Somos compatíveis com navegadores, não com dinossauros. Atualize o navegador se quiser ver o conteúdo desta página web corretamente.

Ferramentas grátis de descriptografia de ransomware

Vítima de ransomware? Não pague o resgate!

Nossas ferramentas grátis de descriptografia de ransomware podem ajudar a descriptografar arquivos criptografados pelas seguintes formas de ransomware. Basta clicar em um nome para ver os sinais de infecção e obter a nossa correção gratuita.

Deseja ajudar a evitar futuras infecções por ransomware?

Baixe o Avast Free Antivirus.

AES_NI

O AES_NI é uma nova linha de ransomware que apareceu pela primeira vez em dezembro de 2016. Desde então, observamos várias variantes, com diferentes extensões de arquivo. Para criptografar arquivos, o ransomware usa AES-256 em combinação com o RSA-2048.

Alterações no nome de arquivos:

O ransomware adiciona uma das seguintes extensões aos arquivos criptografados:
.aes_ni
.aes256
.aes_ni_0day

Em cada pasta com pelo menos um arquivo criptografado, é possível encontrar o arquivo “!!! READ THIS - IMPORTANT !!!.txt”. Além disso, o ransomware cria um arquivo chave com nome que se parece com: [NOME_DO_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day na pasta C:\ProgramData.

Mensagem de resgate:

O arquivo “!!! READ THIS - IMPORTANT !!!.txt” contém a seguinte mensagem de resgate:

+

Baixar a correção do AES_NI

Alcatraz Locker

Alcatraz Locker é uma variedade de ransomware que foi observada primeiramente em meados de novembro de 2016. Para criptografar os arquivos do usuário, esse ransomware usa criptografia AES 256 combinada com codificação Base64.

Alterações no nome de arquivos:

Os arquivos criptografados têm a extensão “.Alcatraz”.

Mensagem de resgate:

Após criptografar seus arquivos, uma mensagem semelhante é exibida (ela fica em um arquivo “ransomed.html”, localizado na área de trabalho do usuário):

+

Se o Alcatraz Locker criptografou seus arquivos, clique aqui para baixar nossa correção grátis:

Baixar a correção do Alcatraz Locker

Apocalypse

O Apocalypse é uma forma de ransomware que foi detectada pela primeira vez em junho de 2016. Alguns sinais de infecção:

Alterações no nome de arquivos:

O Apocalypse adiciona .encrypted, .FuckYourData, .locked, .Encryptedfile, ou .SecureCrypted no final dos nomes de arquivo. (p.ex., Tese.doc = Tese.doc.locked)

Mensagem de resgate:

Abrir um arquivo com a extensão .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt, ou .Where_my_files.txt (por exemplo, Thesis.doc.How_To_Decrypt.txt) exibirá uma variação da mensagem:

Baixar a correção do Apocalypse Baixar a correção do ApocalypseVM

BadBlock

O BadBlock é uma forma de ransomware que foi detectada pela primeira vez em maio de 2016. Alguns sinais de infecção:

Alterações no nome de arquivos:

O BadBlock não renomeia seus arquivos.

Mensagem de resgate:

Após criptografar seus arquivos, o BadBlock exibe uma dessas mensagens (de um arquivo chamado Help Decrypt.html):

+ +

Se o BadBlock criptografou seus arquivos, clique aqui para baixar nossa correção grátis:

Baixar a correção do BadBlock para Windows 32-bit Baixar a correção do BadBlock para Windows 64-bit

Bart

O Bart é uma forma de ransomware que foi detectada pela primeira vez no final de junho de 2016. Alguns sinais de infecção:

Alterações no nome de arquivos:

O Bart adiciona .bart.zip ao final dos nomes de arquivos. (p.ex., Tese.doc = Tese.docx.bart.zip). Esses arquivos são ZIP criptografados que contêm os arquivos originais.

Mensagem de resgate:

Após criptografar seus arquivos, Bart altera o seu papel de parede da área de trabalho para uma imagem como a abaixo. O texto nessa imagem também pode ser usado para ajudar a identificar o Bart e é armazenado na área de trabalho em arquivos nomeados recover.bmp e recover.txt.

