Seznam dešifrovacích nástrojů pro ransomware |
Pamatujete si, jak jste si kdysi říkali, že na vašich datech přece nikomu nezáleží? Že přece nemají pro nikoho cenu a nikdo se nebude namáhat s jejich krádeží? Tento problém už hackeři vyřešili, konečně totiž mají kupce, který je ochoten za vaše data zaplatit. Jste to vy.
Vyděračský software, tzv. ransomware, patří k tomu nejhoršímu, s čím se na webu můžete potkat. Programy tohoto typu totiž našly velmi výhodnou a přímočarou cestu k výdělku. A ten neustále stoupá.
Objem výkupných vyplacených autorům ransomware stoupl v USA až čtyřicetkrát, odhadla FBI |
Zatímco v roce 2015 bylo podle FBI na výkupných zaplaceno 24 milionů dolarů, v roce 2016 se zisk hackerů odhaduje na miliardu dolarů (cca 25 miliard korun), což dělá z ransomware jednoznačně lukrativní obor. Vznikají proto nové a nové programy, které hledají, jak se dostat do vašeho počítače a vytřískat z vás nějaký ten bitcoin. „Je to jako zlatá horečka,“ myslí si Limor Kessem, vrchní poradce IBM pro počítačovou bezpečnost. „Kyberzločinci díky ransomware mohou vydírat na masové úrovni. A více a více zločinců se chce svézt na této výdělečné vlně.“
Jak funguje ransomware?
Ransomware je škodlivý program, který se do vašeho počítače dostane některou z klasických cest: spamovou zprávou (např. nový ransomware Spora), z odkazu na podezřelých stránkách, virem přiloženým k jinému programu nebo třeba cíleným útokem.
Jakmile se ransomware dostane na váš disk a podaří se mu získat příslušná oprávnění (používá k tomu různé triky), začne pracovat na vašem vydírání. Na napadeném počítači začne šifrovat dostupné fotky, dokumenty a další soubory. Když jsou zašifrované, zobrazí majiteli zprávu s jednoduchým sdělením: „Vaše soubory jsou zašifrovány. Zaplaťte výkupné, nebo se k nim již nedostanete. Pokud chcete své soubory ještě někdy vidět, nemáte jinou možnost.“
Tak to vypadá, když váš počítač napadne ransomware. Zašifruje vám soubory a vyžaduje výkupné.
Pokud je ransomware dobře napsaný a správně implementoval silné šifry, pak skutečně není k datům jiná cesta než útočníkům zaplatit. Bezpečnostní odborníci proto doporučují, abyste si dělali pravidelné zálohy, aktualizovali svůj antivirový program, operační systém i prohlížeč. Nepomůže naopak pouhé nastavení „stínových kopií“ (Shadow Copy) v systému Windows. „Většina prevalentních ransomware kmenů Shadow Copy cíleně maže. Jako záloha proti ransomware útoku je to tedy zcela nevhodné,“ varuje Jakub Křoustek ze společnosti Avast.
V Česku byly napadeny desetitisíce uživatelů
Jak je vidět na screenshotech výše, řada ransomwarů už má i svou českou verzi. To ukazuje, že útočníci chtějí zvýšit „uživatelský zážitek“ placení - a tedy i úspěšnost vydírání. Dochází tak k paradoxní situaci, kdy hackeři mají stránky s často kladenými dotazy, uživatelskou podporou nebo třeba návody na to, jak si v ČR nejsnáze směnit koruny na bitcoiny, ve kterých se výkupné obvykle platí.
Česko zaznamenalo nárůst počtu útoků ransomware o 250 %, uvádí Avast |
“Počet českých uživatelů, kteří byli letos ransomwarem napadeni za období červenec až srpen, se oproti lednu až březnu navýšil více než pětkrát,“ napsal nám Jan Sekera, regionální manažer kaspersky lab pro střední Evropu. „Ransomwarovými rodinami, které si na základě dat Kaspersky Lab připsaly v České republice nejvíce obětí, byly CTB-Locker (7,33 %), Locky (6,01 %) a CryptoWall (1,91 %).“ V celé Evropě se podle něj počet útoků v průběhu roku ztrojnásobil. Podle výzkumu Kaspersky Lab byla v posledních měsících ransomwarem napadeno 28 % evropských podniků (jde o pokusy).
