Ishtar Ransomware
(шифровальщик-вымогатель)
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует связаться с вымогателями по email, чтобы вернуть файлы. В среднем сумма выкупа, по сообщениям пострадавших, составляет 15 тысяч рублей. Название получил от используемого вымогателем слова ISHTAR.
© Генеалогия: Ishtar. Начало.
К зашифрованным файлам добавляется приставка ISHTAR- . Таким образом файл image.jpg после шифрования станет файлом ISHTAR-image.jpg
Первая активность этого криптовымогателя пришлась на конец октября 2016 г., но продолжается на протяжении ноября. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает ему атаковать и иноязычных пользователей.
Записка с требованием выкупа написана сразу на двух языках (русском и английском) и называется: README-ISHTAR.txt
Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.
Содержание записки о выкупе:
ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedmail@protonmail.com
ЛИБО НА
BM-NBYR3ctSgr67iciT43rRNmHdHPAYBBK7 ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
> Стандартный порядок шифрования: AES 256 + RSA 2048.
> Для каждого файла создается уникальный AES ключ.
> Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
-----
TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@protonmail.com
OR TO
BM-NBYR3ctSgr67iciT43rRNmHdHPAYBBK7 USING BITMESSAGE DESKTOP OR https://bitmsg.me/
BASIC TECHNICAL DETAILS:
> Standart encryption routine: AES 256 + RSA 2048.
> Every AES key is unique per file.
> Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).
Распространяется с помощью email-спама и вредоносных вложений, в том числе под видом документов MS Office с макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Ishtar Ransomware заставляет пользователя "исправить" документ
После шифрования теневые копии файлов удаляются командой:
cmd.exe /c vssadmin delete shadows /all /quiet
Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .accdb, .apk, .arch00, .arw, .asset, .avi, .bar,
.bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr,
.cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbfv, .dcr, .der,
.desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm,
.flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank,
.icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpeg, .jpg, .kdb, .kdc, .layout,
.lbf, .lrf, .ltx, .lvl, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mddata,
.mdf, .mef, .menu, .mlx, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm,
.odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx,
.pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .qdf, .qic, .r3d,
.raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sid,
.sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb,.t12,
.t13, .tax, .tor, .txt, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2,
.wma, .wmo, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx,
.zip, .ztmp (168 расщирений).
Файлы, связанные с Ishtar Ransomware:
%User_name%/AppData/Roaming/winishtar.exe - исполняемый файл шифровальщика
ishtar_ransomware.exe - исполняемый файл шифровальщика (23-24 ноября)
%User_name%/AppData/Roaming/<ransom_name>.exe - копия исполняемого файла
%User_name%/AppData/Roaming/<ransom_name>.tmp
%APPDATA%\<random>.exe - копия исполняемого файла
%APPDATA%\<random>.tmp
C:\README-ISHTAR.txt - записка о выкупе
%AppData%\Roaming\README-ISHTAR.txt - копия записки о выкупе
C:\ISHTAR.DATA - уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\ISHTAR.DATA - тот же уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\Roaming\ISHTAR.DATA - копия уникального ключа для ПК с Windows 7 и выше
C:\Documents and Settings\<USER>\Application Data\ISHTAR.DATA - файл-ключ для ПК с Windows XP
%USERPROFILE%\Desktop\Ishtar_ransomware.docx
%APPDATA%\Microsoft\Templates\~$Normal.dotm
Anketa sotrudnikov pretend na povushenie.exe - пример вредоносного вложения
Счет_отправлено_контрагенту_22_11.exe - пример вредоносного вложения
Записи реестра, связанные с Ishtar Ransomware:
См. ниже гибридный анализ.
Сетевые подключения и связи:
хттп://5.189.156.184/files_rec/gate_rec.php
хттпs://bitly.com (67.199.248.11:80) (США)
www.google.ru (216.58.210.3) (США)
хттп://46.45.138.138/pw/gate.php (Турция) - 23-24 ноября
Результаты анализов:
Гибридный анализ >>
Гибридный анализ от 23-24 ноября >>
VirusTotal анализ >>
VirusTotal анализ ещё >>
VirusTotal анализ от 24 ноября >>
Гибридный анализ от 15 декабря >>
VirusTotal анализ от 15 декабря >>
Степень распространённости: высокая.
