Что такое CryptXXX Ransomware
Обновление: с момента появления этой статьи было выпущено несколько новых версий CryptXXX Ransomware (UltraCrypter, CryptMIC). Также было несколько редакций исходного вируса (CryptXXX V2, V3, V4, V5). Новые расширения: .crypt1, .crypz или 5 случайных шестнадцатеричных символов. Новые версии CryptXXX можно расшифровать с помощью Trend Micro Anti-Ransomware.
CryptXXX криптовирус-вымогатель. Он шифрует личные данные пользователя с помощью 256-битного алгоритма AES CBC и запрашивает ключ RSA-4096. На самом деле CryptXXX Ransomware также крадет биткойны, хранящиеся на компьютере, если они есть. Вирус изменяет имена и расширения всех зашифрованных файлов на .crypt, .cryp1 или .crypz, меняет обои рабочего стола с помощью de_crypt_readme.bmp (изображение с черным фоном и белым текстом), создает текстовый файл с инструкциями по уплате выкупа (de_crypt_readme.txt) и файл HTML с теми же инструкциями (de_crypt_readme.html). Выкуп составляет около 1.2 биткойнов или 400 долларов. CryptXXX Ransomware атакует данные на локальных дисках и подключенных устройствах хранения. Программа-вымогатель делает задержку между моментом заражения и началом шифрования, что затрудняет обнаружение. Благодаря специалистам «Лаборатории Касперского» удалить вирус CryptXXX Ransomware и расшифровать файлы .crypt, .cryp1 или .crypz довольно просто. В этой статье мы объясним, как это сделать.
Вот содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.qooqle.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal id D78*****E87
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxxs://torproject.org/projects/torbrowser.html.en
2. Video instruction: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. After a successful installation, run the browser
4. Type in the address bar: http://rp4roxeuhcf2vgft.omon
5. Follow the instructions on the site.
Как CryptXXX Ransomware заразил ваш компьютер
CryptXXX Ransomware атакует компьютеры под управлением операционных систем Windows 10, Windows 8, Windows 7. Он распространяется через спам-сообщения электронной почты с вредоносными вложениями или вредоносными ссылками. CryptXXX Ransomware также может заразить ваш компьютер с помощью торрент-загрузок, игровых ключей и взломов. После загрузки он копирует основной файл в папку% AppData% и запускает процесс шифрования. CryptXXX Ransomware затрагивает следующие типы файлов:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
Скачайте утилиту для удаления
Чтобы полностью удалить CryptXXX Ransomware, мы рекомендуем вам использовать Norton Antivirus от Symantec. Он обнаруживает и удаляет все файлы, папки и ключи реестра CryptXXX Ransomware и предотвращает будущие заражения аналогичными вирусами.
Альтернативный инструмент для удаления
Чтобы полностью удалить CryptXXX Ransomware, мы рекомендуем вам использовать SpyHunter 5 от EnigmaSoft Limited. Он обнаруживает и удаляет все файлы, папки и ключи реестра CryptXXX Ransomware. Пробная версия SpyHunter 5 предлагает сканирование на вирусы и одноразовое удаление БЕСПЛАТНО.
Как удалить CryptXXX Ransomware вручную
Не рекомендуется удалять CryptXXX Ransomware вручную, для более безопасного решения используйте вместо этого Инструменты для удаления.
