Vi understøtter browsere, ikke dinosaurer. Opdater din browser, hvis du vil se indholdet af denne webside korrekt.

Gratis værktøjer til dekryptering af ransomware

Ramt af ransomware? Betal ikke "løsepengene"!

Vores gratis værktøjer til dekryptering af ransomware kan hjælpe dig med at dekryptere filer, der er krypteret af følgende slags ransomware. Klik blot på et navn for at se tegnene på en infektion, og få vores gratis rettelse.

Ønsker du hjælp til at forhindre fremtidige ransomware-infektioner?

Download Avast Free Antivirus.

AES_NI

AES_NI er en ransomwarestamme, der så dagens lys i december 2016. Siden da har vi observeret flere varianter med forskellige filtypenavne. Til filkryptering anvender ransomwaren AES-256 kombineret med RSA-2048.

Ændringer af filnavne:

Ransomwaren føjer én af følgende filtypenavne til krypterede filer:
.aes_ni
.aes256
.aes_ni_0day

I hver mappe med mindst én krypteret fil findes filen "!!! READ THIS - IMPORTANT !!!.txt". Ransomwaren opretter desuden en nøglefil med et navn tilsvarende: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day i mappen C:\ProgramData.

Meddelelse om løsepenge:

Filen "!!! READ THIS - IMPORTANT !!!.txt” indeholder følgende løsepengebesked:

+

Download AES_NI-rettelse

Alcatraz Locker

Alcatraz Locker er en type ransomware, der først blev opdaget i midten af november 2016. Denne ransomware krypterer brugeres filer med AES 256-kryptering kombineret med Base64-kodning.

Ændringer af filnavne:

Krypterede filer har filtypenavnet ".Alcatraz".

Meddelelse om løsepenge:

Når dine filer er blevet krypteret, vises der en lignende meddelelse (den findes i en fil "ransomed.html" på brugerens skrivebord):

+

Hvis Alcatraz Locker har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Alcatraz Locker-rettelse

Apocalypse

Apocalypse er en type af ransomware, der først blev opdaget i juni 2016. Her er tegnene på infektion:

Ændringer af filnavne:

Apocalypse føjer .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.doc.locked)

Meddelelse om løsepenge:

Hvis der åbnes en fil med filtypenavnet .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt eller .Where_my_files.txt (f.eks. Thesis.doc.How_To_Decrypt.txt), vises denne type meddelelse:

Download Apocalypse-rettelse Download ApocalypseVM-rettelse

BadBlock

BadBlock er en type af ransomware, der først blev opdaget i maj 2016. Her er tegnene på infektion:

Ændringer af filnavne:

BadBlock omdøber ikke dine filer.

Meddelelse om løsepenge:

Når BadBlock har krypteret dine filer, viser det en af disse meddelelser (fra en fil med navnet Help Decrypt.html):

+ +

Hvis BadBlock har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download BadBlock-rettelse til 32-bit Windows Download BadBlock-rettelse til 64-bit Windows

Bart

Bart er en type af ransomware, der først blev opdaget i slutningen af juni 2016. Her er tegnene på infektion:

Ændringer af filnavne:

Bart føjer .bart.zip til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.docx.bart.zip) Disse er krypterede ZIP-arkiver, der indeholder de originale filer.

Meddelelse om løsepenge:

Når Bart har krypteret dine filer, ændrer det din skrivebordsbaggrund til et billede som det herunder. Teksten på dette billede kan også bruges til at identificere Bart og gemmes på skrivebordet i filer med navnet recover.bmp og recover.txt.

+

Hvis Bart har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Taksigelse: Vi vil gerne takke Peter Conrad fra PkCrack for at lade os bruge hans bibliotek i vores Bart-dekrypteringsværktøj.

Download Bart-rettelse

BigBobRoss

BigBobRoss krypterer brugerens filer med AES128-kryptering. De krypterede filer har et nyt filtypenavn ".obfuscated" tilføjet til sidst i filnavnet.

Ændringer af filnavne:

Ransomwaren tilføjer følgende filtypenavn: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Ransomwaren opretter også en tekstfil kaldet "Read Me.txt" i hver mappe. Filens indhold vises nedenfor.

+

Download BigBobRoss-rettelse

BTCWare

BTCWare er en ransomwarestamme, der så dagens lys i marts 2017. Siden da observerede vi fem varianter, der kan identificeres af krypteret filtypenavn. Ransomwaren anvender to forskellige krypteringsmetoder – RC4 og AES 192.