Počet detekcí ransomware v České republice
Také česká společnost Avast hlásí v česku nárůst útoků: „ V roce 2016 jsme každý měsíc zabránili průměrně 16 tisícům ransomware útoků na naše klienty,“ uvedl Jakub Křoustek, vedoucí týmu Virus Lab společnosti Avast. „To je nárůst o více než 250 % oproti minulému roku. Pro srovnání, celosvětově je tento nárůst kolem 100 %. Monitorujeme šíření hned několika kmenů, které obsahují instrukce pro platbu výkupného v češtině: Crypt0L0cker (dříve TorrentLocker), Crypt888 nebo například Kostya. Kostya cílí pouze na česky mluvící oběti, což může vypovídat o jeho autorech.“
Tak to vypadá, když vás napadne ransomware K0stya.
A na kolik takové rozšifrování dat přijde? „Ze statistik, které má Kaspersky Lab k dispozici, vyplývá, že celosvětově výkupné za odšifrování a opětovné zpřístupnění dat zaplatí v průměru 40 % obětí,“ uvedl Sekera. „Částka, kterou kyberzločinci po obětech požadují, průměrně činí 7 500 Kč. Nicméně každý pátý podnik, který výkupné zaplatil, svá data stejně nedokázal obnovit.“ To přibližně odpovídá statistikám FBI, které navíc naznačují, že průměrné požadované výkupné vytrvale stoupá, v roce 2016 už v USA dosáhlo 679 dolarů (přes 17 tisíc korun). Hackeři často výši výkupného uzpůsobují kupní síle dané země, proto jsou požadované částky v USA nad celosvětovým průměrem. Do Ameriky také míří přibližně třetina všech útoků, alespoň tomu nasvědčují data Kaspersky Lab.
Častým cílem útoků jsou vzdělávací instituce, zřejmě proto, že pro ně mají data velkou cenu a přitom obvykle nemají IT oddělení specializované na ochranu dat. Zatímco velké firmy se vždy musely bránit například sabotážím či průmyslovým špionážím, střední školy mohly spoléhat na to, že si na nich přece nikdo nic nevezme.
Střední škola v Kalifornii zaplatila hackerům skoro tři čtvrtě miliónu korun. |
To už ale neplatí, naopak. Střední škola v Kalifornii se stala novým varovným příkladem, když zaplatila hackerům 28 tisíc dolarů v bitcoinech (skoro tři čtvrtě miliónu korun) za odemčení klíčových dat na jejich síti. „Naši najatí poradci na kyberbezpečnost usoudili, že zaplacení výkupného v tomto případě povede k nejpravděpodobnější obnově našich dat, zatímco kdybychom platbu odmítli, skoro jistě bychom o data přišli,“ uvedl ředitel školy. Měl štěstí, že po zaplacení skutečně dostal dešifrovací program, kterým jeho podřízení nyní odemykají jeden stroj po druhém. Ne všichni, kdo hackerům zaplatí výkupné, se ke svým datům dostanou. Zatímco někteří odborníci radí za data zaplatit, jiní varují, že to je krátkozraká strategie. Všichni se ale shodují, že nejdůležitější je prevence.
Jak se dostat ke svým datům bez zaplacení? Někdy to jde
Jak již bylo řečeno, v principu lze napsat ransomware tak, že je jeho šifra neprolomitelná. Ale ne všichni hackeři umí data správně zašifrovat. Některé druhy ransomwaru jsou samy o sobě zranitelné. Jindy se pracovníkům bezpečnostních firem podaří hacknout hackery nebo jiným způsobem získat přístup k dekódovacím klíčům.
