Ransomware - fisiere criptate si cu extensie aleatoare gen - fhqkham

Pentru toti cei care au intalnit diverse versiuni de virusi de criptare ( sunt deja de ordinul zecilor/sutelor de variante ):

1. Daca nu aveti backup la fisiere, puteti urla cat vreti - sanse minime de decriptare - fisierele sunt pierdute probabil definitiv.
Puteti eventual sa le pastrati in speranta ( moare ultima ) ca va apare candva in viitor un decriptor ptr ele.
Gasiti mai jos ce a aparut pana acum.
2. In cazul in care decideti sa platiti, trebuie sa luati in calcul ca exista posibilitatea de a nu primi cheia de decriptare.
Au fost cazuri numeroase in care codul de criptare a fost gresit si nici autorul virusului nu a putut sa mai decripteze fisierele.

Identificarea tipului de virus de criptare - si eventuala recomandare ptr decriptare o puteti face folosind site-urile de mai jos ( Thanks stlk )
https://www.nomorera...pto-sheriff.php - contine si decriptoare
https://id-ransomwar...hunterteam.com/
https://labs.bitdefe...cognition-tool/


Linkuri pentru decriptoare cunoscute ( se mai adauga pe parcurs ):
- Ptr CoinVault si Bitcryptor https://noransom.kaspersky.com/
- Vesiune de decriptare - ptr CryptXXX
- Decriptare ptr Alpha Ransomware
- RakhniDecryptor - http://support.kaspe...infection/10556
- Rannoh, Cryakl, Crybola, AutoIt, CryptXXX - http://support.kaspe...sinfection/8547
- Rector - http://support.kaspe...sinfection/4264
- Scatter - http://support.kaspersky.com/11333
- Xorist, Vander - http://support.kaspe...sinfection/2911
- Scrapper ( TorLocker ) - http://support.kaspe...infection/11718
- TeslaCrypt (toate variantele).
- Variante decriptate de Emsisoft.
- Variante decriptate de AVG (Apocalypse, B a d B l o c k, Crypt888, Legion, SZFLocker, TeslaCrypt).
- Crysis - https://www.eset.com...load-utilities/ - dati scroll mai jos.
- WannaCrypt - http://www.bit-tech....ypts-wannacry/1  sau https://github.com/aguinet/wannakey - nota - ambele functioneaza doar daca nu ati dat restart la pc dupa virusare.
- Decriptoare TrendMicro - https://success.tren...-file-decryptor
- Puma Ransomware - http://www.pcrisk.co...puma-ransomware http://www.sensorste...ove-puma-virus/ http://www.2-spyware...ransomware.html
- McAfee Ransomware Recover (Mr2) - https://www.mcafee.c...decryption.html
- Emsisoft - Stop DjVU, sau alte extensii gen radman, ogdo, gero - https://www.emsisoft...tools/stop-djvu

In masura in care mai apar pe viitor si alte decriptoare se vor adauga la lista

__________________________________________________________________________________

Buna ziua,

Pe un sistem care a fost virusat cu un troian si ulterior devirusat, toate fisierele au mai capatat o extensie ciudata in plus : nwdsfs. Desi am sters acest sir de caractere, fisierele nu pot fi deschise. Cum s-ar putea recupera aceste fisiere ?

Va multumesc.

Edited by eiffel, 13 May 2021 - 10:13.
Update linkuri de identificare.

Daca e o forma de CTB-spamspamspamspam(ransomware), chiar acum am un laptop de "puricat". Sincer...nu prea vad o salvare(decriptare) la fisierele respective. Cum afli daca este asa ceva? Wallpaper-ul este un mesaj cu detalii unde sa faci plata.

Edited by pustiux, 20 January 2015 - 12:37.

OClaudiu, on 20 ianuarie 2015 - 12:14, said:

Fisierele respective au fost criptate. Degeaba stergi extensia suplimentara, informatia din fisiere este criptata si imposibil de folosit pana la decriptare.

Asta e "minunea"...inca scaneaza...

De principiu, iti iei adio de la ele, sau platesti banii.
Criptarea e imposibil de spart fara codul sursa al programului de criptare, ca sa-ti faci un decriptor.

Banuiesc ca daca erau importante aveai si backup la ele.

