ID-Ransomware.RU
Как узнать какой шифровальщик зашифровал файлы?
Как идентифицировать вымогателя, который заблокировал или зашифровал файлы?
1 способ
Для это нужно перейти на сайт ID Ransomware, выбрать свой язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается.
И нажать там вот такую красную кнопку "Загрузить".
1 способ
ID-Ransomware.RU — это краткое название сайта, где вы сейчас находитесь.
Здесь можно в общем списке по названию программы-вымогателя или её элементам определить какой шифровальщик зашифровал файлы. Для это здесь собраны визуальные идентификаторы (VID), проще говоря, видимые элементы вымогательства: записки, которые оставляют вымогатели после атаки и шифрования файлов, контакты для связи, файлы с добавленными расширениями, самоназвания, написанные в записках, на сайтах вымогателей или вписанные в код программы.
2 способ
Если у вас есть зашифрованные файлы и файл записки с требованием выкупа, то вы можете воспользоваться еще одним сайтом ID-Ransomware.
Разработчиком ID Ransomware (IDR) является Майкл Джиллеспи (Michael Gillespie aka Demonslay335).
Для это нужно перейти на сайт ID Ransomware, выбрать свой язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается.
И нажать там вот такую красную кнопку "Загрузить".
1) После загрузки файлы будут проверены по базе известных программ-вымогателей, а вы получите результат в виде информации о Ransomware, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком.
Иногда могут быть ссылки на мои статьи, но из-за каких-то проблем, ссылки получают неправильный адрес, поэтому разработчик стал делать ссылки на сообщение в Твиттере или на сайте BleepingComputer.
Если IDR не может определить вымогателя, то вам будет предложено создать новую тему на форуме BleepingComputer.com для того, чтобы вам оказали помощь специалисты по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Кроме того я тоже там есть и, возможно, совместно нам удастся вам помочь и выпустить дешифровщик, как это было уже много раз. В любом случае я помогу, чем смогу или привлеку других специалистов.
2) Вымогатели часто копируют записки из других Ransomware. Потому для большей точности нужно загружать в IDR файлы трижды:
- сначала только записку без файла;
- потом зашифрованный файл без записки;
- потом записку и зашифрованный файл.
Если результаты совпадут, то идентификация правильная.
Если же результаты разные, то потребуется исследование.
Скопируйте код и URL-адреса результатов и напишите нам.
Или пришлите нам записку (записки) и несколько разных зашифрованных файлов. В таком случае мы сами проведём нужные действия и проанализируем все результаты.
Вы можете свериться с каждой идентификацией и найти описания шифровальщиков по алфавиту в данном блоге. См. "Список".
См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)
Если IDR не может определить вымогателя, то вам будет предложено создать новую тему на форуме BleepingComputer.com для того, чтобы вам оказали помощь специалисты по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Кроме того я тоже там есть и, возможно, совместно нам удастся вам помочь и выпустить дешифровщик, как это было уже много раз. В любом случае я помогу, чем смогу или привлеку других специалистов.
2) Вымогатели часто копируют записки из других Ransomware. Потому для большей точности нужно загружать в IDR файлы трижды:
- сначала только записку без файла;
- потом зашифрованный файл без записки;
- потом записку и зашифрованный файл.
Если результаты совпадут, то идентификация правильная.
Если же результаты разные, то потребуется исследование.
Скопируйте код и URL-адреса результатов и напишите нам.
Или пришлите нам записку (записки) и несколько разных зашифрованных файлов. В таком случае мы сами проведём нужные действия и проанализируем все результаты.
Вы можете свериться с каждой идентификацией и найти описания шифровальщиков по алфавиту в данном блоге. См. "Список".
См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)
Вопросы и ответы
Для чего предназначен ID Ransomware?
1) для постоянной идентификации Ransomware, т. к. база идентификаторов ежедневно пополняется, а вымогательские проекты могут оставаться активны долгое время или видоизменяться до неузнаваемости;
2) для временной идентификации Ransomware, т. к. порой создаётся временная группа, а после изучения образцов разные идентификации могут быть объединены или разделены;
3) для сбора поступающих образцов, указания на тему поддержки, на дополнительный источник информации, на отсутствие или наличие способа расшифровки файлов.
Почему в ID Ransomware (IDR) названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились.
Почему в ID Ransomware (IDR) и у вас некоторые названия различаются?
Я работаю с IDR и беру название оттуда, если оно там появилось раньше и согласую его с разработчиком IDR по необходимости.
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято.
Иногда я даю 2-3 названия в заголовке, чтобы по ошибке не дублировать. Поисковики Google и Яндекс считывают информацию и передают на выдачу результатов. Я добавляю в заголовок варианты названий и псевдонимы, а конце статьи указываю название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого не было.
