Pisaliśmy już wcześniej o dekryptorach. Niedawno AVG opublikowało sześć programów, które pomogą waszym klientom z problemem zaszyfrowanych danych. Pozwoli im to zaoszczędzić pieniądze i, co może ważniejsze, nerwy.
Jak korzystać z dekryptorów AVG?
W przypadku wszystkich opisanych tutaj darmowych narzędziach AVG idea jest dokładnie taka sama. Wpierw należy określić co zaatakowało sprzęt klienta. Opisane dekryptory walczą z ransomeware (można podlinkować klientowi, żeby dowiedział się czym w ogóle jest ten typ oprogramowania): Apocalypse, BadBlock, Crypt888, Legion, SZFLocker oraz TeslaCrypt. Aby odblokować pliki należy przeprowadzić pełen skan systemowy zarażonego komputera, na przykład antywirusem od AVG, w poszukiwaniu listy infekcji i przeprowadzić na nich leczenie. Opcjonalnie możecie polecić skopiowanie na dysk przenośny wszystkich zaszyfrowanych plików tak by odszyfrować je na innym komputerze, chociażby w waszym punkcie sprzedaży. Wpierw zidentyfikujcie, który z poniżej wymienionych ransomwarów zaatakował pliki klienta. Następnie ściągnijcie / uruchomcie odpowiednie narzędzie. Każde z nich w kilku prostych krokach przeprowadzi was przez kolejne etapy.
Można doradzić, aby po pomyślnym odszyfrowaniu plików na wszelki wypadek zrobić ich kopię zapasową na innym nośniku danych. W razie wątpliwości klienta co należy zrobić można podlinkować tutaj, gdzie znajdą informacje jak robić takie kopie i archiwizować ważne pliki.
Apocalypse
Ten rodzaj złośliwego oprogramowania dodaje nowe rozszerzenia plików do już istniejących: “.encrypted”, “.locked” lub “.SecureCrypted”. Przykładowy plik będzie wyglądał tak: „ważnyDok.docx.encrypted”. Żądania okupu najczęściej pojawiają się w plikach, które zyskały nowe rozszerzenia o nazwach: “.How_To_Decrypt.txt”, “.README.Txt” czy “.Contact_Here_To_Recover_Your_Files.txt”. Wtedy taki plik wyglądać będzie następująco: „ważnyDok.docx.How_To_Decrypt”. W tych wiadomościach znaleźć można E-mail do kontaktu z oszustami. AVG przygotowało dwa różne programy do walki z Apocalypse.
Jeden do usuwania wczesnej wersji oprogramowania: http://files-download.avg.com/util/avgrem/avg_decryptor_Apocalypse.exe
Drugi do późniejszych edycji: http://files-download.avg.com/util/avgrem/avg_decryptor_ApocalypseVM.exe
Jeśli nie działa pierwszy należy spróbować z drugim.
Bad Block
Ten rodzaj ransomware nie zmienia rozszerzeń plików, ani nic nie dodaje. Zamiast tego pojawia się wiadomość o nazwie „Help Decrypt.html” oraz czerwone okna z żądaniem okupu. Na przykład takie:
Dekryptor dla systemów 32 bitowych znaleźć można tutaj: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock32.exe
Wersja dla systemów 64 bitowych możliwa do pobrania tutaj: http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe
Crypt888 (lub Mircop)
Ten ransomware dodaje z przodu dopisek „Lock.”. Na przykład „Lock.ważnyDok.docx”. Dodatkowo podmieni tapetę na zarażonym komputerze na podobną do poniższej:
Ważne aby przekazać klientom pod żadnym pozorem nie płacili okupu w tym przypadku gdyż to złośliwe oprogramowanie jest tak źle napisane, że zapłacenie nie daje gwarancji na odzyskanie wszystkich plików. Ich własny program deszyfrujący nie daje sobie rady by to zrobić. Na szczęście narzędzie AVG nie ma takich problemów:
http://files-download.avg.com/util/avgrem/avg_decryptor_Crypt888.exe
Legion
Ten program zmienia rozszerzenia na podobne do: “ważnyDok.docx._23-06-2016-20-27-23_$f_tactics@aol.com$.legion”. Podobnie jak poprzedni podmienia także tapetę:
Uwaga: nie należy mylić tego ransomware z innym, który dodaje następujące rozszerzenie do plików: “.centurion_legion@aol.com.xtbl”. Są to dwa różne złośliwe oprogramowania i niestety poniższe narzędzie AVG nie deszyfruje plików z tym ostatnim rozszerzeniem.
Dekryptor do pobrania stąd: http://files-download.avg.com/util/avgrem/avg_decryptor_Legion.exe
SZFLocker
Nazwa tego złośliwego oprogramowania wzięła się od rozszerzenia, czyli „.szf”, które dodawane jest do zainfekowanych plików. Na przykład „ważnyDok.docx.szf”. Oryginalne pliki są przepisane z dodatkowym tekstem w języku polskim, widocznym na zdjęciu poniżej:
Do usunięcia SZFLockera można użyć programu dostępnego tutaj: http://files-download.avg.com/util/avgrem/avg_decryptor_SzfLocker.exe
TeslaCrypt
Ostatnim ransomware jest (nie)sławny TeslaCrypt. Narzędzie AVG odszyfrowuje pliki zarażone wersjami trzecią i czwartą tego programu. Dodatkowe rozszerzenia jakie on generuje to na przykład: „.vvv”, „.micro” czy „.mp3”. Dla przykładu „ważnyDok.docx.mp3”. Oprócz tego pojawi się przed nami wiadomość:
Odszyfrować pliki można ściągając narzędzie stąd: http://files-download.avg.com/util/avgrem/avg_decryptor_TeslaCrypt3.exe
Podsumowanie
Co ważne należy podkreślać, iż używając oprogramowania AVG zmniejsza się ryzyko infekcji ransomware oraz w porę może ono uratować klientów przed zaszyfrowaniem danych. Jeśli jednak na to jest za późno, mogą oni skorzystać z ostatniej deski ratunku, jaką AVG dla nich przygotowało.