2016-06-02
 Новая версия вируса-вымогателя - Jigsaw Ransomware, блокируя Ваш экран, использует работы с фотовыставки Invisible Empire (Невидимая Империя).
Это выставка известного художника Juha Arvid Helminen, который показывает, что можно использовать униформу, что бы скрыть себя, пока осуществляются зверства или преступное поведение. Эта тема действительно очень подходит для вымогателей.
Также, как и предыдущие версии вируса-вымогателя Jigsaw, версия Invisible Empire - зашифровывает данные с помощью AES ключа-шифрования, и, требуют выкуп за ключ для дешифровки Ваших файлов. Для этого вам нужно будет оплатить на указанный Биткоин кошелек, а затем нажать кнопку «Я оплатил» (I made a payment).
К сожалению, эта версия вируса будет удалять Ваши файлы каждый раз после перезапуска процесса до достижения счетчиком 0 значения.
Отличие версий этого вируса только в расширении, которое дает вымогатель зашифрованным файлам - это .payransom. В остальном вирусы идентичны.
Напомню, предыдущая версия этого вируса зашифровывала файла, добавляя им такое расширение: .fun, .kkk, .btc, .porno, .gws
Хочу заметить, что фотохудожник выставки Невидимая Империя явно не имеет никакого отношения к шантажу!
Дешифровать и удалить Jigsaw вымогателя можно благодаря пользователю DemonSlay335, который модифицировал свой существующий Jigsaw дешифратор для расшифровки файлов и этой версией вируса.
Для начала, что бы расшифровать Ваши файлы самостоятельно, вам нужно завершить процесс: %UserProfile%\AppData\Roaming\Wrkms\wrkms.exe и %UserProfile%\AppData\Local\Systmd\systmd.exe через Диспечер задач Windows, для того, что остановить удаление файлов. Затем запустите MSConfig и отключите запись, которая запускает этот процесс снова.
После того, как Вы отключили вымогателя и остановили процесс шифрования на вашем компьютере, можно начинать процесс дешифровки.
1) Скачайте и установите Jigsaw Дешифратор по следующей ссылке: JigSawDecrypter.zip
2) Установите программку
3) Нажмите кнопку выбора файла, папки или весь логический диск, на котором зашифрованные файлы. Не ставьте галочку «удалять расшифрованные файлы» (Delete Encrypted Files) пока не убедитесь, что ваши данные успешно расшифрованы.
Когда расшифровка закончена, в окне программы вы увидите надпись: расшифровка закончена!
Надеюсь, после того, как вы успешно восстановите свою информацию, вы установите антивирусное программное обеспечение и сканируйте им полностью весь компьютер.
Файлы, связанные с вирусом:
%UserProfile%\AppData\Local\Systmd\systmd.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
%UserProfile%\AppData\Roaming\Wrkms\
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe
Записи в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wrkms.exe
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe
|
Восстановление данных после заражения вируса-вымогателя Петя/НеПетя - ВОЗМОЖНО!
Найдено решение для восстановления информации для всех, кто пострадал от вируса BadBlock
Tesla - вирус-вымогатель, найдено решение!
TeslaCrypt - выпустил программу - Мастер ключ для дешифровки данных, которые пострадали от вируса Тесла
