Безкоштовні засоби дешифрування результатів роботи програм-вимагачів

Постраждали від дій програм-вимагачів? Не платіть їм!

Щоб відновити файли, скористайтеся безкоштовними засобами дешифрування результатів роботи програм-вимагачів із переліку. Натисніть на назву програми, щоб переглянути ознаки зараження та позбутися їх.

Хочете запобігти атакам вимагачів?

Завантажте Avast Free Antivirus.

Alcatraz Locker

Alcatraz Locker — це одна з програм-вимагачів, вперше помічена в листопаді 2016 року. Ця програма-вимагач використовує метод шифрування файлів AES 256 у поєднанні з кодуванням Base64.

Зміни в назві файлу.

Зашифровані файли мають розширення .Alcatraz.

Повідомлення про викуп.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою «ransomed.html» на робочому столі:

+

Якщо ваші файли зашифровані програмою Alcatraz Locker, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Alcatraz Locker

Apocalypse

Apocalypse — це одна з програм-вимагачів, вперше помічена в червні 2016 року. Ознаки зараження такі.

Зміни в назві файлу.

Програма Apocalypse додає в кінці назви файлу такий текст: .encrypted, .FuckYourData, .locked, .Encryptedfile або .SecureCrypted (наприклад, Thesis.doc = Thesis.doc.locked).

Повідомлення про викуп.

Якщо відкрити файл із розширенням .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt або .Where_my_files.txt (наприклад, Thesis.doc.How_To_Decrypt.txt), відобразиться варіант такого повідомлення:

Завантажити засіб для видалення Apocalypse Завантажити засіб для видалення ApocalypseVM

BadBlock

BadBlock — це одна з програм-вимагачів, вперше помічена в травні 2016 року. Ознаки зараження такі.

Зміни в назві файлу.

Програма BadBlock не змінює назви файлів.

Повідомлення про викуп.

Коли файли зашифровано, програма BadBlock відображає одне з таких повідомлень (з файлу з назвою Help Decrypt.html):

+ +

Якщо ваші файли зашифровано програмою BadBlock, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення BadBlock для 32-бітної версії Windows Завантажити засіб для видалення BadBlock для 64-бітної версії Windows

Bart

Bart — це одна з програм-вимагачів, вперше помічена наприкінці червня 2016 року. Ознаки зараження такі.

Зміни в назві файлу.

Програма Bart додає в кінець назви файлу текст .bart.zip (наприклад, Thesis.doc = Thesis.docx.bart.zip). Це зашифровані архіви ZIP, у яких зберігаються оригінали файлів.

Повідомлення про викуп.

Коли файли зашифровано, програма Bart змінює фоновий рисунок робочого стола на одне з таких зображень. Про зараження комп’ютера програмою Bart свідчить також наведений нижче текст, що міститься у файлах робочого стола з назвою recover.bmp і recover.txt.

+

Якщо ваші файли зашифровано програмою Bart, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Подяка. Дякуємо Петеру Конраду (Peter Conrad), автору PkCrack, який надав нам дозвіл на використання своєї бібліотеки в засобі дешифрування Bart.

Завантажити засіб для видалення Bart

Crypt888

Crypt888 (або Mircop) — це одна з програм-вимагачів, вперше помічена в червні 2016 року. Ознаки зараження такі.

Зміни в назві файлу.

Програма Crypt888 додає текст Lock. на початку назви файлу (наприклад, Thesis.doc = Lock.Thesis.doc).

Повідомлення про викуп.

Коли файли зашифровано, програма Crypt888 змінює фоновий рисунок робочого стола на одне з таких зображень.

+ + + + + + +

Якщо ваші файли зашифровано програмою Crypt888, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Crypt888

CryptoMix (автономна версія)

CryptoMix (або CryptFile2 чи Zeta) — це програма-вимагач, вперше помічена в березні 2016 року. На початку 2017 року з’явився новий варіант CryptoMix під назвою CryptoShield. Обидва варіанти використовують метод шифрування файлів AES256 у поєднанні з унікальним ключем шифрування, який завантажується з віддаленого сервера. Утім, якщо сервер недоступний або користувач не підключений до Інтернету, програма-вимагач зашифрує файли за допомогою фіксованого ключа («офлайн-ключ»).

Важливо. Цей засіб дешифрування сумісний тільки з файлами, зашифрованими за допомогою «офлайн-ключа». Якщо файли не було зашифровано за допомогою офлайн-ключа, наш засіб не зможе відновити файли й модифікація файлів не буде виконана.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd або .rscl.

Повідомлення про викуп.

Коли файли зашифровано, на комп’ютері можна знайти такі файли:

+ + + +

Якщо ваші файли зашифровано програмою CryptoMix, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення CryptoMix

CrySiS

CrySiS (або JohnyCryptor, Virus-Encode, Aura) — це одна з програм-вимагачів, вперше помічена у вересні 2015 року. Ця програма використовує асиметричне шифрування AES256 у поєднанні з RSA1024.

Зміни в назві файлу.