Sestavili jsme pro vás přehled nástrojů, s nimiž můžete získat svá data zpět bez zaplacení. Tyto tzv. dekryptory jsou obvykle vyvíjeny bezpečnostními či antivirovými firmami. V následující tabulce předkládáme aktuální přehled různých ransomwarů a specifických nástrojů určených k jejich dekódování.
Upozornění: Redakce Technet.cz nemohla z pochopitelných technických důvodů vyzkoušet všechny zde odkazované dešifrovací nástroje. Jejich použití je tedy čistě na vás.
| Název ransomware | Nástroj | Výrobce |
|---|---|---|
| 777 | Decrypter for 777 | Emsisoft, Trend Micro |
| AES-NI | AES-NI Decryptor | ESET, Avast |
| Agent.iih | Rakhni Decryptor | Kaspersky |
| Alcatraz Locker | Alcatraz Locker Fix | Avast |
| Al-Namrood | Decrypter for Al-Namrood | Emsisoft |
| Alpha Ransom | Alphadecrypter Decryptor | Bleeping Computer |
| Amnesia | Decrypter for Amnesia | Emsisoft |
| Amnesia2 | Decrypter for Amnesia2 | Emsisoft |
| Annabelle | BDAnnabelleDecryptTool | Bitdefender, Bleeping Computer |
| Apocalypse | Apocalypse Fix | Avast |
| Apocalypse | Decrypter for Apocalypse | Emsisoft |
| ApocalypseVM | Decrypter for ApocalypseVM | Emsisoft |
| Aura | Rakhni Decryptor | Kaspersky |
| Autoit | Rakhni Decryptor | Kaspersky |
| AutoLocky | Decryptor for AutoLocky | Emsisoft, Trend Micro |
| Avest Ransom | Avest Decryptor | Emsisoft |
| BadBlock | BadBlock Fix aj. | Avast, Emsisoft, Trend Micro |
| Bart | Bart Fix | Avast |
| BigBobRoss | ||
| Bitcryptor | CoinVault Decryptor | Michihiro Nakajima |
| Bitman | Rakhni Decryptor | Kaspersky |
| Breaking Bad, Heisenberg, Xtbl, ytbl | Shade Decryptor | Kaspersky, Intel |
| BTCWare | BTCWare Fix | Avast |
| Cerber v1 | Ransomware File Decryptor | Trend Micro |
| CoinVault | CoinVault Decryptor, CoinVault Decryptor | Michihiro Nakajima, Kaspersky |
| Cry128 | Decrypter for Cry128 | Emsisoft |
| Cry9 | Decrypter for Cry9 | Emsisoft |
| Cryakl | Rannoh Decryptor | Kaspersky |
| Crybola | Rannoh Decryptor | Kaspersky |
| CrypBoss | Decrypter for CrypBoss | Emsisoft |
| Crypt888 | Crypt888 Fix | Avast |
| CryptInfinite | Decrypter for CryptInfinite | Emsisoft |
| CryptoDefense | Decrypter for CryptoDefense | Emsisoft |
| Cryptokluchen | Rakhni Decryptor | Kaspersky |
| Cryptolocker | Decryptolocker, CryptoLocker Decryption Tool | FireEye, Fox-IT (již nedostupné) |
| CryptXXX verze 1, 2 a 3 | Rannoh Decryptor | Kaspersky, Trend Micro |
| CryptXXX verze 4, 5 | Ransomware File Decryptor | Trend Micro |
| Crypt888 | Mircop Crypt888 Decrypt | Avast |
| CryptoMix | CryptomixFix | Avast |
| CryptON | Decrypter for CryptON | Emisoft |
| Crysis | Rakhni Decryptor aj. | Kaspersky, Trend Micro, Avast |
| Damage | Damage Decryptor | Emisoft |
| Decrypt Protect | Decrypt MBL Block | Emsisoft |
| Democry | Rakhni Decryptor | Kaspersky |
