Дешифратор для .arest-файлов (шифровальщик Trojan-Ransom.Win32.Elcore.a)

Во вложении утилита для расшифровки файлов, пострадавших от шифровальщика [URL="http://virusinfo.info/showthread.php?t=123745"]Trojan-Ransom.Win32.Elcore.a[/URL] (файлы получают расширение .arest)

[URL=http://s1.ipicture.ru/Gallery/Viewfull/13042599.html][IMG]http://s1.ipicture.ru/uploads/20120910/thumbs/GVhIswH7.bmp[/IMG][/URL]

[spoiler=Как пользоваться]

1. После запуска программа проверяет наличие ключевого файла ([B]UpdatesLog.txt.arest[/B]) и файла проверки валидности ключа ([B]ok.txt.arest[/B]) по одному из следующих путей:
[QUOTE]– [B]Application Data[/B] в папке проблемного пользователя (для [U]Windows XP[/U])
– [B]AppData\Roaming[/B] в папке проблемного пользователя (для [U]Windows Vista и Windows 7[/U])[/QUOTE]
Если файлов не нашлось, поиск этих файлов производится [B]в папке самой программы[/B].
В случае отсутствия ключей выводится соответствующее сообщение.

[COLOR="red"][B]Примечание[/B][/COLOR]: не пытайтесь использовать неподходящую пару файлов для другого пользователя. Хотя программа проверяет корректность расшифровки, лучше перестраховаться.

2. Если [B]оба файла[/B] найдены, проводится проверка валидности ключа. В случае неподходящего ключа выводится соответствующее сообщение.

3. Если проверка валидности прошла успешно, становятся доступными опции поиска зашифрованных файлов и файлов с сообщениями шифровальщика:
[QUOTE]– выбрать папку (диск) для поиска ([B]рекомендуется[/B], причем сначала стоит проверить на какой-либо одной папке);
– проверять все жесткие диски[/QUOTE]

4. Выбираем нужный вариант и ждем окончания поиска.
В случае обнаружения зашифрованных файлов и (или) файлов с сообщениями шифровальщика становится доступной кнопка [B]Расшифровать[/B].
[U]Один нюанс[/U]: после поиска придется лишний раз кликнуть на главной форме программы, чтобы она снова получила фокус :) Пока не смог победить эту странную проблемку.

5. Прежде, чем выполнять расшифровку, можно выполнить дополнительные настройки:
[QUOTE]– удалять зашифрованные файлы после расшифровки (хотя программа проверяет корректность расшифровки, лучше активировать только после пробного испытания дешифратора на файлах в какой-то одной папке);
– удалять записи шифровальщика в реестре;
– удалять файлы WARNING.txt с сообщениями шифровальщика ([B]включена по умолчанию[/B])[/QUOTE]

6. Нажимаем кнопку [B]Расшифровать[/B] и ждем окончания процедуры расшифровки

В нижней части окна программы ведется лог работы при поиске зашифрованных файлов и файлов с сообщениями шифровальщика (сколько было найдено), при расшифровке (сколько было расшифровано). Сам лог обработки (расшифровки) файлов по окончании работы сохраняется на [U]диск С[/U] в файле вида [B]dearest-дата-время.txt[/B]

7. Файлы, указанные в п. 1, [U][B]специально[/B][/U] не попадают в список дешифровки и удаления на случай непредвиденных ситуаций. Когда убедитесь в том, что [B]ВСЕ ФАЙЛЫ[/B] расшифровались успешно, можно их удалить вручную.

[/spoiler]

[b]thyrex[/b], респект за утилиту! Думаю, что очень многие тебе спасибо скажут за нее. :beer:

Или захотят отомстить.

Спаситель!!!!:-} Я уж думал всё, капец, куча рабочих доков и екселек навечно сдохли. И тут такой подарок, товарищ ссылку прислал! Как отблагодарить?;-}

thyrex 8) - это очень крутой чувак!! ))

Спасибо!!!!! работает!!!

