Dekryptory od AVG na ratunek – deszyfrowanie ransomware

0

Pisaliśmy już wcześniej o dekryptorach. Niedawno AVG opublikowało sześć programów, które pomogą waszym klientom z problemem zaszyfrowanych danych. Pozwoli im to zaoszczędzić pieniądze i, co może ważniejsze, nerwy.

Jak korzystać z dekryptorów AVG?

W przypadku wszystkich opisanych tutaj darmowych narzędziach AVG idea jest dokładnie taka sama. Wpierw należy określić co zaatakowało sprzęt klienta. Opisane dekryptory walczą z ransomeware (można podlinkować klientowi, żeby dowiedział się czym w ogóle jest ten typ oprogramowania): Apocalypse, BadBlock, Crypt888, Legion, SZFLocker oraz TeslaCrypt. Aby odblokować pliki należy przeprowadzić pełen skan systemowy zarażonego komputera, na przykład antywirusem od AVG, w poszukiwaniu listy infekcji i przeprowadzić na nich leczenie. Opcjonalnie możecie polecić skopiowanie na dysk przenośny wszystkich zaszyfrowanych plików tak by odszyfrować je na innym komputerze, chociażby w waszym punkcie sprzedaży. Wpierw zidentyfikujcie, który z poniżej wymienionych ransomwarów zaatakował pliki klienta. Następnie ściągnijcie / uruchomcie odpowiednie narzędzie. Każde z nich w kilku prostych krokach przeprowadzi was przez kolejne etapy.

Trzy prost kroki deszyfracji AVG

W kolejnych trzech oknach zaprezentowano proste kroki jakie należy podjąć w każdym z dekryptorów jakie znajdziecie poniżej.

Można doradzić, aby po pomyślnym odszyfrowaniu plików na wszelki wypadek zrobić ich kopię zapasową na innym nośniku danych. W razie wątpliwości klienta co należy zrobić można podlinkować tutaj, gdzie znajdą informacje jak robić takie kopie i archiwizować ważne pliki.

Spis Treści
Zwiń
Rozwiń

Apocalypse

Ten rodzaj złośliwego oprogramowania dodaje nowe rozszerzenia plików do już istniejących: “.encrypted”, “.locked” lub “.SecureCrypted”. Przykładowy plik będzie wyglądał tak: „ważnyDok.docx.encrypted”. Żądania okupu najczęściej pojawiają się w plikach, które zyskały nowe rozszerzenia o nazwach: “.How_To_Decrypt.txt”, “.README.Txt” czy “.Contact_Here_To_Recover_Your_Files.txt”. Wtedy taki plik wyglądać będzie następująco: „ważnyDok.docx.How_To_Decrypt”. W tych wiadomościach znaleźć można E-mail do kontaktu z oszustami. AVG przygotowało dwa różne programy do walki z Apocalypse.
Jeden do usuwania wczesnej wersji oprogramowania: http://files-download.avg.com/util/avgrem/avg_decryptor_Apocalypse.exe

Drugi do późniejszych edycji: http://files-download.avg.com/util/avgrem/avg_decryptor_ApocalypseVM.exe

Jeśli nie działa pierwszy należy spróbować z drugim.

Bad Block

Ten rodzaj ransomware nie zmienia rozszerzeń plików, ani nic nie dodaje. Zamiast tego pojawia się wiadomość o nazwie „Help Decrypt.html” oraz czerwone okna z żądaniem okupu. Na przykład takie:

Jedna z informacji o okupie BadBlock

Instrukcja zapłaty okupu po zaszyfrowaniu plików BadBlockiem.

Drugie przykładowe okno żądania okupu BadBlock

Kolejna przykładowa instrukcja zapłaty okupu po zaszyfrowaniu plików BadBlockiem.

