4 бесплатных дешифратора для файлов, зараженных программой-вымогателем
Jakub Křoustek 6 апр 2017
Jakub Křoustek , 6 апр 2017
Подробнее о том, как расшифровать файлы бесплатно и не платить выкуп программам-вымогателям, используя утилиты Avast по удалению вирусов-шифровальщиков.
Программы-вымогатели становятся «флагманом» вредоносного ПО. За последний год мы зафиксировали рост числа атак шифрователей более чем в два раза (на 105%). Подобные вирусы блокируют доступ к файлам на компьютере, кодируя их и вымогая выкуп за предоставление кода для расшифровки.
Как расшифровать файлы бесплатно? Мы рады объявить о выпуске четырех инструментов для удаления программ-вымогателей и дешифровки файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Все дешифраторы для файлов доступны на нашей странице и являются бесплатными.
Там же представлено подробное описание каждого вида программ-вымогателей. Наши инструменты смогут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.
Как заморозить системные приложения на андроид за 3 минуты
С момента выпуска первого пакета из семи инструментов Avast для дешифровки нам было приятно получить множество отзывов с благодарностями и рассказами о том, как наши утилиты спасли чьи-то ценные данные или даже бизнес. Надеемся, новые программы для дешифровки помогут еще большему количеству пользователей.
Ниже приведено краткое описание четырех новых видов программ-вымогателей, для удаления которых были разработаны новые бесплатные утилиты.
Alcatraz
Alcatraz Locker — программа-вымогатель, впервые обнаруженная в средине ноября 2016 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера:
В отличие от большинства видов шифрователей, программа Alcatraz не имеет заданного списка расширений файлов, на которые она нацелена. Иными словами, программа шифрует все, что может. Чтобы предотвратить нанесение ущерба операционной системе, Alcatraz Locker шифрует только файлы в каталоге %PROFILES% (обычно C:Users).
Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования):
В тексте сообщения с требованием выкупа утверждается, что программа использует шифрование AES-256 с 128-битовым паролем. Анализ данного вредоносного ПО показал, что это не так (применяется 128-байтовый, а не 128-битовый пароль). Однако вирус использует 160-битовый хэш (SHA1) в качестве исходного ключа для 256-битового шифрования AES. В API-интерфейсе шифрования, который используется программой, это реализуется довольно интересным образом:
- Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x36.
- К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
- Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash1).
- Создается 256-битовый массив, заполняемый шестнадцатеричным значением 0x5C.
- К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
- Рассчитывается SHA1 массива, к которому была применена функция XOR (назовем это Hash2).
- 160 битов Hash1 и 96 битов Hash2 объединяются.
Получившийся объединенный хэш используется в качестве исходного ключа для AES256.
Как отключить AppCloud на Samsung. Значок волшебная палочка на самсунг, как удалить?
После выполнения шифрования AES-256 программа-вымогатель также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:
Согласно сообщению шифрователя, единственным способом вернуть свои данные является выплата 0,3283 биткойна (около $370 на момент написания статьи). Но теперь вернуть доступ к файлам можно бесплатно, воспользовавшись инструментом Avast для дешифровки Alcatraz. Существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег — еще один обман: расшифровать свои документы можно в любое время, даже спустя 30 дней.
CrySiS
Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокировке.
Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые, используются до сих пор:
.xtbl, .lock и .CrySiS.
В результате имена зашифрованных файлов могут выглядеть так:
Каждый подобный элемент содержит все данные, которые необходимы для его расшифровки. Файлы размером менее 262 144 байта зашифровываются полностью, а в окончании находится код, содержащий зашифрованный ключ AES вместе с остальными данными, такими как исходное имя файла, что позволяет выполнить полную расшифровку. Стоит отметить, что файлы, размер которых превышает 262 144 байта, шифруются лишь частично, однако и в этом случае использовать их не удастся. Такой способ работы вымогателя приводит к тому, что крупные файлы после шифрования еще больше увеличиваются в размере.