| DemoTool | Ransomware File Decrypter | Trend Micro |
| Dharma | Rakhni Decryptor | Kaspersky, Avast |
| djvu | stop djvu | Emisoft |
| DMALocker | Decrypter for DMALocker | Emsisoft |
| DMALocker2 | Decrypter for DMALocker2 | Emsisoft |
| DXXD | Ransomware File Decryptor | Trend Micro |
| EncrypTile | Encryptile Fix | Avast |
| Everbe | InsaneCryptDecrypter Decryptor | Bleeping Computer |
| Fabiansomware | Decrypter for Fabiansomware | Emsisoft |
| FenixLocker | Decrypter for FenixLocker | Emsisoft |
| FindZip (MacOS) | FindZip Fix | Avast |
| Fury | Rannoh Decryptor | Kaspersky |
| GandCrab | GandCrap decrypt | Avast |
| Globe | Globe Fix | Avast |
| Globe | Decrypter for Globe | Emsisoft |
| Globe2 | Decrypter for Globe2 | Emsisoft |
| Globe3 | Decrypt Globe3 | Emsisoft |
| GlobeImposter | Decrypter for GlobeImposter | Emsisoft |
| Gomasom | Decrypter for Gomasom | Emsisoft |
| Harasom | Decrypter for Harasom | Emsisoft |
| Hakbit Ransom | Hakbit Decryptor | Emsisoft |
| HiddenTear | HiddenTear Fix | Avast |
| HildaCrypt | hildacrypt Decryptor | Emsisoft |
| HKCrypt | HKCrypt Decryptor | Emsisoft |
| HydraCrypt | Emsisoft Decrypter | Emsisoft |
| Chimera | ChimeraDecryptor aj. | Kaspersky, Trend Micro |
| Iams00rry | Iams00rry Decryptor | Emsisoft |
| InsaneCrypt | InsaneCryptDecrypter Decryptor | Bleeping Computer |
| Iwanttits | Ransomwared Decryptor | Emsisoft |
| Jaff Ransomware | Rakhni Decryptor | Kaspersky |
| Jigsaw | Jigsaw Fix aj. | Avast, Trend Micro |
| JSWorm | JS WORM 2.0 Decryptor | Emsisoft |
| KeyBTC | Decrypter for KeyBTC | Emsisoft |
| Kokokrypt | KokoKrypt Decryptor | Emsisoft |
| LambdaLocker | Lambdalocker Fix | Avast |
| Lamer | Rakhni Decryptor | Kaspersky (návod) |
| Legion | Legion Fix | Avast |
| LeChiffre | Decrypter for LeChiffre aj. | Emsisoft, Trend Micro |
| Linux.Encoder | Linux.Encoder Decryptor | BitDefender |
| Lortok | Rakhni Decryptor | Kaspersky |
| MacRansom | MacRansom Decryptor | Trend Micro |
| Marlboro | Decrypter for Marlboro | Emsisoft |
| Marsjoke | Rannoh Decryptor | Kaspersky |
| Merry X-Mas | MXM_Decryptor | Check Point |
| MirCop | Ransomware File Decryptor | Trend Micro |
| MRCR | Decrypter for MRCR | Emsisoft |
| Nemucod | Decrypter for Nemucod aj. | Emsisoft, Trend Micro |
| NemucodAES | Decrypter for NemucodAES | Emsisoft |
| Nmoreira | Decrypter for NMoreira | Emsisoft |
| NoobCrypt | NoobCrypt Fix | Avast |
| OpenToYou | Decrypter for OpenToYou | Emsisoft |
| OzozaLocker | Decrypter for OzozaLocker | Emsisoft |
| PClock | Decrypter for PClock | Emsisoft |
| Petya | Hack Petya | GitHub |
| Philadelphia | Decrypter for Philadelphia | Emsisoft, Avast |
| Pletor | Rakhni Decryptor | Kaspersky |
| Polyglot | Rannoh Decryptor | Kaspersky |
| Popcorn | Popcorn Decryptor | Elevenpaths |
| Purge | Ransomware File Decryptor | Trend Micro |