Dekryptor dla systemów 32 bitowych znaleźć można tutaj: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock32.exe

Wersja dla systemów 64 bitowych możliwa do pobrania tutaj: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe

Crypt888 (lub Mircop)

Ten ransomware dodaje z przodu dopisek „Lock.”. Na przykład „Lock.ważnyDok.docx”. Dodatkowo podmieni tapetę na zarażonym komputerze na podobną do poniższej:

Nowa tapeta zafundowana przez Crypt888

Ciężko nie zauważyć, że stało się coś z plikami jeśli zauważymy nową tapetę.

Ważne aby przekazać klientom pod żadnym pozorem nie płacili okupu w tym przypadku gdyż to złośliwe oprogramowanie jest tak źle napisane, że zapłacenie nie daje gwarancji na odzyskanie wszystkich plików. Ich własny program deszyfrujący nie daje sobie rady by to zrobić. Na szczęście narzędzie AVG nie ma takich problemów:
http://files-download.avg.com/util/avgrem/avg_decryptor_Crypt888.exe

Legion

Ten program zmienia rozszerzenia na podobne do: “ważnyDok.docx._23-06-2016-20-27-23_$f_tactics@aol.com$.legion”. Podobnie jak poprzedni podmienia także tapetę:

Kolejna podmianka tapety, tym razem od Legiona

Choć nie tak ładna jak poprzednio nowa tapeta nie pozostawia złudzeń.

Uwaga: nie należy mylić tego ransomware z innym, który dodaje następujące rozszerzenie do plików: “.centurion_legion@aol.com.xtbl”. Są to dwa różne złośliwe oprogramowania i niestety poniższe narzędzie AVG nie deszyfruje plików z tym ostatnim rozszerzeniem.

Dekryptor do pobrania stąd: http://files-download.avg.com/util/avgrem/avg_decryptor_Legion.exe

SZFLocker

Nazwa tego złośliwego oprogramowania wzięła się od rozszerzenia, czyli „.szf”, które dodawane jest do zainfekowanych plików. Na przykład „ważnyDok.docx.szf”. Oryginalne pliki są przepisane z dodatkowym tekstem w języku polskim, widocznym na zdjęciu poniżej:

Instrukcja do kontaktu z "porywaczami"

Niech was nie zmyli polski tekst. Skrót kraju nie pozostawia złudzeń skąd są „porywacze”.

Do usunięcia SZFLockera można użyć programu dostępnego tutaj: http://files-download.avg.com/util/avgrem/avg_decryptor_SzfLocker.exe

TeslaCrypt

Ostatnim ransomware  jest (nie)sławny TeslaCrypt. Narzędzie AVG odszyfrowuje pliki zarażone wersjami trzecią i czwartą tego programu. Dodatkowe rozszerzenia jakie on generuje to na przykład: „.vvv”, „.micro” czy „.mp3”. Dla przykładu „ważnyDok.docx.mp3”. Oprócz tego pojawi się przed nami wiadomość:

Wiadomość z instrukcjami od TeslaCrypt

Po przeczytaniu tej wiadomości chyba już rozumiecie czemu to oprogramowanie ma ransome w nazwie.

Odszyfrować pliki można ściągając narzędzie stąd: http://files-download.avg.com/util/avgrem/avg_decryptor_TeslaCrypt3.exe

Podsumowanie

Co ważne należy podkreślać, iż używając oprogramowania AVG zmniejsza się ryzyko infekcji ransomware oraz w porę może ono uratować klientów przed zaszyfrowaniem danych. Jeśli jednak na to jest za późno, mogą oni skorzystać z ostatniej deski ratunku, jaką AVG dla nich przygotowało.

Chcesz zacząć sprzedawać AVG?

Szukasz ekstra rabatów dla resellera? Skontaktuj się z nami, a skontaktujemy się z Tobą z unikalną ofertą dla resellera!

Przedsiębiorstwo Informatyczne CORE

Producent, importer i reseller oprogramowania, wydawca serwisów internetowych. Działa od 2001 roku. Oficjalny dystrybutor AVG. Programy rozprowadzane są przez siatkę ponad 1300 resellerów na terenie całej Polski, zapewniona jest pełna polska pomoc techniczna oraz wsparcie handlowe i marketingowe.

Udostępnij:

Zostaw wiadomość