жестко закодированный ключ.
    Подробный ответ: Когда шифровальщик запустится, у него есть определенный сервер, с которым он пытается установить связь (у каждого варианта есть свой сервер или другой путь, который он запрашивает). Этот "онлайн-ключ" уникален для каждой жертвы и пока нет способа воспроизвести этот ключ. Если шифровальщик не может связаться с сервером, например, из-за проблем с сетью, или время ответа сервера истекло, или произошла ошибка, то шифровальщик после нескольких попыток (обычно, 4-х) прибегнет к жестко закодированному ключу - этот OFFLINE-ключ...

    https://decryptors.blogspot.com/2019/01/stop-djvu-decryption-add-data.html

    FAQ от разработчика дешифратора.
  • отредактировано 26 Mar PM
    +
    Updated #STOP #Ransomware decrypter (v 2.0.1.13) with a bunch of OFFLINE IDs/keys for extensions .kroput1, .charck, .kropun, .doples, .luces, .luceq, .chech, .pulsar1, and .proden.


    Update 03/25/19:
    STOPDecrypter has been updated to include support for the following variants if hit by the applicable OFFLINE KEY as explained in Post #1482.
    .kroput1 OFFLINE ID - "upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1"
    .charck OFFLINE ID - "neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1"
    .kropun OFFLINE ID - "0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1"
    .doples, .luces, .luceq, .chech OFFLINE ID - "rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1"
    .pulsar1 OFFLINE ID - "AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1"
    .proden OFFLINE ID - "abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1"quote]
  • отредактировано 18 Apr PM
    +
    Updated #STOP #Djvu #Ransomware decrypter to version 2.0.2.2 with 2 new OFFLINE IDs for extensions .drume, .tronas, .trosak, and .grovas - https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-support-topic/?p=4751758


    Update 03/28/19:
    STOPDecrypter has been updated to include support to include support for the following variants if hit by the applicable OFFLINE KEY as explained in Post #1580.
    .drume, .tronas, .trosak - "dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1"
    .grovas - "sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1"
    +
    Update (to version 2.0.2.3) 04/09/19:
    STOPDecrypter updated to include support with 2 new OFFLINE keys for the following variants as explained in Post #1759.
    .grovat, .raldug - "vElBnRCjG17HPbVSb8mw2WKW8uIBUDp5gbuiZat1"
    .roland - "R11Dxz37SHHVuv5otlFtzJiXUIPwPzmP6gV8gmv9"

    все известные OFFLINE ключи на текущий момент:
    6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0 - .djvu* variants, .promos
    D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VBb - .rumba
    cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1 - .promoz, .promock, .promorad
    TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1 - .promok
    0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1 - .promorad2
    upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1 - .kroput1
    neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1 - .charck
    0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1 - .kropun
    rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1 - .doples, .luces, .luceq, .chech
    AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1 - .pulsar1
    abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1 - .proden
    dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1 - .drume, .tronas, .trosak
    sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1 - .grovas
    vElBnRCjG17HPbVSb8mw2WKW8uIBUDp5gbuiZat1 - .grovat, .raldug
    R11Dxz37SHHVuv5otlFtzJiXUIPwPzmP6gV8gmv9 - .roland





Войдите или Зарегистрируйтесь чтобы комментировать.