Ændringer af filnavne:

Krypterede filnavne vil have følgende format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Desuden kan én af følgende filer findes på pc'en
Key.dat på %USERPROFILE%\Desktop

1.bmp i %USERPROFILE%\AppData\Roaming
#_README_#.inf eller !#_DECRYPT_#!.inf i hver mappe med mindst én krypteret fil.

Meddelelse om løsepenge:

Efter dine filer er blevet krypteret, ændres skrivebordsbaggrunden til følgende:

+
Du vil muligvis også se én af følgende løsepengebeskeder:
+ +

Download BTCWare-rettelse

Crypt888

Crypt888 (også kendt som Mircop) er en type af ransomware, der først blev opdaget i juni 2016. Her er tegnene på infektion:

Ændringer af filnavne:

Crypt888 tilføjer Lock. til starten af filnavne. (f.eks. Thesis.doc = Lock.Thesis.doc)

Meddelelse om løsepenge:

Når Crypt888 har krypteret dine filer, ændrer det din skrivebordsbaggrund til et af følgende:

+ + + + + + +

Hvis Crypt888 har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Crypt888-rettelse

CryptoMix (Offline)

CryptoMix (også kendt som CryptFile2 eller Zeta) er en type ransomware, der først blev opdaget i marts 2016. I starten af 2017 opstod der en ny variant af CryptoMix kaldet CryptoShield. Begge varianter krypterer filer ved hjælp af AES256-kryptering med en entydig krypteringsnøgle, der er downloadet fra en fjernserver. Men hvis serveren ikke er tilgængelig, eller brugeren ikke har internetforbindelse, krypterer ransomwaren filer med en fast nøgle ("offlinenøgle").

Vigtigt: Det leverede krypteringsværktøj understøtter kun filer, der er krypteret ved hjælp af en "offlinenøgle". I tilfælde, hvor offlinenøglen ikke blev brugt til at kryptere filer, vil vores værktøj ikke kunne gendanne filerne, og der sker ingen filændring.
Opdatering 21-07-2017: Dekrypteringen blev opdateret for også at virke med Mole-varianten.

Ændringer af filnavne:

Krypterede filer vil have et følgende filtypenavne: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl eller .MOLE.

Meddelelse om løsepenge:

Følgende filer findes muligvis på pc'en efter filkryptering:

+ + + + +

Hvis CryptoMix har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download CryptoMix-rettelse

CrySiS

CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) er en ransomware, der er blevet registreret siden september 2015. Den anvender AES-256 kombineret med asymmetrisk RSA-1024-kryptering.

Ændringer af filnavne:

Krypterede filer har mange forskellige filtypenavne, inkl.:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Meddelelse om løsepenge:

Når dine filer er krypteret, vises en af følgende meddelelser (se herunder). Meddelelsen findes i "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" eller "HOW TO DECRYPT YOUR DATA.txt" på brugerens skrivebord. Skrivebordsbaggrunden ændres også til ét af billederne herunder.

+ + + + + + + + + + +

Hvis CrySiS har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download CrySiS-rettelse

EncrypTile

EncrypTile er en ransomware, som vi første gang registrerede i november 2016. Efter et halvt års udvikling fangede vi en ny, endelig version af denne ransomware. Den anvender AES-128-kryptering med en nøgle, der er konstant for en given pc og bruger.

Ændringer af filnavne:

Ransomwaren føjer ordet "encrypTile" til et filnavn:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Denne ransomware opretter også fire nye filer på brugerens skrivebord. Navnene på disse filer er oversat – her er deres engelske versioner:

+
Meddelelse om løsepenge:
+ +
Sådan køres dekrypteringen

Hvis ransomwaren kører, forhindrer den aktivt brugeren i at køre nogen værktøjer, der potentielt kan fjerne den. Se blogindlægget for at få mere detaljerede instruktioner i, hvordan du kører dekrypteringen, i tilfælde af at ransomwaren kører på din pc.

Download EncrypTile-rettelse

FindZip

FindZip er en ransomwarestamme, der blev observeret i slutningen af februar 2017. Denne ransomware spreder sig på Mac OS X (version 10.11 eller nyere). Krypteringen baserer sig på at oprette ZIP-filer – hver krypteret fil er et ZIP-arkiv, der indeholder det originale dokument.