Edited by eiffel, 20 January 2015 - 14:57.

eiffel, on 20 ianuarie 2015 - 14:56, said:

Au incercat unii sa plateasca si au ramas si fara fisiere si fara bani, astfel ca nu recomand nimanui sa incerce sa plateasca.

Solutia "sfanta": restaurare din backup.

pustiux, on 20 ianuarie 2015 - 14:02, said:

In folderele cu fisiere criptate ti-a creat si cate un fisier de tip  txt ? daca ,da. Da-mi un fisier txt dintr-un folder, de exemplu dintr-un folder cu imagini criptate care nu sunt private (adica nu imagini personale) si de asemenea o imagine criptata din acelasi folder ca vreau sa incerc sa o decriptez.

Edited by stlk, 20 January 2015 - 18:07.

Vezi ca nu pustiux e initiatorul acestui topic.
Pe aria asta se acorda suport doar ptr initiator, ptr a nu se crea neintelegeri. Cine are nevoie de ajutor va trebui sa deschida alt topic.

Singura exceptie sunt topicele generale de la IMPORTANT, care insa nu sunt ptr ajutor ci doar ptr discutii.

ati reusit in vreun fel decriptarea fisierelor afectate?
am un pc la serviciu care s-a infectat cu CTB Loc ker si a criptat efectiv absolut toate fisierele.

Edited by r3mteam, 21 January 2015 - 10:25.

Nu exista solutie ptr el.

La versiunea de Criptolocker s-a reusit crearea unui decriptor dupa ce codul sursa a fost gasit pe internet.
Asta insa nu are nimic de-a face cu Cryptolocker exceptand faptul ca e randsomeware ca si el.

Cei de la zdnet spun ca s-ar putea sa poata fi decriptate fisierele, fiindca au reusit cei de la Fireeye si Fox-IT sa puna mana pe cheile de decriptare pentru unii virusi de genul asta.

Pe site-ul https://www.decryptcryptolocker.com/ trebuie urcat un fisier criptat, introdusa si adresa de e-mail, dupa care se primesc pe mail cheia de decriptare si instructiuni pentru decriptarea fisierelor. Dar nu garanteaza 100% ca va functiona, fiindca sunt mai multe variante de virusi cu diferite chei de decriptare.

Edited by Hider141, 22 January 2015 - 09:54.

Pai ai vazut ce-am scris in postul de deasupra, nu ?

Aveam mai multe tab-uri deschise si din greseala am postat in asta in loc de cel in care vroiam sa postez mesajul. Din nefericire am observat ce prostie am facut numai dupa ce a expirat timpul de editare.

Salut prieteni ,
Am mare nevoie de ajutorul vostru .
Concret : de 3 zile am pierdut toate datele din calculator .
Foto si orice fisier este criptat .
Singurele scapate sunt cateva videoclipuri.
Ma doare in special de fotografii .
Nu am facut backup , nu sunt salvate pe alte medii de stocare .
Oare le mai pot recupera ?
Pe linga extensia jpeg apare rctimed .( sper ca am scris bine din memorie )

Un sfat ceva , va rog

Vezi aici la postul #13 -> http://forum.softped.../#entry16563740

In principiu , fara cheia de criptare nu poti sa-ti recuperezi ceva !

Curiozitate , ce sistem de operare si ce antivirus ai avut , la momentul respectiv ?

Situatia ta, e cam asa:
http://forum.softped...2#entry16542790

In cazul meu(laptop-ul unui prieten), nu s-a putut recupera nimic...Windows 7 x86 + security essential, 0 backup-uri. Sursa a fost un fisier trimis pe mail - la expeditor aparea un nr telefonic de Rusia; antivirusul l-a vazut si cam atat...

LE - folositi backup-ul, ca nu este pus degeaba in windows sau folositi o aplicatie 3rd party.

Edited by pustiux, 23 January 2015 - 18:34.

Ce se poate(stie), am postat mai sus.
Pentru celelalte, RIP.
Cer scuze, nu pot sa te ajut.

Edit:
-Daca cineva cunoaste, sau stie, alta metoda de recuperare, e liber sa posteze!

Edited by MhG_40, 28 January 2015 - 16:24.