Файлы CryptXXX Ransomware:
C:\ProgramData\[victim_id].bmp,
C:\ProgramData\[victim_id].html
%AppData%\svchost.exe
%StartupFolder%\[victim_id].lnk
%StartupFolder%\[victim_id]B.lnk
%StartupFolder%\[victim_id]H.lnk
%UserProfile%\Desktop\!Recovery_[victim_id].bmp
%UserProfile%\Desktop\!Recovery_[victim_id].html
%UserProfile%\Desktop\!Recovery_[victim_id].txt
%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll
Ключи реестра CryptXXX Ransomware:
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg"
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\WallpaperSource "C:\PROGRA~3\[victim_id].bmp"
Как расшифровать и восстановить файлы .crypt, .cryp1 или .crypz
Используйте автоматические дешифраторы
Инструмент расшифровки 1
В этом случае может пригодиться дешифратор программ-вымогателей от Касперского. Это бесплатно и легко использовать. Скачать Kaspersky Ransomware Decryptor можно здесь:
Инструмент расшифровки 2
Используйте следующий инструмент от Trend Micro под названием Trend Micro Ransomware File Decryptor, который может расшифровать файлы .crypt, .cryp1, .crypz. Загрузите его здесь:
Нет никакого смысла платить выкуп, так как нет никакой гарантии, что вы получите ключ, плюс вы подвергнете риску свои банковские данные.
Если вы заражены CryptXXX Ransomware и удалили его со своего компьютера, вы можете попытаться расшифровать свои файлы. Поставщики антивирусов и частные лица создают бесплатные дешифраторы для некоторых крипто-шкафчиков. Чтобы попытаться расшифровать их вручную, вы можете сделать следующее:
Используйте Stellar Data Recovery Professional для восстановления файлов .crypt, .cryp1 или .crypz
- Скачать Stellar Data Recovery Professional.
- Нажмите Recover Data .
- Выберите тип файлов, которые хотите восстановить, и нажмите на Следующая .
- Выберите место, откуда хотите восстановить файлы, и нажмите Сканировать .
- Просмотрите найденные файлы, выберите те, которые хотите восстановить, и нажмите Recover.
Использование опции предыдущих версий файлов в Windows:
- Щелкните на зараженный файл правой кнопкой мыши и выберите Объекты.
- Выберите Предыдущие версии меню.
- Выберите конкретную версию файла и нажмите Копировать.
- Чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить .
- Если в списке нет элементов, выберите альтернативный метод.
Использование Shadow Explorer:
- Скачать Shadow Explorer программу.
- Запустите ее, и вы увидите на экране список всех дисков и даты создания теневых копий.
- Выберите диск и дату, с которой вы хотите восстановить.
- Щелкните правой кнопкой мыши на имя папки и выберите Экспортировать.
- Если в списке нет других дат, выберите альтернативный метод.
Если вы используете Dropbox:
- Войдите на сайт DropBox и перейдите в папку, содержащую зашифрованные файлы.
- Щелкните правой кнопкой мыши на зашифрованный файл и выберите Предыдущие версии.
- Выберите версию файла, которую хотите восстановить, и нажмите на Восстановить .
Как защитить компьютер от вирусов, таких как CryptXXX Ransomware, в будущем
1. Получите специальное программное обеспечение для защиты от программ-вымогателей.
Используйте ZoneAlarm Anti-Ransomware
Известный антивирусный бренд ZoneAlarm от Check Point выпустил комплексный инструмент, который поможет с активной защитой от программ-вымогателей. Он также будет отличным дополнением к вашей текущей защите. Инструмент обеспечивает мгновенную защиту от программ-вымогателей и позволяет восстанавливать файлы. ZoneAlarm Anti-Ransomware работает со всеми другими антивирусами, брандмауэрами и антивирусным ПО, кроме продуктов ZoneAlarm Extreme (поскольку в нем уже встроен ZoneAlarm Anti-Ransomware) или Check Point Endpoint . Убойные функции этой программы: автоматическое восстановление файлов, защита от перезаписи, которая мгновенно и автоматически восстанавливает любые зашифрованные файлы, а также блокирует даже неизвестные вирусы-шифровальщики.
2. Создайте резервную копию файлов.
В качестве дополнительного способа сохранения файлов мы рекомендуем онлайн-резервное копирование. Локальные хранилища, такие как жесткие диски, твердотельные накопители, флэш-накопители или удаленные сетевые хранилища, могут быть мгновенно заражены вирусом после их подключения или подключения. CryptXXX Ransomware использует некоторые методы, чтобы воспользоваться этим. Один из лучших сервисов и программ для простого автоматического резервного копирования в Интернете - IDrive. Он имеет максимально выгодные условия и простой интерфейс. Вы можете узнать больше об облачном резервном копировании и хранилище iDrive здесь.
