Gratis tools voor het decoderen van ransomware

Getroffen door ransomware? Betaal geen losgeld!

Met onze gratis tools voor het decoderen van ransomware kunt u bestanden decoderen die zijn gecodeerd door de volgende typen ransomware. Klik op een naam om de symptomen van een infectie weer te geven en onze gratis fix te gebruiken.

Wilt u toekomstige ransomware-infecties voorkomen?

Download dan hier Avast Free Antivirus.

Alcatraz Locker

Alcatraz Locker is een type ransomware dat midden november 2016 voor het eerst is aangetroffen. Deze ransomware gebruikt een AES-256-codering in combinatie met Base64-codering voor het coderen van de bestanden.

Wijzigingen van bestandsnamen:

Gecodeerde bestanden hebben de extensie .Alcatraz.

Losgeldbericht:

Na het coderen van uw bestanden wordt een variant van het volgende bericht weergegeven (staat in een bestand ransomed.html op het bureaublad van de gebruiker):

+

Als Alcatraz Locker uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor Alcatraz Locker downloaden

Apocalypse

Apocalypse is een type ransomware dat voor het eerst is aangetroffen in juni 2016. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

Apocalypse voegt .encrypted, .FuckYourData, .locked, .Encryptedfile of .SecureCrypted toe aan het einde van bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Scriptie.doc.locked).

Losgeldbericht:

Als u een bestand opent met de extensie .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt of .Where_my_files.txt (bijvoorbeeld Thesis.doc.How_To_Decrypt.txt) wordt er een variant van dit bericht weergegeven:

Fix voor Apocalypse downloaden Fix voor ApocalypseVM downloaden

BadBlock

BadBlock is een type ransomware dat voor het eerst is aangetroffen in mei 2016. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

BadBlock wijzigt de namen van uw bestanden niet.

Losgeldbericht:

Na het coderen van uw bestanden geeft BadBlock een van deze berichten weer (via een bestand genaamd Help Decrypt.html):

+ +

Als BadBlock uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor BadBlock downloaden voor 32-bits Windows Fix voor BadBlock downloadenvoor 64-bits Windows

Bart

Bart is een vorm van ransomware die voor het eerst eind juni 2016 is aangetroffen. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

Bart voegt .bart.zip toe aan het eind van de bestandsnaam. (Scriptie.doc wordt bijvoorbeeld Scriptie.docx.bart.zip). Dit zijn gecodeerde ZIP-archieven die de oorspronkelijke bestanden bevatten.

Losgeldbericht:

Na het coderen van uw bestanden verandert Bart de achtergrond van uw bureaublad in een afbeelding zoals hieronder. De tekst op deze afbeelding kan ook worden gebruikt om vast te stellen of het om Bart gaat en wordt op het bureaublad opgeslagen in bestanden met de naam recover.bmp en recover.txt.

+

Als Bart uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Verklaring: We bedanken Peter Conrad, auteur van PkCrack, die ons toestemming heeft gegeven om zijn bibliotheek te gebruiken in onze decodeertool voor Bart.

Fix voor Bart downloaden

Crypt888

Crypt888 (ook bekend onder de naam Mircop) is een type ransomware dat voor het eerst is aangetroffen in juni 2016. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

Crypt888 voegt Lock. toe aan het begin van bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Lock.Scriptie.doc).

Losgeldbericht:

Na het coderen van uw bestanden verandert Crypt888 de achtergrond van uw bureaublad in een van de volgende:

+ + + + + + +

Als Crypt888 uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor Crypt888 downloaden

CryptoMix (offline)

CryptoMix (ook bekend onder de naam CryptFile2 of Zeta) is een type ransomware dat voor het eerst werd ontdekt in maart 2016. Begin 2017 verscheen er een nieuwe variant van CryptoMix: CryptoShield. Beide varianten versleutelen bestanden met behulp van AES-256 met een unieke sleutel die wordt gedownload van een externe server. Als de server echter niet beschikbaar is of de gebruiker geen verbinding met internet heeft, versleutelt de ransomware bestanden met behulp van een vaste sleutel (een “offlinesleutel”).

Belangrijk: De geleverde ontsleutelingstool ondersteunt alleen bestanden die zijn versleuteld met behulp van een “offlinesleutel”. In gevallen waarin de offlinesleutel niet is gebruikt om bestanden te versleutelen, kan onze tool de bestanden niet herstellen en worden er geen bestanden gewijzigd.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd of .rscl.

Losgeldbericht:

De volgende bestanden zijn mogelijk op de pc te vinden na het versleutelen van bestanden:

+ + + +

Als Cryptomix uw bestanden heeft versleuteld, klikt u hier om onze gratis fix te downloaden:

Fix voor CryptoMix downloaden

CrySiS

CrySiS (JohnyCryptor, Virus-Encode, of Aura) is een type ransomware dat vanaf september 2015 is waargenomen. Het maakt gebruik van AES-256 in combinatie met asymmetrische RSA1024-codering.

Wijzigingen van bestandsnamen:

Gecodeerde bestanden kunnen verschillende extensies hebben, onder andere:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl

Losgeldbericht:

Na het coderen van uw bestanden wordt een van de volgende berichten weergegeven (zie onderstaand). Het bericht staat in Decryption instructions.txt, Decryptions instructions.txt, of *README.txt op het bureaublad van de gebruiker.