После блокировки этих файлов программа-вымогатель отображает сообщение, расположенное ниже, которое описывает способ возвращения доступа к зашифрованным данным. Это сообщение также содержится в файле под названием «Decryption instructions.txt», «Decryptions instructions.txt» или «README.txt» на рабочем столе зараженного ПК.
Вот пара примеров сообщений программы CrySiS с требованием выкупа:
Globe
Данная программа, существующая примерно с августа 2016 года, написана на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы при помощи установщика Nullsoft:
- bc4c0b2f6118d36f4d476db16dbd6bcc0e393f2ad08429d16efe51f3d2870d58
- fdc8de22653ebcf4cb8f5495b103e04079b0270efa86f713715f0a81f1b2e9b0
В распакованном бинарном виде программа представляет собой глобальный интерфейс «настройки», в которой автор вымогателя может вносить некоторые изменения в ее характеристики:
- изменять конечное имя исполняемого файла в папке %APPDATA%;
- изменять расширение зашифрованных файлов;
- изменять список типов файлов (расширений), которые будут зашифрованы;
- изменять сообщение с требованием денег, имеющее формат HTML;
- включать и выключать шифрование имен файлов;
- включать проверку песочниц (VirtualBox, VirtualPC, Vmware, Anubis);
- включать автозапуск вредоносной программы;
- включать удаление вирусом точек восстановления и прочее.
Так как злоумышленники могут изменять программу, мы столкнулись со множеством различных вариантов создания зашифрованных файлов с разнообразными расширениями.
Примечательно, что программа-вымогатель имеет режим отладки, который может быть включен при помощи следующей настройки реестра:
Вирус блокирует файлы при помощи алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его при помощи того же алгоритма, который использовался в отношении самого файла. Затем название шифруется при помощи собственной реализации кодирования Base64.
Вот несколько примеров созданных расширений, которые могут быть расшифрованы при помощи утилиты Avast:
Как правило, данная программа-вымогатель создает файлы с именем «Read Me Please.hta» или «How to restore files.hta», которое отображается после входа пользователя в систему.
Не платите вымогателям! Используйте дешифратор для файлов Globe.
NoobCrypt
NoobCrypt, который я открыл летом 2016 года, написан на языке C# и использует алгоритм шифрования AES256. Программа имеет запоминающийся графический интерфейс, который отображается после блокировки доступа к файлам.
Данный экран с требованием выкупа — странная смесь сообщений. К примеру, он требует выплатить определенную сумму в долларах Новой Зеландии (NZD), но средства предлагает перевести на адрес в системе Bitcoin. В то же время текст с гордостью заявляет, что программа «создана в Румынии». Странное сочетание.
Название «NoobCrypt» было выбрано мной на основе обнаруженных в коде сообщений и ключа для расшифровки:
Чтобы расшифровать файлы, программа NoobCrypt предлагает «код разблокировки», который необходимо купить. В Twitter мной были опубликованы бесплатные ключи для удаления всех известных версий программы NoobCrypt (примеры: 1, 2, 3). Однако определять, какой из них следует использовать, приходилось вручную. Благодаря нашему инструменту для дешифровки вам уже не придется гадать, какой код нужно применить.
Вскоре после публикации кодов, исследователь программ-вымогателей с сетевым именем xXToffeeXx сообщил нам о создании новой версии NoobCrypt, которая рекламировалась во множестве магазинов в сетях Darknet. Стоимость этой версии, находящейся в продаже, составляет $300.
Автор даже подготовил демонстрационное видео, демонстрирующее функции, которые представлены как новые, в том числе использование «шифрования военного уровня» и «невозможность обнаружения антивирусами (кроме AVG)», что является обманом: многие антивирусы способны обнаружить эту программу.
Как видно на снимке внизу, автор даже упоминает мое имя на экране с инструкциями по выплате денег и за что-то меня благодарит. Возможно, за то, что я дал этому набору некачественного кода соответствующее название (теперь оно используется официально).
Сегодня мы представляем инструмент для дешифровки NoobCrypt, подходящий для всех его известных версий. Процесс разблокировки теперь выглядит намного проще, чем подбор нужного кода. Теперь вам не нужно платить деньги за предоставление ключа. И тем более полагаться на расшифровку своих файлов программе-вымогателю.