+

Se o Bart criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Agradecimento: gostaríamos de agradecer a Peter Conrad, autor do PkCrack, que nos concedeu a permissão para usar sua biblioteca em nossa ferramenta de descriptografia do Bart.

Baixar a correção do Bart

BigBobRoss

O BigBobRoss criptografa arquivos do usuário usando a criptografia AES128. Os arquivos criptografados têm a extensão nova, “.obfuscated”, adicionada no final do nome do arquivo.

Alterações no nome de arquivos:

O ransomware adiciona a seguinte extensão: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

O ransomware também cria um arquivo de texto com nome “Read Me.txt” em cada pasta. O conteúdo deste arquivo segue abaixo:

+

Baixar a correção do BigBobRoss

BTCWare

BTCWare é uma nova linha de ransomware que apareceu pela primeira vez em março de 2017. Desde então, observamos cinco variantes, que podem ser diferenciadas pela extensão de arquivo criptografado. O ransomware usa dois métodos de criptografia diferentes: RC4 e AES 192.

Alterações no nome de arquivos:

Os nomes de arquivos criptografados têm o seguinte formato:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Além disso, um dos arquivos a seguir pode ser encontrado no PC
Key.dat em %USERPROFILE%\Desktop

1.bmp em %USERPROFILE%\AppData\Roaming
#_README_#.inf ou !#_DECRYPT_#!.inf em cada pasta com pelo menos um arquivo criptografado.

Mensagem de resgate:

Depois de criptografar seus arquivos, o papel de parede da área de trabalho é alterado, ficando assim:

+
Além disso, você pode ver uma das seguintes mensagens de resgate:
+ +

Baixar a correção do BTCWare

Crypt888

O Crypt888 (conhecido também como Mircop) é uma forma de ransomware que foi detectada pela primeira vez em junho de 2016. Alguns sinais de infecção:

Alterações no nome de arquivos:

O Crypt888 adiciona Lock. ao início dos nomes de arquivos. (por exemplo, Tese.doc = Lock.Tese.doc)

Mensagem de resgate:

Após criptografar seus arquivos, o Crypt888 altera seu papel de parede da área de trabalho por umas das seguintes imagens:

+ + + + + + +

Se o Crypt888 criptografou seus arquivos, clique aqui para baixar nossa correção grátis:

Baixar a correção do Crypt888

CryptoMix (Offline)

O CryptoMix (também conhecido como CryptFile2 ou Zeta) é uma variedade de ransomware que foi identificada pela primeira vez em 2016. No início de 2017, surgiu uma nova variante do CryptoMix, chamada de CryptoShield. Ambas as variedades criptografam arquivos usando criptografia AES256 com uma chave de criptografia exclusiva baixada de um servidor remoto. No entanto, se o servidor não estiver disponível ou se o usuário não estiver conectado à internet, o ransomware criptografará arquivos com uma chave fixa (“chave offline”).

Importante: A ferramenta de descriptografia fornecida suporta apenas arquivos criptografados usando uma “chave offline”. Em casos em que a chave offline não tenha sido usada para criptografar arquivos, nossa ferramenta não poderá restaurar os arquivos e nenhuma modificação de arquivo será efetuada.
Atualização de 21 de julho de 2017: A ferramenta de descriptografia foi atualizada para funcionar também com a variante Mole.

Alterações no nome de arquivos:

Os arquivos criptografados terão as seguintes extensões: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl ou .MOLE.

Mensagem de resgate:

Os seguintes arquivos podem ser encontrados no PC após a criptografia de arquivos:

+ + + + +

Se o CryptoMix criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do CryptoMix

CrySiS

CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) é uma variedade de ransomware observada desde setembro de 2015. Ele usa AES-256 em combinação com a criptografia assimétrica RSA-1024.