+ + + + + + + +

Als CrySiS uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor CrySiS downloaden

Globe

Globe is een type ransomware dat vanaf augustus 2016 is aangetroffen. Het is gebaseerd op een variant en gebruikt als coderingsmethode RC4 of Blowfish. Dit zijn symptomen van de infectie:

Wijzigingen van bestandsnamen:

Globe voegt een van de volgende extensies toe aan de bestandsnaam: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" of ".hnyear". Sommige versies van deze ransomware coderen ook de bestandsnaam.

Losgeldbericht:

Na het coderen van uw bestanden wordt een variant van het volgende bericht weergegeven (staat in een bestand How to restore files.hta of Read Me Please.hta):

+ + +

Als Globe uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor Globe downloaden

HiddenTear

HiddenTear is een van de eerste open-source ransomwarecodes die werden gehost op GitHub en dateert uit augustus 2015. Sindsdien zijn er door oplichters honderden varianten van HiddenTear gemaakt met behulp van de oorspronkelijke broncode. HiddenTear maakt gebruik van AES-versleuteling.

Wijzigingen van bestandsnamen:

Versleutelde bestanden hebben een van de volgende extensies (maar er zijn er meer): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO en .doomed.

Losgeldbericht:

Na het versleutelen van bestanden verschijnt er een tekstbestand (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) op het bureaublad van de gebruiker. Bij diverse varianten wordt er ook een losgeldbericht weergegeven:

+ + + +

Als HiddenTear uw bestanden heeft versleuteld, klikt u hier om onze gratis fix te downloaden:

Fix voor HiddenTear downloaden

Jigsaw

Jigsaw is een type ransomware dat sinds maart 2016 bestaat. Het is vernoemd naar het filmpersonage “The Jigsaw Killer”. Bij diverse varianten van dit type ransomware wordt een afbeelding van The Jigsaw Killer weergegeven op het losgeldscherm.

Wijzigingen van bestandsnamen:

Gecodeerde bestanden hebben een van de volgende extensies: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org of .gefickt.

Losgeldbericht:

Na het versleutelen van uw bestanden verschijnt een van onderstaande schermen:

+ + + + + +

Als Jigsaw uw bestanden heeft versleuteld, klikt u hier om onze gratis fix te downloaden:

Fix voor Jigsaw downloaden

Legion

Legion is een type ransomware dat voor het eerst is aangetroffen in juni 2016. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

Legion voegt een variant van ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion of .$centurion_legion@aol.com$.cbf toe aan het einde van bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Scriptie.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Losgeldbericht:

Na het coderen van uw bestanden wijzigt Legion de achtergrond van uw bureaublad en verschijnt er een pop-upmelding:

+

Als Legion uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor Legion downloaden

NoobCrypt

NoobCrypt is een type ransomware dat vanaf eind juli 2016 is aangetroffen. Deze ransomware versleutelt uw bestanden met behulp van AES-256.

Wijzigingen van bestandsnamen:

NoobCrypt wijzigt de bestandsnaam niet. Gecodeerde bestanden kunnen echter niet worden geopend met de bijbehorende applicatie.

Losgeldbericht:

Na het coderen van uw bestanden wordt een variant van het volgende bericht weergegeven (staat in een bestand ransomed.html op het bureaublad van de gebruiker):

+ +

Als NoobCrypt uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor NoobCrypt downloaden

Stampado

Stampado is een type ransomware dat is geschreven met behulp van de scripttool AutoIt. Het bestaat sinds augustus 2016. Het wordt verkocht op het dark web en er verschijnen steeds nieuwe varianten. Een van de varianten is ook bekend onder de naam Philadelphia.

Wijzigingen van bestandsnamen:

Stampado voegt de extensie .locked toe aan de versleutelde bestanden. Sommige varianten versleutelen ook de bestandsnaam zelf. De versleutelde bestandsnaam kan er dus als volgt uitzien: document.docx.locked of 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Losgeldbericht:

Nadat het versleutelen is voltooid, verschijnt het volgende scherm:

+ +

Als Stampado uw bestanden heeft versleuteld, klikt u hier om onze gratis fix te downloaden:

Fix voor Stampado downloaden

SZFLocker

SZFLocker is een type ransomware dat voor het eerst is aangetroffen in mei 2016. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

SZFLocker voegt .szf toe aan het einde van bestandsnamen. (Scriptie.doc wordt bijvoorbeeld Scriptie.doc.szf).

Losgeldbericht:

Wanneer u probeert een gecodeerd bestand te openen, geeft SZFLocker het volgende bericht weer (in het Pools):

+

Als SZFLocker uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor SZFLocker downloaden

TeslaCrypt

TeslaCrypt is een type ransomware dat voor het eerst is aangetroffen in februari 2015. Dit zijn de symptomen van de infectie:

Wijzigingen van bestandsnamen:

De nieuwste versie van TeslaCrypt wijzigt de naam van uw bestanden niet.

Losgeldbericht:

Na het coderen van uw bestanden geeft TeslaCrypt een variant van het volgende bericht weer:

+

Als TeslaCrypt uw bestanden heeft gecodeerd, klikt u hier om onze gratis fix te downloaden:

Fix voor TeslaCrypt downloaden

Logo van Chrome-browser

Avast adviseert
de GRATIS Chrome™-internetbrowser.