Ændringer af filnavne:

Krypterede filer vil have filtypenavnet .crypt.

Meddelelse om løsepenge:

Når dine filer er krypteret, oprettes der flere filer på brugerens skrivebord med navnevariationer af: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. De er identiske og indeholder følgende tekstbesked:

+

Speciel: Eftersom AVAST-dekrypteringer er Windows-programmer, er det nødvendigt at installere et emulationslag på Mac (WINE, CrossOver). Få mere at vide ved at læse vores blogindlæg.

Hvis FindZip har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download FindZip-rettelse

Fonix

Fonix-ransomwaren var aktiv siden juni 2020. Den er skrevet i C++ og bruger tre krypteringssystemer (RSA-4096 master-nøgle, RSA-2048 sessionsnøgle, 256-bit filnøgle til SALSA/ChaCha-kryptering). I februar 2021 lukkede ransomware-udviklerne deres forretning og udgav master RSA-nøglen, som kan bruges til at dekryptere filer gratis.

Ændringer af filnavne:

Krypterede filer vil have ét følgende filtypenavne:
.FONIX,
.XINOF

Meddelelse om løsepenge:

Efter at have krypteret filer på offerets computer, viser ransomwaren følgende skærm:

+

Hvis Fonix har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Fonix-rettelse

GandCrab

Gandcrab er en af de mest udbredte typer ransomware i 2018. 17. oktober 2018 frigav Gandcrab-udviklere 997 nøgler til ofre i Syrien. I juli 2018 udgav FBI master-dekrypteringsnøgler til version 4-5.2. Denne version af dekrypteringen anvender alle disse nøgler og kan dekryptere filer gratis.

Ændringer af filnavne:

Ransomwaren tilføjer flere mulige filtypenavne:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (bogstaver er tilfældige)

Meddelelse om løsepenge:

Ransomware opretter også en tekstfil kaldet "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" eller "%RandomLetters%-MANUAL.txt" i hver mappe. Filens indhold vises nedenfor.

+ +

Senere versioner af ransomwaren kan også indstille følgende billede på brugerens skrivebord:

+

Download GandCrab-rettelse

Globe

Globe er en type ransomware, der er blevet registreret siden august 2016. Afhængigt af varianten anvender den RC4- eller Blowfish-kryptering. Her er tegnene på infektion:

Ændringer af filnavne:

Globe føjer en af følgende filtypenavne til filnavnet: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" eller ".hnyear". Nogle af dens versioner krypterer desuden også filnavnet.

Meddelelse om løsepenge:

Når dine filer er blevet krypteret, vises en lignende meddelelse (den findes i en fil "How to restore files.hta" eller "Read Me Please.hta"):

+ + +

Hvis FindZip har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Globe-rettelse

HiddenTear

HiddenTear er en af de første open-sourced ransomware-koder, der er hostet på GitHub, og går helt tilbage til august 2015. Siden da er hundredvis af HiddenTear-varianter blevet udviklet af svindlere, der benytter den originale kildekode. HiddenTear anvender AES-kryptering.

Ændringer af filnavne:

Krypterede filer vil have en af følgende filtypenavne (men ikke begrænset til): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Meddelelse om løsepenge:

Når filerne er krypteret, vises der en tekstfil (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) på brugerens skrivebord. Diverse varianter kan også vise en meddelelse om løsepenge:

+ + + +

Hvis HiddenTear har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download HiddenTear-rettelse

Jigsaw

Jigsaw er en type ransomware, der er blevet registreret siden marts 2016. Den er navngivet efter filmkarakteren "The Jigsaw Killer". Flere varianter af denne ransomware anvender Jigsaw Killerens billede på skærmbilledet for løsepenge.

Ændringer af filnavne:

Krypterede filer vil have et følgende filtypenavne: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org eller .gefickt.

Meddelelse om løsepenge:

Når dine filer er krypteret, vises et af skærmbillederne nedenfor:

+ + + + + +

Hvis Jigsaw har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Jigsaw-rettelse

LambdaLocker

LambdaLocker er en ransomwarestamme, som vi første gang registrerede i maj 2017. Det står skrevet i Python-programmeringssproget, og den aktuelt udbredte variant kan dekrypteres.

Ændringer af filnavne:

Ransomwaren tilføjer filtypenavnet “.MyChemicalRomance4EVER” efter et filnavn:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


Ransomwaren opretter også en tekstfil kaldet "UNLOCK_guiDE.txt" på brugerens skrivebord. Filens indhold vises nedenfor.