Alterações no nome de arquivos:

Os arquivos criptografados têm muitas extensões diferentes, incluindo:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Mensagem de resgate:

Após criptografar seus arquivos, uma das seguintes mensagens é exibida (veja abaixo). A mensagem está localizada em “Decryption instructions.txt”, “Decryptions instructions.txt”, “README.txt”, “Readme to restore your files.txt” ou “HOW TO DECRYPT YOUR DATA.txt” na área de trabalho do usuário. Além disso, o plano de fundo da área de trabalho é alterado para uma das imagens abaixo.

+ + + + + + + + + + +

Se o CrySiS criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do CrySiS

Delta

Delta é um tipo de ransomware que surgiu em abril de 2021. Ele utiliza criptografia RC4 os arquivos infectados. A chave do arquivo é criptografada em RSA-2048 e anexada ao fim do arquivo.

Alterações no nome de arquivos:

O ransomware adiciona uma nova extensão ao nome do arquivo. Ele começa com “.[Delta]”, seguido de letras aleatórias. Exemplo:
foobar.bmp -> foobar.bmp.[Delta]qYZvqWVg

Mensagem de resgate:

Depois de criptografar os arquivos da vítima, o aviso de sequestro aparece na sua tela (veja abaixo). A mensagem fica em um arquivo “info.hta”, que é criado em cada pasta com arquivos criptografados.

+

Caso seus arquivos tenham sido criptografados pelo Delta, clique aqui para baixar a nossa correção gratuitamente:

Baixar correção do Delta

EncrypTile

EncrypTile é um ransomware que observamos pela primeira vez em novembro de 2016. Depois de meio ano de desenvolvimento, encontramos uma versão nova e final desse ransomware. Ele usa criptografia AES-128 e uma chave que é sempre a mesma para um determinado PC e usuário.

Alterações no nome de arquivos:

O ransomware adiciona a palavra “encrypTile” ao nome do arquivo:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

O ransomware também cria quatro novos arquivos na área de trabalho do usuário. Os nomes desses arquivos estão localizados, aqui estão suas versões em inglês:

+
Mensagem de resgate:
+ +
Como executar a ferramenta de descriptografia

Durante a execução, o ransomware impede ativamente o usuário de executar quaisquer ferramentas que possam removê-lo. Consulte a publicação no blog para instruções mais detalhadas sobre como executar a ferramenta de descriptografia, caso o ransomware estiver em execução no seu PC.

Baixar a correção do EncrypTile

FindZip

FindZip é uma linha de ransomware que foi observada no final de fevereiro de 2017. Este ransomware se espalha no Mac OS X (versão 10.11 ou mais recente). A criptografia é baseada na criação de arquivos ZIP. Cada arquivo criptografado é um arquivo ZIP, que contém o documento original.

Alterações no nome de arquivos:

Os arquivos criptografados terão a extensão .crypt.

Mensagem de resgate:

Depois de criptografar seus arquivos, vários arquivos são criados na área de trabalho do usuário, com as seguintes variantes de nome: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Todos são idênticos e contêm a seguinte mensagem de texto:

+

Especial: Como as ferramentas de descriptografia da AVAST são aplicativos para Windows, é necessário instalar uma camada de emulação no Mac (WINE, CrossOver). Para mais informações, leia nossa publicação no blog.

Se o Globe criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do FindZip

Fonix

O ransomware Fonix foi ativado em junho de 2020. Escrito em linguagem C++, ele usa um esquema com três chaves de criptografia: a chave mestra RSA-4096, a chave de sessão RSA-2048, e a chave de arquivo para a criptografia de 256 bits SALSA/ChaCha. Em fevereiro de 2021, os desenvolvedores desse ransomware encerraram suas operações e publicaram a chave mestra RSA, que serve para descriptografar os arquivos gratuitamente.

Alterações no nome de arquivos:

Os arquivos criptografados têm as seguintes extensões:
.FONIX,
.XINOF

Mensagem de resgate:

Depois de criptografar os arquivos na máquina das vítimas, o ransomware exibe as seguintes telas:

+

Caso seus arquivos tenham sido criptografados pelo Fonix, clique aqui para baixar a nossa correção gratuita:

Baixar correção do Fonix

GandCrab

O Gandcrab foi um dos principais ransomwares de 2018. No dia 17 de outubro de 2018, os desenvolvedores do Gandcrab divulgaram 997 chaves para vítimas localizadas na Síria. Também em julho de 2018, o FBI, a polícia federal dos EUA, liberou chaves mestras de descriptografia para as versões 4-5.2 do ransomware. Essa versão da ferramenta de descriptografia utiliza essas chaves e pode desbloquear arquivos gratuitamente.

