Dосстановление windows Контактная информация Карта сайта Cкачать Flash программы
Новости О компании Услуги восстановления данных Партнерская программа Контакты
 
   

2016-06-02

Новая версия вируса-вымогателя - Jigsaw Ransomware, блокируя Ваш экран, использует работы с фотовыставки Invisible Empire (Невидимая Империя).
Это выставка известного художника Juha Arvid Helminen, который показывает, что можно использовать униформу, что бы скрыть себя, пока осуществляются зверства или преступное поведение. Эта тема действительно очень подходит для вымогателей.


Также, как и предыдущие версии вируса-вымогателя Jigsaw, версия Invisible Empire - зашифровывает данные с помощью AES ключа-шифрования, и, требуют выкуп за ключ для дешифровки Ваших файлов. Для этого вам нужно будет оплатить на указанный Биткоин кошелек, а затем нажать кнопку «Я оплатил» (I made a payment).


К сожалению, эта версия вируса будет удалять Ваши файлы каждый раз после перезапуска процесса до достижения счетчиком 0 значения.


Отличие версий этого вируса только в расширении, которое дает вымогатель зашифрованным файлам - это .payransom. В остальном вирусы идентичны.


Напомню, предыдущая версия этого вируса зашифровывала файла, добавляя им такое расширение: .fun, .kkk, .btc, .porno, .gws


Хочу заметить, что фотохудожник выставки Невидимая Империя явно не имеет никакого отношения к шантажу!


Дешифровать и удалить Jigsaw вымогателя можно благодаря пользователю DemonSlay335, который модифицировал свой существующий Jigsaw дешифратор для расшифровки файлов и этой версией вируса.


Для начала, что бы расшифровать Ваши файлы самостоятельно, вам нужно завершить процесс: %UserProfile%\AppData\Roaming\Wrkms\wrkms.exe и %UserProfile%\AppData\Local\Systmd\systmd.exe через Диспечер задач Windows, для того, что остановить удаление файлов. Затем запустите MSConfig и отключите запись, которая запускает этот процесс снова.


После того, как Вы отключили вымогателя и остановили процесс шифрования на вашем компьютере, можно начинать процесс дешифровки.

1) Скачайте и установите Jigsaw Дешифратор по следующей ссылке: JigSawDecrypter.zip
2) Установите программку
3) Нажмите кнопку выбора файла, папки или весь логический диск, на котором зашифрованные файлы. Не ставьте галочку «удалять расшифрованные файлы» (Delete Encrypted Files) пока не убедитесь, что ваши данные успешно расшифрованы.


Когда расшифровка закончена, в окне программы вы увидите надпись: расшифровка закончена!


Надеюсь, после того, как вы успешно восстановите свою информацию, вы установите антивирусное программное обеспечение и сканируйте им полностью весь компьютер.


Файлы, связанные с вирусом:
%UserProfile%\AppData\Local\Systmd\systmd.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
%UserProfile%\AppData\Roaming\Wrkms\
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe


Записи в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wrkms.exe
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe

 

2016-06-06
Дешифратор вируса-вымогателя BadBlock
Найдено решение для восстановления информации для всех, кто пострадал от вируса BadBlock
    ПодробнееПодробнее

2016-06-02
Дешифратор для Jigsaw Ransomware версия Invisible Empire
Новая версия вируса-вымогателя - Jigsaw Ransomware, блокируя Ваш экран, использует работы с фотовыставки Invisible Empire
    ПодробнееПодробнее

2016-05-05
Tesla - вирус-вымогатель, найдено решение!
Tesla - вирус-вымогатель, найдено решение! TeslaCrypt - выпустил программу - Мастер ключ для дешифровки данных, которые пострадали от вируса Тесла
    ПодробнееПодробнее

Новости О компании Услуги восстановления данных Партнерская программа Контакты

УТИЛИТЫ ДЛЯ FLASH
ПРОГРАММЫ ВОССТАНОВЛЕНИЯ ДАННЫХ
ПРОГРАММЫ РЕЗЕРВНОГО КОПИРОВАНИЯ

Google+ 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1