3. Не открывайте спам-сообщения и защищайте свой почтовый ящик.
Вредоносные вложения в спам или фишинговые сообщения электронной почты - самый популярный способ распространения программ-вымогателей. Использование спам-фильтров и создание правил защиты от спама - является хорошей практикой. MailWasher Pro - один из мировых лидеров в области защиты от спама. Он работает с различными настольными приложениями и обеспечивает очень высокий уровень защиты от спама.
Excelente, я получил результат, который он подидо восстановил в архивах серверов. Hay que tomar una «muestra» es decir un archivo encriptado por el virus y el original sin tocar, sólo es necesario un archivo y el programa hace el resto desencriptando todo el disco.
можно файлы cerber расшифровать?
Я был жертвой вируса
Gracias por el aporte, también tengo una variante del troyano, ¿cuando va a salir una versión mas actualizada ?, para poder desencryptar mi equipo con este nefasto troyano
Хола: Te cuento.
Вот список архивов, которые используются для обработки вирусов:
Троян-Ransom.Win32.CryptXXX.
Los archivos por ejemplo: .docx; .PDF; .mp4; .gif; и т.д. los renombró agregándoles .crypt. О море quedaron así: .docx.crypt; .pdf.crypt; .mp4.crypt; .gif.crypt; и т.п.
Чтобы описать все, обратите внимание:
1.-Descargué el «Kapersky Ramsomware Decryptor», щелкнув мышью и вернув дескриптор.
2.-Нажмите кнопку «Начать сканирование», чтобы выполнить процедуру перехода на нужное место.
3.-Para iniciar me pide Abrir uno cualquiera de estos archivos encryptados. O море Busco en cualquiera де лас ковров, un archivo cualquiera де лос encriptados, ло selecciono y doy clic en Abrir.
El descifrador o desencriptador Procede a escanear todo el equipo buscando el archivo seleccionado,
lo encuentra y lo desencrypta y así process con todos los archivos de todas las carpetas hasta terminar.
4.-Regreso у abro cada уна де лас ковра у encuentro en ellas todos los archivos я desencriptados;
pero también siguen estando los encriptados, los cuales comienzo, а также руководство.
Салудо. Estoy en: jctmatus@hotmail.com
Расширение Mis archivos encriptados tienen esa misma. Он следит за различными процедурами, но не выполняет функции, у тампоко альгунос отрос (Панда и т. Д.). Me sale el mensaje «Расшифровка файлов, зашифрованных этим вариантом Trojan-Ransom.Win32.CryptXXX, не поддерживается. Он передает Kaspersky y no me han contestado. Sólo me queda pagar… Идея Альгуны?
Bonjour moi aussi j'ai le même sous il me met version non pris en charge… .j'ai le trojan ransom win 32 cryptXXX v3… .merci de votre aide
hola social este programa no me funciono porque es verción 3 los encuentra pero no los desifra como puedo abrir mis archivos
Hola, todas mis Fotos y documentos fueron encriptadas, y con este Software no me Vale, ya que me pide los datos originales…. Он пробует использовать изображение ковра изображений муэстры, pero tampoco me sirve… Qué puedo Hacer? Necesito las Fotos, сын recuerdos familiares
Здравствуйте,
Как мне расшифровать файлы, на которые повлиял RSA 4096, если у меня нет исходного файла. Я пробовал использовать программу Касперского, но она запрашивает исходный файл.
Пожалуйста, помогите, так как мне нужно расшифровать некоторые файлы jpeg
Для анализа ключа нужен один оригинальный и один зашифрованный файл, используйте изображения из папки Sample Pictures, обычно мы используем этот способ.