Подробные сведения собираются.
Обновление от 2 февраля:
Email: youneedmail@bitmai.la
Записка:
# TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@bitmai.la
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
USING BITMESSAGE DESKTOP OR https://bitmsg.me/
Злоумышленники не отвечают пострадавшим.
Обновление от 27 февраля 2017:
Email: youneedhelp@mail2tor.com
Обновление от 30 мая 2017:
Записка:
Email: support4you@protonmail.#
Обновление от 10 мая 2017:
Записка: README-ISHTAR.txt
Email: youneedhelp@mail2tor.com
BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
<< Скриншот записки о выкупе
Обновление от 27 февраля 2017:
Email: youneedhelp@mail2tor.com
Обновление от 30 мая 2017:
Записка:
Email: support4you@protonmail.#
Обновление от 10 мая 2017:
Записка: README-ISHTAR.txt
Email: youneedhelp@mail2tor.com
BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
<< Скриншот записки о выкупе
Обновление от 30 мая 2017:
Записка: README-ISHTAR.txt
Email: support4you@protonmail.com
BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
<< Скриншот записки о выкупе
© Amigo-A (Andrew Ivanov): All blog articles.
Записка: README-ISHTAR.txtEmail: support4you@protonmail.com
BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
<< Скриншот записки о выкупе
Read to links: Tweet on Twitter Topic of Support *
Thanks: Michael Gillespie Jakub Kroustek mike 1 (за список расширений)
© Amigo-A (Andrew Ivanov): All blog articles.
Характерный признак - наличие файла winishtar.exe в %username%/AppData/Local/Roaming
ОтветитьУдалитьСпасибо! Добавил в "файлы".
УдалитьТам я чуть ошибся вчера, верный путь C:\Users\%username%\AppData\Roaming\
ОтветитьУдалитьВ итоге ключа-дешифровщика пока нет?
ОтветитьУдалитьЯ попался. Сами "гады" просят 15000, посредники 30000. Dr. WEB сказали сложный, нужно много времени. Так, что не знаю, когда станет возможно всё восстановить?
ОтветитьУдалитьПока нет дешифровщика, надо сложить все зашифрованные файлы в отдельную папку. Систему лучше переустановить. Установить комплексный антивирусный продукт вроде Norton Internet Security. Ключ можно получить здесь: http://club-symantec.ru/
ОтветитьУдалитьЕсть дешифровщик купленный, но там в комплекте ключ на каждую сессию, подозреваю что шифровщик приватную часть ключа отправляет злоумышленникам.
ОтветитьУдалитьНужен тоже дешифровщик
УдалитьА за сколько покупали? И как все прошло, дешифровщик рабочий, все ок?
УдалитьПросто есть опасение заплатить денег и не получить ничего :(
$300, биткоинами, конечно же.
УдалитьРабочий, ага, даже лог действий показывает.
Тоже попались на эту гадость. Подскажите, где можно отслеживать создание расшифровщика?
ОтветитьУдалитьЕсть сроки создания расшифровщика?
Очень не хочется платить пиратам.
Создание дешифровщика можно отслежить ЗДЕСЬ.
УдалитьСсылки нет, приложите, пожалуйста.
УдалитьЗдесь, это в этой статье. Я всегда публикую ссылку на дешифровщик, когда он появляется.
УдалитьПонял, спасибо :)
УдалитьТоже попались... ждем..
ОтветитьУдалитьА чего ждать? Я попросил создать тему поддержки пострадавших от действия крипто-вымогателя Ishtar на форуме BleepingComputer. Всем пострадавшим нужно обратиться вот в этот топик: http://www.bleepingcomputer.com/forums/t/633083/ishtar-ransomware-help-and-support-topic/
ОтветитьУдалитьКак можно скорее. Специалистам нужны будут зашифрованные и незашифрованные копии нескольких ваших файлов и файлы вредоноса, которые можно найти по указанным в этой статье выше путям.
Загружайте эти файлы на https://www.sendspace.com/
и обязательно сюда http://www.bleepingcomputer.com/submit-malware.php?channel=168
Пишите в тему хоть на английском, хоть на русском, хоть через гугле-переводчик.