Спасибо

thyrex, спасибо за помощь! Скажите, для тех у кого не осталось UpdatesLog.txt.arest, нет шанса на дешифровщик?
Утилита выдала ошибочное сообщение о том, что не нашла ключевых файлов...:(

[quote="MiAlex78;924313"]для тех у кого не осталось UpdatesLog.txt.arest, нет шанса на дешифровщик?[/quote]Именно так, поскольку не известен алгоритм генерации кода

[QUOTE=MiAlex78;924313]thyrex, спасибо за помощь! Скажите, для тех у кого не осталось UpdatesLog.txt.arest, нет шанса на дешифровщик?
Утилита выдала ошибочное сообщение о том, что не нашла ключевых файлов...:([/QUOTE]

Попробуйте восстановить этот файл, если его удалили по какой-то причине. Есть программа UnErase и аналоги. Можно попробовать восстановить по крайней мере

[b]Ilya Shabanov[/b], идет троекратная перезапись мусором перед удалением

У меня есть файлы ok.txt.arest и updatelog.txt.arest. Последний я вытащил из удалённых. Но дешифратор их ненашёл. В папке AppData\Roaming их теперь нет они у меня на флэшке. Как быть. И ещё я сомневаюсь на счет последнего файла - его название немного отличается (в нём нет буквы s). Что посоветуете?

[quote="rty;924365"]его название немного отличается (в нём нет буквы s)[/quote]Значит это не тот файл и расшифровать не представляется возможным

Уважаемый thyrex! Большое спасибо за дешифратор! У меня вопрос следующего плана. У меня на компьютере отсутствует файл UpdatesLog.txt.arest, в то время как ok.txt.arest присутствует. Возможно ли как то фостановить файл, имея в наличии огромное количество файлов, пораженных вирусом, как то из этих файлов вытащить ключ? заранее спасибо.

[QUOTE=thyrex;924348][b]Ilya Shabanov[/b], идет троекратная перезапись мусором перед удалением[/QUOTE]

Тогда уже все ... :(

[quote="grek87;924445"]У меня на компьютере отсутствует файл UpdatesLog.txt.arest, в то время как ok.txt.arest присутствует. Возможно ли как то фостановить файл, имея в наличии огромное количество файлов, пораженных вирусом, как то из этих файлов вытащить ключ?[/quote]Нет, невозможно

[QUOTE=thyrex;924494]Нет, невозможно[/QUOTE]

thyrex здравствуйте? файла [B]UpdatesLog.txt.arest[/B] нет вирус завершил свое дело. А если вирус заново запустить на компьютере и вовремя прикатить процесс ключ-файл [B]UpdatesLog.txt.arest[/B] будет идентичный тому который нужен? Еще не подскажите ни кто не делился дешифратором к компании 475?

Ну а что же делать тем кто удалил эти 2 файла? :-( Неужели все их оставили, печалько...:(:(:(

[quote="Алексей121986;924690"]А если вирус заново запустить на компьютере и вовремя прикатить процесс ключ-файл UpdatesLog.txt.arest будет идентичный тому который нужен?[/quote]Маловероятно

[quote="Алексей121986;924690"]Еще не подскажите ни кто не делился дешифратором к компании 475?[/quote]Это с сообщением "от нигерийских (сомалийских, зимбабвийских и пр.) пиратов"? Если так, то только пробовать XoristDecryptor

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Andrey87;924697"]Ну а что же делать тем кто удалил эти 2 файла?[/quote]Если был известен алгоритм генерации кода, помочь было бы возможно. А так увы

[b]thyrex[/b], Если вы говорите что тем у кого нет файла updateslog.txt.arest, нет шансов спасти файлы, то может есть пособирать этот файл у других пользователей? А утилита будет проверять по моему файлу ok.txt.arest??? Вдруг чей то файл подойдет? Все равно я уже ничего не теряю?