Ознакомьтесь с описанием программы NoobCrypt и инструментом для дешифровки на нашем сайте.
Как не стать жертвой программы-вымогателя
Прежде всего убедитесь, что на всех ваших устройствах установлен антивирус, например Avast (даже смартфоны могут быть заражены программой-вымогателем). Антивирус сможет заблокировать программы-вымогатели еще до того, как они причинят ущерб.
Следующая составляющая собственной безопасности — рациональность и предусмотрительность. Распространители программ-вымогателей часто используют методы социальной инженерии, чтобы обманом заставлять людей скачивать вредоносное ПО. Будьте осторожны при открытии ссылок и подозрительных вложений в почте, а также при скачивании материалов из Интернета. Убедитесь в надежности отправителя сообщения, скачивайте программное обеспечение только с доверенных сайтов.
Необходимо также выполнять регулярное и правильное резервное копирование своих данных. Храните резервные копии данных удаленно, иначе они могут также быть заблокированы вредоносным ПО.
Если вам не повезло и вы стали жертвой программ-вымогателей, попробуйте наши инструменты для дешифровки и проверьте, сможем ли мы помочь вам вернуть свои файлы!
Выражаю благодарность своим коллегам, Ладиславу Зезуле (Ladislav Zezula ) и Петру Щепански (Piotr Szczepanski), за подготовку дешифраторов, а также Яромиру Горейши (aromír Hořejší) за его анализ программы Alcatraz Locker.
Следите за нашими новостями в социальных сетях: ВКонтакте
Facebook
Twitter Одноклассники
Alcatraz Locker
Источник: blog.avast.com
Кактусы, горки, барахолка. Все о петербургских новогодних ярмарках — когда, где и зачем
Настроить себя на мысли о светлом будущем в этом году особенно трудно, но без веры в него не будет движения вперед. Подарить себе немного приятной атмосферы помогут новогодние ярмарки, на которых умельцы представят плоды своего творчества — а они могут стать милыми эксклюзивными подарками для коллег и друзей.
Рождественская ярмарка в Ботаническом
До 18 декабря
Поделиться
Самые запасливые могут стартовать. Если вы хотите приобрести подарки для друзей и коллег без предновогодней толкотни, это уже можно сделать в Ботаническом саду. Заодно там получится почерпнуть вдохновение для того, чтобы оформить к празднику свой дом и сделать это по-новому.
Рождественская ярмарка пройдет в выставочном павильоне «Зеленый домик». В ней примут участие мастера-флористы, керамисты, ювелиры, а также художники и мозаичисты. Флорариумы и фитопанно должны создать у посетителей ощущение прогулки по сказочному новогоднему лесу.
Кроме ярмарки можно развлечь себя экскурсией «Новогодние растения мира», на которой расскажут о новогодних традициях и новогодних деревьях разных стран — а это могут быть и мандариновые деревья, и апельсины, и лесные кактусы, и сосны, и даже новозеландское рождественское дерево.
Ярмарка работает с 10:00 до 18:00, вход по билетам в Ботанический сад — до 16:30, участие в мастер-классах — по записи.
Зимний музей «Фабрика ёлочных игрушек»
ДК им. Кирова, до 8 января
Поделиться
Этот музей открылся еще в 2015 году, но включить его в список вероятных мест для покупки подарков тоже имеет смысл. Во-первых, там есть магазин елочных игрушек, а во-вторых — 10 залов экспозиции и мастер-классы. Тут можно посмотреть на дедов-морозов разных стран, на игрушки начала ХХ века, узнать об их росписи и серебрении, выдувке шаров и остаться на чаепитие. Открыто с 10:00 до 18:00.
Никольская горка и Венецианская карусель
Никольские ряды, до 15 января
Поделиться
Небольшая ярмарка развернулась в Никольских рядах. Вход во двор свободный, у столиков можно перекусить и согреться горячими напитками, за деньги — прокатить детей на настоящей венецианской карусели (с фигурками лошадей) или съехать с высоченной горки. По выходным ярмарка открыта с 11:00 до 21:00, по будним — с 14:00.