Тем более, что уже появилась новая версия этого вымогателя.
Смелее! И Быстрее!
А как там на русский переключить?
УдалитьТам нет переключателя. В гугле-переводчике написать текст и перевести на английский. Вставить в тему готовый текст. Ссылка на этот топик там уже есть.
Удалитьhttps://translate.google.ru/?hl=ru
ребята, я пытаюсь сюда написать сообщение: http://www.bleepingcomputer.com/forums/t/633083/ishtar-ransomware-help-and-support-topic/, а мне выходит:
УдалитьYou are not allowed to use that image extension on this community.
как быть? как добавить пост?
А пользователь "bluntschi" со ссылкой это ваш пост? Вроде же пост опубликован. Возможно при добавлении изображений действует ограничение. Вы вставьте сообщение на radikal.ru или файл на http://rgho.st/ а потом туда ссылку. Или используйте сайт www.sendspace.com если он у вас открывается. У меня не отрывается.
УдалитьС наступившими! Новостей нет?
ОтветитьУдалитьНет пока.
УдалитьСпасибо за инфо. Скажите, надежды на создание дешифратора откровенно нет, так? Или все-таки можно надеяться, пусть и в отсроченном времени? И еще: есть ли достоверные сведения (кроме коммента выше) по случаям оплаты мошенникам, действительно ли они высылают рабочий ключ после оплаты? Пропал очень дорогой мне фотоархив...
ОтветитьУдалитьНадежда есть. Ранее тоже все думали, что никогда не дешифруют CrySiS, Cerber или Shade-Troldesh или ряд других "монстров". Но ведь дешифровали! У меня тоже был архивчик с ценными файлами. Часть я просто удалил, другие оставил и надо же - через полгода, даже больше - ЛК выпустили декриптор, который расшифровал файлы, зашифрованные первыми двкмя версиями Shade. Да так удачно, что я пожалел, что удалил свои файлы. В самом заголовке есть еще одна рекомендация - не помешает в любом случае.
УдалитьПериодически открываю Вашу статью и комментарии к ней. Жаль, что нет новостей, и спасибо за все ответы!
УдалитьПродолжение моей истории: через месяц после переписки о стоимости расшифровки, в феврале, приходит письмо с другого адреса. В нем сообщается, что почта, указанная в readme, заблокирована, проект закрывается, до конца недели расшифровка вчетверо дешевле. Обнаружила это сообщение только сейчас (мой ящик создан был конкретно под эту переписку и почти не посещался), готова платить, но увы, на мое письмо уже сутки нет ответа и видимо и не будет. Возможно, вторая почта тоже уже нерабочая.
На форуме Клуба Касперского модератор (ник тот же, что и на bleepingcomputer, видимо, это один и тот же человек), отвечает, что вернуть файлы нет ни единого шанса. То есть, если я правильно понимаю, работа над этим и не будет вестись.
Marina, если модератор с ником thyrex, то мы сотрудничаем. За таким шифровальщиком, как Ishtar, стоит "теневая сторона" с хорошей финансовой и программной поддержкой. Нам, простым хелперам, их не одолеть. Вымогательские проекты через какое-то время закрываются, чтобы их было труднее отловить, но как я и говорил выше, нередко, их взламывают или перепродают базу ключей дешифрования. Недавно, благодаря подобному Его Величеству Случаю, обломали другой, ранее безнадежный шифровальщик Dharma. Кто-то выложил большую часть ключей, на их основе сразу три антивирусные компании, включая Лабораторию Касперского, выпустили дешифратор. Я предлагаю воспользоваться инструментом CryptoSearch, чтобы избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch.
УдалитьМоё подробное описание на русском языке:
http://anti-ransomware.blogspot.ru/2017/03/cryptosearch.html
Сведения из комментариев я не могу проверить. Их могут оставлять кто-то угодно, даже заинтересованные в оплате. Я не могу их отредактировать - только удалить, если подобный факт подтвердится.
ОтветитьУдалитьЕсть информация, ктото работает над расшифровкой ishtar? Может есть примерные сроки создания расшифровщика?