+

Download LambdaLocker-rettelse

Legion

Legion er en type af ransomware, der først blev opdaget i juni 2016. Her er tegnene på infektion:

Ændringer af filnavne:

Legion føjer en variant af ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion eller .$centurion_legion@aol.com$.cbf til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Meddelelse om løsepenge:

Når Legion har krypteret dine filer, ændrer det din skrivebordsbaggrund og viser en pop op-besked som denne:

+

Hvis Legion har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Legion-rettelse

NoobCrypt

NoobCrypt er en type ransomware, der er blevet registreret siden slutningen af juli 2016. Denne ransomware krypterer brugeres filer med AES 256-kryptering.

Ændringer af filnavne:

NoobCrypt ændrer ikke filnavne. Krypterede filer kan dog ikke åbnes med deres tilknyttede program.

Meddelelse om løsepenge:

Når dine filer er blevet krypteret, vises der en lignende meddelelse (den findes i en fil "ransomed.html" på brugerens skrivebord):

+ +

Hvis NoobCrypt har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download NoobCrypt-rettelse

Stampado

Stampado er en type ransomware, der er skrevet med scriptværktøjet Autolt. Den har eksisteret siden 2016. Den sælges på "the dark web", og nye varianter bliver ved med at dukke op. En af dens versioner hedder også Philadelphia.

Ændringer af filnavne:

Stampado føjer filtypenavnet .locked til de krypterede filer. Visse varianter krypterer også selve filnavnet, så det krypterede filnavn kan f.eks. se ud som document.docx.locked eller 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Meddelelse om løsepenge:

Efter krypteringen vises følgende skærmbillede:

+ +

Hvis Stampado har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Stampado-rettelse

SZFLocker

SZFLocker er en type af ransomware, der først blev opdaget i maj 2016. Her er tegnene på infektion:

Ændringer af filnavne:

SZFLocker føjer .szf til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.doc.szf)

Meddelelse om løsepenge:

Når du prøver at åbne en krypteret fil, vises SZFLocker følgende meddelelse (på polsk):

+

Hvis SZFLocker har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download SZFLocker-rettelse

TeslaCrypt

TeslaCrypt er en type ransomware, der først blev opdaget i februar 2015. Her er tegnene på infektion:

Ændringer af filnavne:

Den seneste version af TeslaCrypt omdøber ikke dine filer.

Meddelelse om løsepenge:

Når TeslaCrypt har krypteret dine filer, viser den en variant af følgende meddelelse:

+

Hvis TeslaCrypt har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download TeslaCrypt-rettelse

Troldesh / Shade

Troldesh, også kendt som Shade eller Encoder.858, er en ransomware, der har eksiteret siden 2016. I slutningen af april 2020 lukkede ransomware-udviklerne deres forretning og udgav dekrypteringsnøgler, som kan bruges til at dekryptere filer gratis.
Flere oplysninger:https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Ændringer af filnavne:

Krypterede filer vil have ét følgende filtypenavne:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Meddelelse om løsepenge:

Når dine filer er krypteret, oprettes der flere filer på brugerens skrivebord med navne som README1.txt til README10.txt. De er på forskellige sprog og indeholder denne tekst:

+

Brugerens skrivebordsbaggrund ændres også og ligner billedet nedenfor:

+

Hvis Troldesh har krypteret dine filer, skal du klikke her for at downloade vores gratis rettelse:

Download Troldesh-rettelse

XData

XData er en ransomwarestamme, der kom fra AES_NI, og lige som WannaCry anvender den Eternal Blue-exploit til at sprede sig til andre maskiner.

Ændringer af filnavne:

Ransomwaren føjer filtypenavnet ".~xdata~" til de krypterede filer.

I hver mappe med mindst én krypteret fil kan filen "HOW_CAN_I_DECRYPT_MY_FILES.txt" findes. Ransomwaren opretter desuden en nøglefil med et navn tilsvarende:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ i følgende mapper:

• C:\

• C:\ProgramData

• Skrivebord

Meddelelse om løsepenge:

Filen “HOW_CAN_I_DECRYPT_MY_FILES.txt” indeholder følgende løsepengebesked:

+

Download XData-rettelse

Chrome browser logo

Avast anbefaler at bruge
den GRATIS Chrome™-internetbrowser.