| Radamant | Decrypter for Radamant | Emsisoft |
| Rakhni | Rakhni Decryptor | Kaspersky |
| Rannoh | Rannoh Decryptor | Kaspersky |
| Rotor | Rakhni Decryptor | Kaspersky |
| Shade | Shade Decryptor | Kaspersky, Intel, Avast |
| SNSLocker | Ransomware File Decryptor | Trend Micro |
| Stampado | Emsisoft Decrypter for Stampado aj. | Emsisoft, Avast, Trend Micro |
| Striked | StrikedDecrypter | Gillespie |
| SZFLocker | SZFLocker Fix | Avast |
| TeleCrypt | Ransomware File Decrypter | Trend Micro |
| TeslaCrypt | TeslaDecryptor, TeslaCrypt Fix, Tesla Crypt Decryptor | Kaspersky, Intel, Avast, ESET, GitHub, Trend Micro |
| Teamxrat/Xpan | Ransomware File Decryptor | Trend Micro |
| TM Ransomware | TM Ransomware File Decryptor | Trend Micro |
| UmbreCrypt | Emsisoft Decrypter | Emsisoft |
| Vandev | XoristDecryptor | Kaspersky |
| Wildfire | WildFire Decryptor, WildFire Decrypt | Kaspersky, Intel |
| XData | Rakhni Decryptor | Kaspersky, ESET |
| Xorbat | File Decryptor | Trend Micro |
| Xorist | XoristDecryptor, Decrypter for Xorist | Kaspersky, Emsisoft |
| Zyka | StupidDecryptor | Gillespie |
Pokud najdete v tabulce chybu či nepřesnost, dejte nám prosím vědět prostřednictvím tohoto formuláře a my tabulku doplníme. Pokud jste nenašli, jak vaše soubory dekódovat, dalším zdrojem jsou také seznamy na Avast.com, Barkly.com a NoMoreRansom.org. Existují také univerzální dešifrátory, které se snaží zvládnout více různých ransomware, například ten od Trend Micro nebo McAfee Ransomware Recover.
Přehled aktualizací článku:
- 17. ledna 2017 jsme do tabulky doplnili ransomware dešifrátory pro CryptXXX verze 3, Globe3, OpenToYou, Marlboro, MRCR a GlobeImposter.
- 4. února 2017 jsme do tabulky doplnili nové dešifrátory pro HiddenTear, Jigsaw a Stampado/Philadelphia.
- 5. února 2017 jsme do tabulky doplnili nové dešifrátory pro Linux.Encoder, TM Ransomware a Popcorn.
- 6. února 2017 jsme doplnili odkazy na další případné zdroje dešifrovacích nástrojů.
- 16. března 2017 jsme doplnili odkazy na další dešifrátory: FindZip, Dharma, CryptON a Damage.
- 22. března 2017 jsme doplnili odkaz na Trend Micro Ransomware File Decryptor a do tabulky jsme doplnili dešifrátory pro Xorbat, SNSLocker, Cerber, MirCop, Purge, DXXD, Teamxrat, DemoTool, TeleCrypt
- 12. května 2017 jsme doplnili odkaz na dešifrátory pro Amnesia, Cry128 a Cry9. Doplnili jsme odkazy na další zdroje.
- 5. června 2017 jsme doplnili dešifrátory Amnesia2 a XData
- 6. června 2017 jsme doplnili odkazy na dešifrátory AES-NI a XData.
- 20. srpna 2017 jsme doplnili odkazy na dešifrátory Lambdalocker, NemucodAES, MacRansom, EncrypTile, Jaff, BTCware, Zyka, Striked, CryptoMix
- 21. srpna 2017 jsme doplnili odkaz na dešifrátor Merry X-Mas.
- 20. května 2020 jsme kvůli nově zvýšené intenzitě ransomware doplnili několik odkazů na nové nástroje
