Ми підтримуємо браузери, а не динозаврів. Оновіть браузер для коректного відображення вмісту сторінки.

Безкоштовні засоби дешифрування результатів роботи програм-вимагачів

Ваші файли зашифрувала програма-вимагач? Не платіть викуп!

Наші безкоштовні засоби дешифрування можуть допомогти дешифрувати файли, зашифровані переліченими нижче типами програм-вимагачів. Клацніть назву програми, щоб переглянути ознаки зараження та усунути проблему.

Хочете запобігти атакам програм-вимагачів?

Завантажте Avast Free Antivirus.

AES_NI

AES_NI — це програма-вимагач, вперше помічена в грудні 2016 року. Відтоді з’явилося кілька її варіантів із різними файловими розширеннями. Ця програма-вимагач використовує для шифрування файлів алгоритм AES-256 у поєднанні з RSA-2048.

Зміни в назві файлу.

Програма-вимагач додає до зашифрованих файлів одне з таких розширень:
.aes_ni
.aes256
.aes_ni_0day

У кожній папці з принаймні одним зашифрованим файлом міститься файл !!! READ THIS - IMPORTANT !!!.txt. Крім того, програма-вимагач створює файл ключа з назвою на кшталт [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day у папці C:\ProgramData.

Вимога викупу.

Файл !!! READ THIS - IMPORTANT !!!.txt містить вимогу викупу такого змісту:

+

Завантажити засіб для видалення AES_NI

Alcatraz Locker

Alcatraz Locker — одна з програм-вимагачів, уперше помічена в середині листопада 2016 р. Для шифрування файлів користувача вона використовує шифрування стандарту AES 256 в поєднанні з кодуванням Base64.

Зміни в назві файлу.

Зашифровані файли мають розширення .Alcatraz.

Вимога викупу.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою ransomed.html на робочому столі:

+

Якщо ваші файли зашифровані програмою Alcatraz Locker, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення Alcatraz Locker

Apocalypse

Apocalypse — це програма-вимагач, уперше помічена в червні 2016 р. Ознаки зараження такі.

Зміни в назві файлу.

Програма Apocalypse додає в кінці назви файлу такий текст: .encrypted, .FuckYourData, .locked, .Encryptedfile або .SecureCrypted (наприклад, Thesis.doc = Thesis.doc.locked).

Вимога викупу.

Якщо відкрити файл із розширенням .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt або .Where_my_files.txt (наприклад, Thesis.doc.How_To_Decrypt.txt), відобразиться приблизно таке повідомлення:

Завантажити засіб для видалення Apocalypse Завантажити засіб для видалення ApocalypseVM

BadBlock

BadBlock — це програма-вимагач, уперше помічена в травні 2016 р. Ознаки зараження такі.

Зміни в назві файлу.

Програма BadBlock не змінює назви файлів.

Вимога викупу.

Коли файли зашифровано, програма BadBlock відображає одне з таких повідомлень (з файлу з назвою Help Decrypt.html):

+ +

Якщо ваші файли зашифровано програмою BadBlock, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення BadBlock для 32-розрядної версії Windows Завантажити засіб для видалення BadBlock для 64-розрядної версії Windows

Bart

Bart — це програма-вимагач, уперше помічена наприкінці червня 2016 р. Ознаки зараження такі.

Зміни в назві файлу.

Програма Bart додає в кінець назви файлу текст .bart.zip (наприклад, Thesis.doc = Thesis.docx.bart.zip). Це зашифровані архіви ZIP, у яких зберігаються оригінали файлів.

Вимога викупу.

Коли файли зашифровано, програма Bart змінює фоновий рисунок робочого стола на одне з таких зображень. Про зараження комп’ютера програмою Bart свідчить також наведений нижче текст, що міститься у файлах робочого стола з назвою recover.bmp і recover.txt.

+

Якщо ваші файли зашифровано програмою Bart, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Подяка. Дякуємо Петеру Конраду (Peter Conrad), що створив PkCrack, який надав нам дозвіл на використання своєї бібліотеки в засобі дешифрування Bart.

Завантажити засіб для видалення Bart

BigBobRoss

BigBobRoss використовує алгоритм AES128 для шифрування файлів користувача. Зашифровані файли отримують розширення .obfuscated, додане в кінці назви файлу.

Зміни в назві файлу.

Програма-вимагач додає таке розширення: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Програма-вимагач також створює в кожній папці текстовий файл із назвою Read Me.txt. Вміст файлу показано нижче.