Петербургская ярмарка
17–18 декабря — «Ленфильм», 24–25 декабря — ДК им. Кирова
Поделиться
Одна из старейших ярмарок хенд-мейда пройдет в двух локациях — сначала на «Ленфильме», а потом в ДК им. Кирова. Обещают рождественскую музыку (в том числе живую), Деда Мороза, фотозоны и мастер-классы. На «Ленфильме» ярмарка пройдет в четвертом павильоне, вход на нее будет свободным, с 12:00 до 21:00.
В продаже будет керамика, сувенирные домики, новогодние украшения, напитки и сладости, игрушки из пряжи и вязаные шапочки. На мастер-классах научат (платно) создавать украшения из расплавленного на горелке стекла, рисовать необычные открытки, отливать свечи с травяными смесями, изготавливать новогодние венки, делать мозаику из витражного стекла и предложат посетить настоящую Сырную биржу.
Керамический фестиваль-маркет Ceramania
17–18 декабря, ДК им. Кирова
Поделиться
Более сотни мастеров со всей России представят свое искусство на «не только керамическом» фестивале-маркете. Там же посетителей ждут мастер-классы, круглые столы о дизайне в этом виде искусства и о кузнецовском фарфоре, мастер-шоу и, конечно, возможность купить подарки: посуду, украшения, елочные игрушки. Маркет работает с 12:00 до 20:00, вход свободный. В развлекательной программе — театрализованная читка, живая музыка, место свободной лепки.
Городская Рождественская ярмарка
С 17 декабря по 9 января, Малая Садовая улица, Манежная площадь, Кленовая аллея, Конюшенная площадь, Певческий мост
Поделиться
На главной Рождественской ярмарке обещают много декораций: Замок чудес, Волшебный лес, Домик Деда Мороза, карусель, фудкорт, каток. По задумке, в главной входной зоне посетителей должны приветствовать световые скульптуры Мари и Франца — героев «Щелкунчика», потом гости смогут сделать снимки в фотозоне с часами, у сцены и, конечно, у карусели на Кленовой улице. На Конюшенной площади публику, как и в прошлом году, ждет большой каток, а у Певческого моста — катальная горка с видом на Дворцовую площадь. Из других развлечений — паровозик и мастер-классы для детей (елочки, шарики, открытки). Ярмарка будет работать с 12:00 до 21:00, 1 января — с 14:00 до 21:00.
Интеллигентная барахолка
23–25 декабря, «Севкабель порт»
Поделиться
Горячие пряные напитки на берегу Финского залива, хороводы у большой пахучей елки, фонарики, выпечку и многое другое обещают организаторы Интеллигентной барахолки, которая будет принимать посетителей три дня с 12:00 до 21:00. Из необычного Ларек гадалки — шатер с коврами, пуфиками, восточными лампами и задушевными разговорами, а также зона с чтением новогодних сказок от библиотечного центра общения «Современник». В продаже, например, травяные и фруктовые сборы, натуральная косметика, пиалы с оттисками растений, игрушки-антистресс, шелковые и кашемировые наряды, одежда и еда для собак и часы ручной работы с советскими индикаторами. Будет музыкальная программа. Вход свободный.
Новогодний базар
23 декабря — 8 января, «Новая Голландия»
Поделиться
В Новой Голландии традиционно можно купить не только подарки и приятно провести время, наслаждаясь рождественскими блюдами, но и купить елку себе домой на рождественском базаре. Причем елочный базар начнет работу раньше новогоднего: уже с 17 декабря (по будням — с 12:00 до 21:00, по выходным — с 11:00). Там обещают пушистые пихты Фразера, датские ели, живые деревья в горшках и лучшие экземпляры из Ленобласти. Ёлку можно забрать с собой сразу или заказать доставку домой.
Сам новогодний базар будет работать как во дворе Бутылки (с 23 по 30 декабря с 12:00 до 21:00, 31 декабря — с 12:00 до 19:00, с 1 по 8 января — с 12:00 до 21:00), так и в Павильоне (с 23 по 30 декабря с 12:00 до 21:00).