ОтветитьУдалитьСм. выше мою запись от 25 ноября 2016 г., 9:32
УдалитьДобрый день. Зашифровало у меня все фотки семейные за несколько лет наснятые.Есть ли надежда вернуть всё ?
ОтветитьУдалитьКонстантин, ответил вам на почту.
УдалитьПочему на почту, а не в группу? Многим думаю важно.
УдалитьБлагодарю. Заявление написано,но думаю толку мало. остальное не дало результатов.
Удалитьdjkjiby
УдалитьВ числе прочего я предлагал Константину воспользоваться инструментом CryptoSearch.
С его помощью можно избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch.
Подробное описание на русском языке:
http://anti-ransomware.blogspot.ru/2017/03/cryptosearch.html
Есть ли способ восстановить файлы? Ответьте на почту плиз.
ОтветитьУдалитьЯ не вижу ваш email. Потому отвечаю здесь. Надежда есть. Раньше тоже все думали, что никогда не дешифруют CrySiS, Cerber или Shade-Troldesh или ряд других "монстров". Но ведь дешифровали!
Удалитьздравствуйте. подкинули мне тут файлы, имя и расширение не меняется. создаётся записка, адрес почты sp02@protonmail.com
ОтветитьУдалитьпри этом в папке пользователя создаётся файл с именем cl_data_#.bak
вместо # адрес биткоин кошелька для оплаты. кто-нибудь знает, что это за зверь?
Егор, нам нужно увидеть эту записку, чтобы ознакомиться с её содержимым и файлы, что создаются. Закачайте их на бесплатный хостинг http://rgho.st/ и дайте ссылку. Или пришлите нам на почту, указана в разделе Add info.
Удалитьhttp://rgho.st/6SNPVyP6d
УдалитьЕгор, судя только по названию записки, это один из PClock3 или PClock4. См. их статьи-ссылки по алфавиту в "Список" https://id-ransomware.blogspot.ru/2016/07/ransomware-list.html
УдалитьСтранно, загруженные файлы не качаются. Продублируйте на почту из раздела "Add info".
http://www.fayloobmennik.net/6961966
Удалитьотсюда вроде качается.
Да, по всей видимости, это PClock3 или PClock4. Универсальных декриптеров пока нет.
Удалитьясно. ждём ответ от техподдержки касперского, dr.web отфутболил уже. в индивидуальном порядке иногда расшифровывают.
УдалитьНаш ком тоже зашифровали, прислали такое сообщение ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedhelp@mail2tor.com
ОтветитьУдалить# ЛИБО НА
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# > Стандартный порядок шифрования: AES 256 + RSA 2048.
# > Для каждого файла создается уникальный AES ключ.
# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
Второй день пишу на этот адрес, ответ, что письмо не доставлено.
Можно ли что-нибудь сделать. Написали на Доктор Веб-молчат
Судя по масштабам работы вымогателей данным вопросом давно должны заниматься специалисты Управления "К" и Интерпол, а не антивирусные компании.
УдалитьВся информация представлена выше, в том числе в комментариях.
Добрый день, 9 мая тоже попались((( Зашифрованы все важные файлы. Пыталась отправить письмо, но эл.адреса не существует. С сайта http://grandfix.ru обещают расшифровать за 20 т.р. Но если еще не известно как расшифровать, значит очередной развод??? Что еще интересно, так то, что сегодня увидела, что мультики расшифрованы, а я точно помню, что мы с детьми не могли посмотреть. Пропала приставка ishtar, но есть 2 файла с этой приставкой, и мультики все равно показывает. Может все же расшифруются???
ОтветитьУдалитьОтправила обращение в МВД,
Старые email-адреса вымогателей не работают (заблокированы или брошены). Мультики возможно не зашифрованы потому что файл большого размера или тип файла не входит в список шифрования. РАСШИФРОВКИ НЕТ. Во всяком случае пока. Не верьте разводиловам, они сами не смогу дешифровать это и за сто лет. Если специалисты по дешифровке от антивирусных компаний не могут, значит это сейчас технически нереализуемо. Собрать файлы для будущих времен лучше с помощью программы CryptoSearch. Я описал всё на следующей странице http://anti-ransomware.blogspot.ru/2017/03/cryptosearch.html
УдалитьНужна помощь, советы, консультация (бесплатно) пишите в форму обратной связи. Поддержим контакт по email.