+

Завантажити засіб для видалення BigBobRoss

BTCWare

BTCWare — це програма-вимагач, вперше помічена в березні 2017 року. Відтоді помічено п’ять варіантів, які відрізняються розширенням зашифрованих файлів. Програма-вимагач використовує два різних методи шифрування: RC4 й AES 192.

Зміни в назві файлу.

Назви зашифрованих файлів мають такий формат:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Окрім цього, на комп’ютері з’являється один із зазначених нижче файлів.
Key.dat в %ІМ’Я КОРИСТУВАЧА%\Робочий стіл

1.bmp в %ІМ’Я КОРИСТУВАЧА%\AppData\Roaming
#_README_#.inf або !#_DECRYPT_#!.inf у кожній папці з принаймні одним зашифрованим файлом.

Вимога викупу.

Після шифрування файлів фон робочого стола змінюється на такий:

+
Можна також побачити одне з таких повідомлень:
+ +

Завантажити засіб для видалення BTCWare

Crypt888

Crypt888 (або Mircop) — це програма-вимагач, уперше помічена в червні 2016 р. Ознаки зараження такі.

Зміни в назві файлу.

Crypt888 додає в початок імені файлу текст Lock. (наприклад, файл Thesis.doc перейменовується на Lock.Thesis.doc).

Вимога викупу.

Коли файли зашифровано, програма Crypt888 змінює фоновий рисунок робочого стола на одне з таких зображень.

+ + + + + + +

Якщо ваші файли зашифровано програмою Crypt888, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення Crypt888

CryptoMix (автономна версія)

CryptoMix (або CryptFile2 чи Zeta) — це програма-вимагач, вперше помічена в березні 2016 року. На початку 2017 року з’явився новий варіант CryptoMix під назвою CryptoShield. Обидва варіанти використовують метод шифрування файлів AES256 у поєднанні з унікальним ключем шифрування, який завантажується з віддаленого сервера. Утім, якщо сервер недоступний, або користувач не підключений до Інтернету, програма-вимагач зашифрує файли за допомогою фіксованого ключа («офлайн-ключ»).

Важливо. Цей засіб дешифрування сумісний тільки з файлами, зашифрованими за допомогою «офлайн-ключа». Якщо файли не було зашифровано за допомогою офлайн-ключа, наш засіб не зможе відновити файли й модифікація файлів не буде виконана.
Оновлення від 21.07.2017. Засіб для дешифрування оновлено. Тепер він працює з версією Mole.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl або .MOLE.

Вимога викупу.

Коли файли зашифровано, на комп’ютері можна знайти такі файли:

+ + + + +

Якщо ваші файли зашифровано програмою CryptoMix, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення CryptoMix

CrySiS

CrySiS (або JohnyCryptor, Virus-Encode, Aura, Dharma) — це одна з програм-вимагачів, уперше помічена у вересні 2015 року. Вона використовує алгоритм AES-256 у поєднанні з асиметричним шифруванням RSA-1024.

Зміни в назві файлу.

Зашифровані файли можуть мати різні розширення, як-от:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Вимога викупу.

Коли файли зашифровано, з’являється одне із зазначених далі повідомлень. Повідомлення міститься у файлі Decryption instructions.txt, Decryptions instructions.txt, README.txt, Readme to restore your files.txt або HOW TO DECRYPT YOUR DATA.txt на робочому столі користувача. Фон робочого стола також змінюється на одне із зображень, указаних нижче.

+ + + + + + + + + + +

Якщо ваші файли зашифровано програмою CrySiS, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення CrySiS

EncrypTile

EncrypTile — програма-вимагач, уперше помічена в листопаді 2016 року. За півроку ми зіткнулись із кінцевою версією цієї програми-вимагача. Вона використовує шифрування AES-128 за допомогою єдиного ключа для певного ПК і користувача.

Зміни в назві файлу.

Програма-вимагач додає до назви файлу слово «encrypTile»:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Програма-вимагач також створює на робочому столі чотири нових файли. Їхні назви локалізуються. Далі наведено варіант англійською мовою.

+
Вимога викупу.
+ +
Як запустити дешифратор

Під час своєї роботи програма-вимагач активно перешкоджає запуску користувачем будь-яких засобів, які потенційно можуть її видалити. Детальні інструкції із запуску дешифратора, якщо на комп’ютері працює програма-вимагач, див. в публікації в блозі.

Завантажити засіб для видалення EncrypTile

FindZip

FindZip — одна з програм-вимагачів, уперше помічена в кінці лютого 2017 року. Ця програма-вимагач застосовується для Mac OS X (версії 10.11 або новішої). Шифрування побудовано на створенні файлів ZIP. Кожен зашифрований файл — це ZIP-архів із вихідним документом.