Традиционно на Новогоднем базаре будет работать благотворительный киоск. В нем, а также на ресепшн в пространстве «Сообщество» заработает «Новогодняя почта», куда любой желающий сможет принести подарки для подопечных петербургских фондов: «Ночлежка», AdVita, «Антон тут рядом», «Старость в радость», «Тёплый дом», «Потеряшка», «Яркая жизнь» и «Перспективы». Подробности появятся на сайте «Новой Голландии».
Благотворительная Летающая ярмарка
24–25 декабря, пространство «Легко-легко»
Поделиться
Покупая подарки на этой ярмарке, вы помогаете подопечным фонда AdVita. Тут проводят мастер-классы на гончарном круге (по записи, с 12:00 до 18:00, сама ярмарка работает до 21:00), учат приемам декупажа, читают лекции о традициях празднования Нового года в Петербурге и не только. Вход свободный.
Новогодняя ярмарка
24–25 декабря, Лофт-проект «ЭТАЖИ»
Поделиться
На этой ярмарке обещают украшения, сладости, хенд-мейд и подарки — натуральные свечи, десерты, базовые футболки, чай, косметику, канцелярию и изделия из ювелирной смолы с добавлением светонакопителя. Вход свободный, с 12:00 до 19:00.
Больше новостей в нашем официальном телеграм-канале «Фонтанка SPB online». Подписывайтесь, чтобы первыми узнавать о важном.
По теме
- Выход на лёд: где, когда и почём можно покататься на коньках в Петербурге этой зимой 26 ноября 2022, 14:55
- Катальная горка и битва с Мышиным королем. Как Петербург украсят к Новому году и сколько на это потратят 17 ноября 2022, 08:00
- Сначала битва, потом сказка. Посмотрите, как будет выглядеть в этом году главная Рождественская ярмарка 15 ноября 2022, 15:48
- В Ботаническом саду пройдёт Фестиваль кленов с самоваром, концертами и кленовым сиропом 07 октября 2022, 11:08
- В Ботаническом саду пройдёт чайный фестиваль — с танцами и бутылофоном 24 сентября 2022, 01:10
Otkating 15 Дек 2022 в 17:55
triton1977 15 Дек 2022 в 17:24
lexandr_5e4ce78957e84 15 Дек 2022 в 16:38
ПРИСОЕДИНИТЬСЯ
Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter
сообщить новость
Отправьте свою новость в редакцию, расскажите о проблеме или подкиньте тему для публикации. Сюда же загружайте ваше видео и фото.
Написать в редакцию
Новости компаний
01.12.2022 16:09
12.09.2022 16:30
04.02.2021 12:40
- Подписаться на новости
- Сообщить новость
- Рубрики
- Проекты
- О сайте
- Контакты
- Техподдержка
- Реклама
- О компании
- Все города сети
О компании
Рассылка новостей
Рубрики
Сообщить новость
Написать в редакцию
Проекты
- Фонтанка Pro
- Говорим и показываем
- Наша коллекция
- ЗСД Фонтанка Фест
- Фонтанка SUP
- Лидеры финского бизнеса
- Лахта центр
- Городская премия «Фонтанка.ру — Признание и Влияние»
- Все проекты
О компании
Мобильное приложение
Мы в соцсетях
Контактные данные для Роскомнадзора и государственных органов
«Фонтанка» — петербургская интернет-газета, где можно найти не только новости Петербурга, но и последние новости дня, и все важное и интересное, что происходит в России и в мире. Здесь вы отыщете наиболее значимые происшествия, новости Санкт-Петербурга, последние новости бизнеса, а также события в обществе, культуре, искусстве. Политика и власть, бизнес и недвижимость, дороги и автомобили, финансы и работа, город и развлечения — вот только некоторые из тем, которые освещает ведущее петербургское сетевое общественно-политическое издание. Санкт-Петербург читает «Фонтанку»! Наша аудитория — лидеры бизнеса и политики, чиновники, десятки тысяч горожан.
- Пользовательское соглашение
- Политика конфиденциальности
- Правила использования материалов сайта
- Политика использования cookies
Разработка — ООО «Интернет Технологии»
Источник: www.fontanka.ru