Alterações no nome de arquivos:

O ransomware adiciona várias extensões possíveis:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (as letras são aleatórias)

Mensagem de resgate:

O ransomware também cria um arquivo de texto com nome “GDCB-DECRYPT.txt”, “CRAB-DECRYPT.txt”, “KRAB_DECRYPT.txt”, “%RandomLetters%-DECRYPT.txt” ou “%RandomLetters%-MANUAL.txt” em cada pasta. O conteúdo deste arquivo está abaixo:

+ +

Versões posteriores do ransomware também podem colocar a seguinte imagem na área de trabalho do usuário:

+

Baixar a correção do GandCrab

Globe

Globe é uma variedade de ransomware que é observada desde agosto de 2016. Baseada em variantes, ele usa o método de criptografia RC4 ou Blowfish. Alguns sinais de infecção:

Alterações no nome de arquivos:

O Globe adiciona uma das seguintes extensões ao nome do arquivo: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", ou ".hnyear". Além disso, algumas de suas versões criptografam também o nome do arquivo.

Mensagem de resgate:

Após criptografar seus arquivos, uma mensagem semelhante é exibida (ela fica localizada no arquivo “How to restore files.hta” ou “Read Me Please.hta”):

+ + +

Se o Globe criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do Globe

HiddenTear

O HiddenTear é um dos primeiros códigos de ransomware de código aberto hospedado no GitHub e é datado de agosto de 2015. Desde então, centenas de variantes do HiddenTear foram produzidos por criminosos que usam o código fonte original. O HiddenTear usa criptografia AES.

Alterações no nome de arquivos:

Os arquivos criptografados terão as seguintes extensões (entre outras): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Mensagem de resgate:

Após criptografar arquivos, um arquivo de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) aparece na área de trabalho do usuário. Muitas outras variações também podem mostrar uma mensagem de resgate:

+ + + +

Se o HiddenTear criptografou seus arquivos, clique aqui para baixar nossa correção grátis:

Baixar a correção do HiddenTear

Jigsaw

O Jigsaw é uma variedade de ransomware que está presente desde março de 2016. Seu nome vem do personagem do filme “The Jigsaw Killer”. Muitas outras variantes desse ransomware usam a imagem do Jigsaw Killer na tela de resgate.

Alterações no nome de arquivos:

Os arquivos criptografados terão as seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org ou .gefickt.

Mensagem de resgate:

Após criptografar seus arquivos, uma das telas abaixo será exibida:

+ + + + + +

Se o Jigsaw criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do Jigsaw

LambdaLocker

LambdaLocker é uma nova linha de ransomware que observamos pela primeira vez em maio de 2017. Ele é escrito em linguagem de programação Python e a variante atual predominante pode ser descriptografada.

Alterações no nome de arquivos:

O ransomware adiciona a extensão “.MyChemicalRomance4EVER” ao nome do arquivo:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


O ransomware também cria um arquivo de texto com nome "UNLOCK_guiDE.txt" na área de trabalho do usuário. O conteúdo deste arquivo segue abaixo:

+

Baixar a correção do LambdaLocker

Legion

O Legion é uma forma de ransomware que foi detectada pela primeira vez em junho de 2016. Alguns sinais de infecção:

Alterações no nome de arquivos:

O Legion adiciona uma variante de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf no final dos nomes de arquivo. (por exemplo, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Mensagem de resgate:

Após criptografar seus arquivos, o Legion altera o papel de parede de sua área de trabalho e exibe um pop-up, como esse:

+

Se o Legion criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do Legion

NoobCrypt

NoobCrypt é uma variedade de ransomware que é observada desde o final de julho de 2016. Para criptografar os arquivos do usuário, esse ransomware usa o método de criptografia AES 256.