Как даются названия в IDR и в ваших статьях?
Когда обнаружен новый крипто-вымогатель, не имеющий каких-то самоназваний, находящихся в поле видимости, или использующий чужое, более известное название, то порой непросто найти подходящее для него название. В таких случаях мы используем названия и строки, найденные в исполняемых файлах, в коде зашифрованных файлов, на сайтах уплаты выкупа, даже в обновлённых версиях вредоноса. Иногда используется добавляемое расширение или логин почты вымогателей. В других случаях вредонос даёт нам подсказки, как его назвать, используя маркер зашифрованных файлов или мьютекс. Так удобнее описывать и идентифицировать ransomware.
Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Причин несколько:
а) в IDR записаны только те шифровальщики, которые идентифицируются по названию текстовой записки о выкупе, по коду исполняемого файла, по расширению, по контактам вымогателей (email, BTC, Jabber, Telegram, Discord, Tor-сайту и Tor-почтe), маркеру файлов и ряду других признаков, а если нет текстовой записки и никакое расширение к файлам не добавляется, то такой шифровальщик в IDR может не пройти идентификацию;
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, тест-проекты, "обучатели", гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики;
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идёт повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему поддержки на форуме BleepingComputer;
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносного ПО появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию;
д) исключение из пункта "г" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия";
е) некоторые идентификации в IDR сгруппированы, например под HiddenTear там идентифицируется множество однотипных шифровальщиков, основанных на HiddenTear; в других тоже сгруппированы "родственники": CryptoMix, Scarab, GlobeImposter.
ё) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание.
Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов?
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в предыдущие годы. По возможности я выстрою для них хронологию и генеалогию. Я регулярно добавляю информацию о старых шифровальщиках, но не сообщаю об этом.
Почему у вас в списке вымогателей нет статей для ряда шифровальщиков, которые есть в IDR?
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые в таком виде уже описаны, в надежде добавить информацию. Другие я описывал ранее в другом месте сети, там остались мои ранние описания и ссылки. Можно найти их в поиске под другим моим ником - SNS-amigo, но информация там давно устарела. Периодически я обновляю статьи здесь.
Как формируется описание в ваших статьях?
Не сразу, но со временем, мне удалось создать подобие шаблона, который позволяет дополнять информацию за меньшее время. Ранее я писал всю статью полностью, что занимало больше времени, но тогда было меньше вымогательских программ. Да и гораздо лучше для подписчиков и читателей, когда они видят привычный уклад текста, по которому они находят нужную им информацию, даже, если не знают русского языка.
Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан".
Какой ни напиши, смысл одинаковый.
Что означает HT в названиях?
Это указание на происхождение из HiddenTear. Добавляется в тех случаях, когда уже есть вымогатель с таким названием, или используется более известное название, примеры: Facebook HT, Cyber Police HT и пр. Может быть следовало добавлять HT и ко всем названиями, основанным на HiddenTear, но их уже столько было, что на правку ранних статей уйдёт много ненужного времени.
Как с вами связаться и задать вопрос?
Задать вопросы можно в комментариях или через форму обратной связи ниже. Или через страницу Contact.
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net и увидишь email для контакта.
© Amigo-A (Andrew Ivanov): All blog articles.
3) для сбора поступающих образцов, указания на тему поддержки, на дополнительный источник информации, на отсутствие или наличие способа расшифровки файлов.
Почему в ID Ransomware (IDR) названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились.
Почему в ID Ransomware (IDR) и у вас некоторые названия различаются?
Я работаю с IDR и беру название оттуда, если оно там появилось раньше и согласую его с разработчиком IDR по необходимости.
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято.
Иногда я даю 2-3 названия в заголовке, чтобы по ошибке не дублировать. Поисковики Google и Яндекс считывают информацию и передают на выдачу результатов. Я добавляю в заголовок варианты названий и псевдонимы, а конце статьи указываю название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого не было.
Как даются названия в IDR и в ваших статьях?
Когда обнаружен новый крипто-вымогатель, не имеющий каких-то самоназваний, находящихся в поле видимости, или использующий чужое, более известное название, то порой непросто найти подходящее для него название. В таких случаях мы используем названия и строки, найденные в исполняемых файлах, в коде зашифрованных файлов, на сайтах уплаты выкупа, даже в обновлённых версиях вредоноса. Иногда используется добавляемое расширение или логин почты вымогателей. В других случаях вредонос даёт нам подсказки, как его назвать, используя маркер зашифрованных файлов или мьютекс. Так удобнее описывать и идентифицировать ransomware.
Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Причин несколько:
а) в IDR записаны только те шифровальщики, которые идентифицируются по названию текстовой записки о выкупе, по коду исполняемого файла, по расширению, по контактам вымогателей (email, BTC, Jabber, Telegram, Discord, Tor-сайту и Tor-почтe), маркеру файлов и ряду других признаков, а если нет текстовой записки и никакое расширение к файлам не добавляется, то такой шифровальщик в IDR может не пройти идентификацию;
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, тест-проекты, "обучатели", гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики;
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идёт повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему поддержки на форуме BleepingComputer;
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносного ПО появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию;
д) исключение из пункта "г" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия";
е) некоторые идентификации в IDR сгруппированы, например под HiddenTear там идентифицируется множество однотипных шифровальщиков, основанных на HiddenTear; в других тоже сгруппированы "родственники": CryptoMix, Scarab, GlobeImposter.
ё) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание.
Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов?
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в предыдущие годы. По возможности я выстрою для них хронологию и генеалогию. Я регулярно добавляю информацию о старых шифровальщиках, но не сообщаю об этом.
Почему у вас в списке вымогателей нет статей для ряда шифровальщиков, которые есть в IDR?
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые в таком виде уже описаны, в надежде добавить информацию. Другие я описывал ранее в другом месте сети, там остались мои ранние описания и ссылки. Можно найти их в поиске под другим моим ником - SNS-amigo, но информация там давно устарела. Периодически я обновляю статьи здесь.
Как формируется описание в ваших статьях?
Не сразу, но со временем, мне удалось создать подобие шаблона, который позволяет дополнять информацию за меньшее время. Ранее я писал всю статью полностью, что занимало больше времени, но тогда было меньше вымогательских программ. Да и гораздо лучше для подписчиков и читателей, когда они видят привычный уклад текста, по которому они находят нужную им информацию, даже, если не знают русского языка.
Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан".
Какой ни напиши, смысл одинаковый.
Что означает HT в названиях?
Это указание на происхождение из HiddenTear. Добавляется в тех случаях, когда уже есть вымогатель с таким названием, или используется более известное название, примеры: Facebook HT, Cyber Police HT и пр. Может быть следовало добавлять HT и ко всем названиями, основанным на HiddenTear, но их уже столько было, что на правку ранних статей уйдёт много ненужного времени.
Задать вопросы можно в комментариях или через форму обратной связи ниже. Или через страницу Contact.
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net и увидишь email для контакта.
© Amigo-A (Andrew Ivanov): All blog articles.
hello bro Im infected with ransomware .poler extension help my please link of ransomware http://www.mediafire.com/file/tvcn7mq7coiwd3s/Cyborg+Builder+.Ransomware..7z
ОтветитьУдалитьhello. I do not work with decryption. I forwarded your request to specialists.
УдалитьНедавно я обновил эту страницу, включив ответы на новые вопросы. Спрашивайте, что нужно узнать. Эта информация больше нигде не публикуется.
ОтветитьУдалитьID Ransomware определил
ОтветитьУдалить1 Result
Scarab
Этот вымогатель дешифруем при некоторых обстоятельствах.
Изучите руководство для дополнительной информации.
Опознан как
custom_rule: Encrypted size marker [0x00 - 0x08] 0x1004000000000000
При каких обстоятельствах и к кому обращаться за дешифровкой? Dr. Web сказали, что не могут помочь
Это вариант Scarab-Crypto Ransomware, который описан здесь:
Удалитьhttps://id-ransomware.blogspot.com/2018/03/scarab-crypto-ransomware.html
Ранее спецы Dr.Web могли расшифровать файлы, но потом вымогатели изменили шифрование несколько раз.
Кроме того специалисты ESET тоже могут расшифровать файлы после Scarab даже новых версий, но обращаться надо на английский сайт компании.
Спасибо. Хочу уточнить сюда писать https://www.eset.com/int/ ?
УдалитьЛучше сюда: https://support.eset.com/en_EN/kb2505/
УдалитьТам подробно по пунктам, в том числе запустить ESET Online Scanner, если нет продуктов ESET
Кстати, файлы, которые вы нам прислали зашифрованы частично. Например, в файле 02 Service_partners1.xls.suffer даже при открытии Блокнотом можно увидеть украинские email-адреса и телефоны. Возможно, что-то вам пригодится.
УдалитьПришлите нам зашифрованные файлы (jpg, png, pdf, txt, rtf) что наберете и записку с требования выкупа. Отправьте все в архиве на www.sendspace.com и дайте нам здесь ссылку с результатом.
ОтветитьУдалитьМы получим это и ответим вам здесь же или на ваш email. Комментарий останется на модерации, мы получим ваше сообщение и не будем публиковать вашу ссылку.
Только несколько файлов.
ОтветитьУдалитьapakah bisa di bantu untuk ransomware .mars ? saya ingin sekali file saya bisa di buka dengan normal
ОтветитьУдалитьhttps://www.bleepingcomputer.com/forums/t/734579/
Удалить