Зашифровані файли можуть мати різне розширення, як-от:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl

Повідомлення про викуп.

Коли файли зашифровано, з’являється одне з зазначених далі повідомлень. Це повідомлення може міститись у файлах із назвою «Decryption instructions.txt», «Decryptions instructions.txt» або «*README.txt» на робочому столі.

+ + + + + + + +

Якщо ваші файли зашифровано програмою CrySiS, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення CrySiS

Globe

Globe — це одна з програм-вимагачів, вперше помічена в серпні 2016 року. Вона використовує метод шифрування RC4 або Blowfish. Ознаки зараження такі.

Зміни в назві файлу.

Програма Globe додає одне з таких розширень до назви файлу: .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .zendrz, .zendr[0-9] або .hnyear. До того ж, деякі версії програми можуть зашифрувати саму назву файлу.

Повідомлення про викуп.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою «How to restore files.hta» або «Read Me Please.hta»:

+ + +

Якщо ваші файли зашифровано програмою Globe, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Globe

HiddenTear

HiddenTear — одна з перших програм-вимагачів із відкритим кодом, розміщена на GitHub. Дата її появи — серпень 2015 року. Відтоді шахраї, використовуючи оригінальний початковий код, створили сотні варіантів HiddenTear. HiddenTear використовує метод шифрування AES.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення (але можливі й інші варіанти): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Повідомлення про викуп.

Коли файли зашифровано, на робочому столі з’являється текстовий файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Різні варіанти також відображають повідомлення про викуп:

+ + + +

Якщо ваші файли зашифровано програмою HiddenTear, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення HiddenTear

Jigsaw

Jigsaw — це одна з програм-вимагачів, вперше помічена в березні 2016 року. Вона отримала свою назву на честь персонажа фільму — серійного вбивці на прізвисько «Пила» (Jigsaw). Деякі варіанти цієї програми використовують зображення вбивці у повідомленні про викуп.

Зміни в назві файлу.

Зашифровані файли матимуть такі розширення: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org або .gefickt.

Повідомлення про викуп.

Коли файли зашифровано, з’являється один із зазначених екранів:

+ + + + + +

Якщо ваші файли зашифровано програмою Jigsaw, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Jigsaw

Legion

Legion — це одна з програм-вимагачів, вперше помічена в травні 2016 року. Ознаки зараження такі.

Зміни в назві файлу.

Програма Legion додає в кінці назви файлу такий текст: ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion або .$centurion_legion@aol.com$.cbf (наприклад, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Повідомлення про викуп.

Коли файли зашифровано, програма Legion змінює фоновий рисунок робочого стола та відображає таке спливаюче повідомлення:

+

Якщо ваші файли зашифровано програмою Legion, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Legion

NoobCrypt

NoobCrypt — це одна з програм-вимагачів, вперше помічена в липні 2016 року. Ця програма-вимагач використовує метод шифрування AES 256.

Зміни в назві файлу.

Програма NoobCrypt не змінює назви файлів. Утім, зашифровані файли не можна відкрити за допомогою програм за замовчуванням.

Повідомлення про викуп.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою «ransomed.html» на робочому столі:

+ +

Якщо ваші файли зашифровано програмою NoobCrypt, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення NoobCrypt

Stampado

Stampado — це програма-вимагач, створена за допомогою скрипту AutoIt. Вона була вперше помічена в серпні 2016 року. Програма продається в глибинній мережі (Dark Web), і нові варіанти продовжують з’являтися. Одна з версій називається Philadelphia.

Зміни в назві файлу.

Stampado додає розширення .locked до зашифрованих файлів. Деякі варіанти також зашифровують саму назву файлу, тому його назва може виглядати як document.docx.locked або 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Повідомлення про викуп.

Після завершення шифрування з’являється такий екран:

+ +

Якщо ваші файли зашифровано програмою Stampado, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення Stampado

SZFLocker

SZFLocker — це одна з програм-вимагачів, вперше помічена в травні 2016 року. Ознаки зараження такі.

Зміни в назві файлу.

Програма SZFLocker додає в кінець назви файлу текст .szf (наприклад, Thesis.doc = Thesis.doc.szf).

Повідомлення про викуп.

За спроби відкрити зашифрований файл, програма SZFLocker відображає таке повідомлення польською мовою:

+

Якщо ваші файли зашифровано програмою SZFLocker, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення SZFLocker

TeslaCrypt

TeslaCrypt — це одна з програм-вимагачів, вперше помічена в лютому 2015 року. Ознаки зараження такі.

Зміни в назві файлу.

Остання версія програми TeslaCrypt не змінює назви файлів.

Повідомлення про викуп.

Коли файли зашифровано, програма TeslaCrypt відображає одне з таких повідомлень:

+

Якщо ваші файли зашифровано програмою TeslaCrypt, клацніть тут, щоб завантажити безкоштовну програму для виправлення.

Завантажити засіб для видалення TeslaCrypt

Логотип браузера Chrome

Avast рекомендує використовувати
БЕЗКОШТОВНИЙ веб-браузер Chrome™.