Alterações no nome de arquivos:

O NoobCrypt não altera o nome do arquivo. No entanto, os arquivos criptografados não podem ser abertos com seu aplicativo associado.

Mensagem de resgate:

Após criptografar seus arquivos, uma mensagem semelhante é exibida (ela fica em um arquivo “ransomed.html”, localizado na área de trabalho do usuário):

+ +

Se o NoobCrypt criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do NoobCrypt

Stampado

O Stampado é uma variedade de ransomware escrita usando a ferramenta de script AutoIt. Ele está presente desde agosto de 2016. Ele é vendido na dark web e novas variantes continuam aparecendo. Uma de suas versões é também chamada de Philadelphia.

Alterações no nome de arquivos:

O Stampado adiciona a extensão .locked aos arquivos criptografados. Algumas variantes também criptografam o nome do arquivo, de forma que o nome do arquivo criptografado pode ficar parecido com documento.docx.locked ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Mensagem de resgate:

Após a criptografia ser concluída, a tela a seguir será exibida:

+ +

Se o Stampado criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do Stampado

SZFLocker

O SZFLocker é uma forma de ransomware que foi detectada pela primeira vez em maio de 2016. Alguns sinais de infecção:

Alterações no nome de arquivos:

O SZFLocker adiciona .szf ao final dos nomes de arquivo. (p.ex., Tese.doc = Tese.doc.szf)

Mensagem de resgate:

Ao tentar abrir um arquivo criptografado, o SZFLocker exibe a seguinte mensagem (em polonês):

+

Se o SZFlocker criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do SZFLocker

TeslaCrypt

O TeslaCrypt é uma forma de ransomware que foi detectada pela primeira vez em fevereiro de 2015. Alguns sinais de infecção:

Alterações no nome de arquivos:

A versão mais recente do TeslaCrypt não renomeia seus arquivos.

Mensagem de resgate:

Após criptografar seus arquivos, o TeslaCrypt exibe uma variante da seguinte mensagem:

+

Se o TeslaCrypt criptografou seus arquivos, clique aqui para baixar a nossa correção grátis:

Baixar a correção do TeslaCrypt

Troldesh/Shade

O Troldesh, também conhecido como Shade ou Encoder.858, é um ransomware que foi encontrado pela primeira vez em 2016. No fim de abril de 2020, seus desenvolvedores encerraram as operações e publicaram chaves de descriptografia que podem ser usadas para liberar os arquivos sequestrados gratuitamente.
Mais informações: https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/.

Alterações no nome de arquivos:

Os arquivos criptografados têm as seguintes extensões:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Mensagem de resgate:

Depois de criptografar os arquivos, outros arquivos são criados na área de trabalho do usuário com as seguintes variantes: README1.txt até README10.txt. Eles apresentam o seguinte texto em diferentes idiomas:

+

O plano de fundo da área de trabalho do usuário também fica com a imagem abaixo:

+

Caso seus arquivos tenham sido criptografados pelo Troldesh, clique aqui para baixar a nossa correção gratuitamente:

Baixar a correção do Troldesh

XData

O XData é uma linha de ransomware derivada do AES_NI e, como o WannaCry, utiliza a vulnerabilidade Eternal Blue para se espalhar para outras máquinas.

Alterações no nome de arquivos:

O ransomware adiciona a extensão “.~xdata~” aos arquivos criptografados.

Em cada pasta com pelo menos um arquivo criptografado, é possível encontrar o arquivo “HOW_CAN_I_DECRYPT_MY_FILES.txt” Além disso, o ransomware cria um arquivo chave com nome que se parece com:

[NOME_DO_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ nas seguintes pastas:

• C:\

• C:\ProgramData

• Desktop

Mensagem de resgate:

O arquivo “HOW_CAN_I_DECRYPT_MY_FILES.txt” contém a seguinte mensagem de resgate:

+

Baixar a correção do XData

Chrome browser logo

A Avast recomenda o uso
do navegador GRATUITO Chrome™.