Друзья по несчастью, уведомите, пожалуйста, когда будет дешифратор на эту заразу. У меня нет слов, вся инфа недоступна.
ОтветитьУдалитьК сожалению в наш офис тоже прилетела эта зараза...информацию спасти не удалось...слава богу один комп только. Пробую искать на просторах интернета дешивровщик, пока безрезультатно.
ОтветитьУдалитьДоброго времени суток!
ОтветитьУдалитьУведомите, пожалуйста и меня, когда будет дешифратор на шифровальщик. Большая часть информации по бухгалтерии зашифрована, заранее спасибо.
Как видите здесь, статья написана 31 октября, тогда была первая волна этой вымогательской кампании. В мае пошла новая волна. Крипто-вымогатели, которые не отвечали на контакты, видимо заблокированные почтовиками, перезапустили свой "бизнес".
ОтветитьУдалитьЕсли будет дешифровщик или ключи выложат сами вымогатели, закрывшись, то тут будет ссылка на программу дешифровки. А сами дешифровщики и инструкции появятся по адресу: https://decryptors.blogspot.ru/
# ----------------------------------------------------------------------------------------------------------------------------
ОтветитьУдалить# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com
# ЛИБО НА
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# > Стандартный порядок шифрования: AES 256 + RSA 2048.
# > Для каждого файла создается уникальный AES ключ.
# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
#
# ----------------------------------------------------------------------------------------------------------------------------
# ----------------------------------------------------------------------------------------------------------------------------
# TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# BASIC TECHNICAL DETAILS:
# > Standart encryption routine: AES 256 + RSA 2048.
# > Every AES key is unique per file.
# > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).
#
# ----------------------------------------------------------------------------------------------------------------------------
Расшифровки пока так и нет.
УдалитьПодайте заявление в Управление "К" МВД.
Чем больше заявлений, тем быстрее найдут.
См. в самом вверху ссылку Подробнее >>
http://id-ransomware.blogspot.ru/2016/03/blog-post-online-statement.html
14 июня 2017 я тоже подхватил эту хрень:
ОтветитьУдалить# ----------------------------------------------------------------------------------------------------------------------------
# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com
# ЛИБО НА
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# > Стандартный порядок шифрования: AES 256 + RSA 2048.
# > Для каждого файла создается уникальный AES ключ.
# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
#
# ----------------------------------------------------------------------------------------------------------------------------
# ----------------------------------------------------------------------------------------------------------------------------
# TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# BASIC TECHNICAL DETAILS:
# > Standart encryption routine: AES 256 + RSA 2048.
# > Every AES key is unique per file.
# > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).
#
# ----------------------------------------------------------------------------------------
Расшифровки пока так и нет.
УдалитьПодайте заявление в Управление "К" МВД.
Чем больше заявлений, тем быстрее найдут.
См. в самом вверху ссылку Подробнее >>
http://id-ransomware.blogspot.ru/2016/03/blog-post-online-statement.html
Добрый вечер, ничего? 😓😢😢😢
ОтветитьУдалитьНет, пока.
УдалитьНичего. Дождёмся. Семейные фото стоят того.
ОтветитьУдалитьДешифрование файлов требует затрат, бесплатный дешифратор никто так и не сделал. Обратите внимание на мою статью, см. там раздел с заголовком "Что делать дальше?" и пункты 4) и 5)
УдалитьСсылка: https://id-ransomware.blogspot.ru/2017/03/first-steps-victim.html
В компании Dr.Web могут дешифровать файлы. Создаете запрос, отсылаете записку и несколько файлов формата PDF, DOC/DOCX, JPG/PNG. Ждёте результатов, если удастся получить положительные результаты, то потом в тикете вам это сообщат.
Официальная ссылка: https://products.drweb.ru/decryption_from_ransomware/
Для России Dr.Web Rescue Pack стоит около 5299 рублей, а для других стран 150 евро.
Новостей так и нету?
ОтветитьУдалитьНет, никто так и не выложил мастер ключей. Нахапали денег и рады.
Удалить