Зміни в назві файлу.

Зашифровані файли мають розширення .crypt.

Вимога викупу.

Після шифрування файлів на робочому столі з’являється кілька нових файлів із назвами на кшталт DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Вони однакові та містять таке текстове повідомлення:

+

Особливість. Оскільки дешифратори AVAST — програми для ОС Windows, для Mac необхідно встановити емулятор (WINE, CrossOver). Докладніші відомості див. в нашій публікації в блозі.

Якщо ваші файли зашифровано програмою Globe, клацніть тут, щоб завантажити безкоштовну програму для усунення проблеми.

Завантажити засіб для видалення FindZip

Fonix

Програма-вимагач Fonix поширювалася з червня 2020 р. Вона написана на C++ і використовує схему шифрування з трьома ключами (основний ключ RSA-4096, ключ сеансу RSA-2048, 256-розрядний ключ файлу для шифрування SALSA/ChaCha). У лютому 2021 р. розробники цієї програми-вимагача припинили свою діяльність та опублікували основний ключ RSA, за допомогою якого можна безкоштовно дешифрувати файли.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення:
.FONIX
.XINOF

Вимога викупу.

Зашифрувавши файли на пристрої, програма-вимагач відображає такий екран:

+

Якщо ваші файли зашифровано програмою Fonix, клацніть тут, щоб завантажити безкоштовний засіб для усунення проблеми.

Завантажити засіб для видалення Fonix

GandCrab

GandCrab — одна з найпоширеніших програм-вимагачів у 2018 році. 17 жовтня 2018 року її розробники опублікували 997 ключів для жертв із Сирії. Крім того, у липні 2018 р. ФБР опублікувало основні ключі дешифрування для версій 4-5.2. Ця версія дешифратора використовує всі ці ключі й може безкоштовно дешифрувати файли.

Зміни в назві файлу.

Програма-вимагач додає кілька файлових розширень:
.GDCB
.CRAB
.KRAB
.%ВипадковіЛітери%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (випадкові літери)

Вимога викупу.

Програма-вимагач також створює в кожній папці текстовий файл із назвою GDCB-DECRYPT.txt, CRAB-DECRYPT.txt, KRAB_DECRYPT.txt, %ВипадковіЛітери%-DECRYPT.txt або %ВипадковіЛітери%-MANUAL.txt. Вміст файлу показано нижче.

+ +

Останні версії програми також можуть установлювати таке зображення як фон робочого стола користувача:

+

Завантажити засіб для видалення GandCrab

Globe

Globe — одна з програм-вимагачів, уперше помічена в серпні 2016 року. Вона використовує метод шифрування RC4 або Blowfish. Ознаки зараження такі.

Зміни в назві файлу.

Програма Globe додає одне з таких розширень до назви файлу: .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .zendrz, .zendr[0-9], або .hnyear. До того ж, деякі версії програми можуть зашифрувати саму назву файлу.

Вимога викупу.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою How to restore files.hta або Read Me Please.hta:

+ + +

Якщо ваші файли зашифровано програмою Globe, клацніть тут, щоб завантажити безкоштовну програму для усунення проблеми.

Завантажити засіб для видалення Globe

HiddenTear

HiddenTear — одна з перших програм-вимагачів із відкритим кодом, розміщена на GitHub. Дата її появи — серпень 2015 року. Відтоді шахраї, використовуючи оригінальний початковий код, створили сотні варіантів HiddenTear. HiddenTear використовує метод шифрування AES.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення (але можливі й інші варіанти): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Вимога викупу.

Коли файли зашифровано, на робочому столі з’являється текстовий файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Різні варіанти також відображають вимогу викупу:

+ + + +

Якщо ваші файли зашифровано програмою HiddenTear, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення HiddenTear

Jigsaw

Jigsaw — це одна з програм-вимагачів, вперше помічена в березні 2016 року. Вона отримала свою назву на честь персонажа фільму — серійного вбивці на прізвисько «Пила» (Jigsaw). Деякі варіанти цієї програми використовують зображення вбивці у повідомленні про викуп.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org або .gefickt.

Вимога викупу.

Коли файли зашифровано, з’являється один із зображених нижче екранів:

+ + + + + +

Якщо ваші файли зашифровано програмою Jigsaw, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Jigsaw

LambdaLocker

LambdaLocker — це програма-вимагач, уперше помічена в травні 2017 року. Вона написана мовою програмування Python, і найпоширеніший наразі її варіант можна дешифрувати.

Зміни в назві файлу.

Програма-вимагач додає до назви файлу розширення MyChemicalRomance4EVER:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


Програма-вимагач також створює на робочому столі користувача файл із назвою UNLOCK_guiDE.txt. Вміст файлу показано нижче.

+

Завантажити засіб для видалення LambdaLocker

Legion

Legion — це програма-вимагач, уперше помічена в червні 2016 р. Ознаки зараження такі.

Зміни в назві файлу.

Програма Legion додає в кінці назви файлу текст на кшталт: ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion або .$centurion_legion@aol.com$.cbf, (наприклад, файл Thesis.doc перейменовується на Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Вимога викупу.

Коли файли зашифровано, програма Legion змінює фоновий рисунок робочого стола та відображає таке спливаюче повідомлення:

+

Якщо ваші файли зашифровано програмою Legion, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення Legion

NoobCrypt

NoobCrypt — одна з програм-вимагачів, уперше помічена наприкінці липня 2016 року. Для шифрування файлів користувача вона використовує шифрування стандарту AES 256.

Зміни в назві файлу.

Програма NoobCrypt не змінює назви файлів. Утім, зашифровані файли не можна відкрити за допомогою програм за замовчуванням.

Вимога викупу.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою ransomed.html на робочому столі:

+ +

Якщо ваші файли зашифровано програмою NoobCrypt, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення NoobCrypt

Stampado

Stampado — це програма-вимагач, створена за допомогою скрипту AutoIt. Вона була вперше помічена в серпні 2016 року. Програма продається в глибинній мережі (Dark Web), і нові варіанти продовжують з’являтися. Одна з версій називається Philadelphia.

Зміни в назві файлу.

Stampado додає розширення .locked до зашифрованих файлів. Деякі варіанти також зашифровують саму назву файлу, тому його назва може виглядати як document.docx.locked або 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Вимога викупу.

Після завершення шифрування з’являється такий екран:

+ +

Якщо ваші файли зашифровано програмою Stampado, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Stampado

SZFLocker

SZFLocker — це програма-вимагач, уперше помічена в травні 2016 р. Ознаки зараження такі.

Зміни в назві файлу.

Програма SZFLocker додає в кінець назви файлу текст .szf (наприклад, Thesis.doc = Thesis.doc.szf).

Вимога викупу.

У разі спроби відкрити зашифрований файл програма SZFLocker відображає таке повідомлення польською мовою:

+

Якщо ваші файли зашифровано програмою SZFLocker, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення SZFLocker

TeslaCrypt

TeslaCrypt — це програма-вимагач, уперше помічена в лютому 2015 р. Ознаки зараження такі.

Зміни в назві файлу.

Остання версія програми TeslaCrypt не змінює назви файлів.

Вимога викупу.

Коли файли зашифровано, програма TeslaCrypt відображає одне з таких повідомлень:

+

Якщо ваші файли зашифровано програмою TeslaCrypt, клацніть тут, щоб завантажити безкоштовну програму для усунення цієї проблеми.

Завантажити засіб для видалення TeslaCrypt

Troldesh / Shade

Troldesh (або Shade чи Encoder.858) — одна з програм-вимагачів, що поширювалася з 2016 р. Наприкінці квітня 2020 р. розробники припинили свою діяльність та опублікували ключі, за допомогою яких можна безкоштовно дешифрувати файли.
Детальніша інформація: https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Вимога викупу.

Після шифрування файлів на робочому столі з’являється кілька нових файлів із назвами від README1.txt до README10.txt. Вони містять такий текст різними мовами:

+

Робочий стіл користувача також змінюється й має такий вигляд, як показано на зображенні нижче.

+

Якщо ваші файли зашифровано програмою Troldesh, клацніть тут, щоб завантажити безкоштовний засіб для усунення проблеми.

Завантажити засіб для видалення Troldesh

XData

XData — одна з програм-вимагачів, яка виникла з AES_NI і, як WannaCry, використовує вразливість Eternal Blue, щоб поширюватися на інші машини.

Зміни в назві файлу.

Програма-вимагач додає до зашифрованих файлів розширення .~xdata~.

У кожній папці з принаймні одним зашифрованим файлом міститься файл HOW_CAN_I_DECRYPT_MY_FILES.txt. Крім того, програма-вимагач створює файл ключа з назвою на кшталт

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ в папках, зазначених нижче.

• C:\

• C:\ProgramData

• Робочий стіл

Вимога викупу.

Файл HOW_CAN_I_DECRYPT_MY_FILES.txt містить повідомлення такого змісту:

+

Завантажити засіб для видалення XData

Chrome browser logo

Avast рекомендує використовувати
БЕЗКОШТОВНИЙ браузер Chrome™.