Утилита Kaspersky RakhniDecryptor для защиты от шифровальщиков Trojan‑Ransom.Win32.Rakhni
Хотите избежать заражений в будущем? Установите Kaspersky for Windows
Воспользуйтесь утилитой Kaspersky RakhniDecryptor, если ваши файлы зашифрованы следующими шифровальщиками:
- Trojan-Ransom.Win32.Conti;
- Trojan-Ransom.Win32.Ragnarok;
- Trojan-Ransom.Win32.Fonix;
- Trojan-Ransom.Win32.Rakhni;
- Trojan-Ransom.Win32.Agent.iih;
- Trojan-Ransom.Win32.Autoit;
- Trojan-Ransom.Win32.Aura;
- Trojan-Ransom.AndroidOS.Pletor;
- Trojan-Ransom.Win32.Rotor;
- Trojan-Ransom.Win32.Lamer;
- Trojan-Ransom.Win32.Cryptokluchen;
- Trojan-Ransom.Win32.Democry;
- Trojan-Ransom.Win32.GandCrypt версии 4 и 5;
- Trojan-Ransom.Win32.Bitman версии 3 и 4;
- Trojan-Ransom.Win32.Libra;
- Trojan-Ransom.MSIL.Lobzik;
- Trojan-Ransom.MSIL.Lortok;
- Trojan-Ransom.MSIL.Yatron;
- Trojan-Ransom.Win32.Chimera;
- Trojan-Ransom.Win32.CryFile;
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt);
- Trojan-Ransom.Win32.Nemchig;
- Trojan-Ransom.Win32.Mircop;
- Trojan-Ransom.Win32.Mor;
- Trojan-Ransom.Win32.Crusis (Dharma);
- Trojan-Ransom.Win32.AecHu;
- Trojan-Ransom.Win32.Jaff;
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0;
- Trojan-Ransom.Win32.Maze;
- Trojan-Ransom.Win32.Sekhmet;
- Trojan-Ransom.Win32.Egregor.
Как определить, что Kaspresky RakhniDecryptor расшифрует файл
Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:
- Trojan-Ransom.Win32.Conti:
- <имя_файла>.KREMLIN;
- <имя_файла>.RUSSIA;
- <имя_файла>.PUTIN.
- Trojan-Ransom.Win32.Ragnarok:
- <имя_файла>.<ID>.thor;
- <имя_файла>.<ID>.odin;
- <имя_файла>.<ID>.hela.
-
При расшифровке утилита запрашивает файл с требованиями вида !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <имя_файла>.<оригинальное_расширение>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF;
- <имя_файла>.<оригинальное_расширение>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX.
- Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.locked;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.darkness;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nochance;
- <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
- <имя_файла>.<оригинальное_расширение>.relock@qq_com;
- <имя_файла>.<оригинальное_расширение>.crypto;
- <имя_файла>.<оригинальное_расширение>.helpdecrypt@ukr.net;
- <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
- <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
- <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
- <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
- <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
- <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.
- Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
- Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>.
- Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.cry;
- <имя_файла>.<оригинальное_расширение>.AES256.
- Trojan-Ransom.MSIL.Yatron: <имя_файла>.<оригинальное_расширение>.Yatron;
- Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
- Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+<hb15>.
- Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
- Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
- Trojan-Ransom.Win32.GandCrypt:
- версия 4: <имя_файла>.<оригинальное_расширение>.KRAB;
- версия 5: <имя_файла>.<оригинальное_расширение>.<случайная_строка_символов>.
- Trojan-Ransom.Win32.Bitman версии 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
- Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
- Trojan-Ransom.Win32.Libra:
- <имя_файла>.encrypted;
- <имя_файла>.locked;
- <имя_файла>.SecureCrypted.
- Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.fun;
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epic;
- <имя_файла>.encrypted;
- <имя_файла>.J;
- <имя_файла>.payransom;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.paymrts;
- <имя_файла>.paymst;
- <имя_файла>.paymts;
- <имя_файла>.gefickt;
- <имя_файла>.uk-dealer@sigaint.org.
- Trojan-Ransom.Win32.Mircop: <Lock>.<имя_файла>.<оригинальное_расширение>.
- Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.<mail>@<server>.<domain>.xtbl;
- <имя_файла>.ID<…>.<mail>@<server>.<domain>.CrySiS;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.xtbl;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.wallet;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.dhrama;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.onion;
- <имя_файла>.<mail>@<server>.<domain>.wallet;
- <имя_файла>.<mail>@<server>.<domain>.dhrama;
- <имя_файла>.<mail>@<server>.<domain>.onion.
-
Примеры некоторых вредоносных адресов-распространителей:
- webmafia@asia.com;
- braker@plague.life;
- crannbest@foxmail.com;
- amagnus@india.com;
- stopper@india.com;
- bitcoin143@india.com;
- worm01@india.com;
- funa@india.com;
- pay4help@india.com;
- lavandos@dr.com;
- mkgoro@india.com.
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): не меняет расширение файлов;
- Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>.safefiles32@mail.ru.
- Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bloked;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.criptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.cripted;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.criptiks;
- <имя_файла>.<оригинальное_расширение>.cripttt;
- <имя_файла>.<оригинальное_расширение>.hithere;
- <имя_файла>.<оригинальное_расширение>.aga.
- Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PLAGUE17;
- <имя_файла>.<оригинальное_расширение>.ktldll.
- Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>..-.DIRECTORAT1C@GMAIL.COM.roto;
- <имя_файла>.<оригинальное_расширение>..-.CRYPTSb@GMAIL.COM.roto;
- <имя_файла>.<оригинальное_расширение>..-.DIRECTORAT1C8@GMAIL.COM.roto;
- <имя_файла>.<оригинальное_расширение>.!______________DESKRYPTEDN81@GMAIL.COM.crypt;
- <имя_файла>.<оригинальное_расширение>.!___prosschiff@gmail.com_.crypt;
- <имя_файла>.<оригинальное_расширение>.!_______GASWAGEN123@GMAIL.COM____.crypt;
- <имя_файла>.<оригинальное_расширение>.!_________pkigxdaq@bk.ru_______.crypt;
- <имя_файла>.<оригинальное_расширение>.!____moskali1993@mail.ru___.crypt;
- <имя_файла>.<оригинальное_расширение>.!==helpsend369@gmail.com==.crypt;
- <имя_файла>.<оригинальное_расширение>.!-==kronstar21@gmail.com=--.crypt.
- Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.crypt;
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
- Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.lock;
- <имя_файла>.decrypr_helper@freemail_hu;
- <имя_файла>.decrypr_helper@india.com;
- <имя_файла>.~xdata.
- Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.
- Trojan-Ransom.Win32.Maze: <имя_файла>.<оригинальное_расширение>.<случайное_расширение>.
- Trojan-Ransom.Win32.Sekhmet: <имя_файла>.<оригинальное_расширение>.<случайное_расширение>.
- Trojan-Ransom.Win32.Egregor: <имя_файла>.<оригинальное_расширение>.<случайное_расширение>.
Версия вредоносной программы | Адрес электронной почты злоумышленников |
---|---|
CL 1.0.0.0 |
cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com |
CL 1.0.0.0.u |
cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2 |
CL 1.2.0.0 |
oduvansh@aol.com cryptolocker@aol.com |
CL 1.3.0.0 |
cryptolocker@aol.com |
CL 1.3.1.0 |
byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com |
Узнайте больше о технологиях, которые применяет «Лаборатория Касперского» для защиты от вредоносных программ, в том числе шифровальщиков, на странице ТехноВики. Более подробная информация в английской версии TechnoWiki.
Как расшифровать файлы утилитой Kaspersky RakhniDecryptor
- Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье.
- Перейдите в папку с файлами из архива.
- Запустите файл RakhniDecryptor.exe.
- Ознакомьтесь с Лицензионным соглашением и, если вы согласны со всеми пунктами, нажмите Принять.
- Нажмите Изменить параметры проверки.
- Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
- Установите флажок Удалять зашифрованные файлы после успешной расшифровки. В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
- Нажмите ОК.
- Нажмите Начать проверку.
- Выберите зашифрованный файл и нажмите Открыть.
- Прочитайте предупреждение и нажмите ОК.
Файлы будут расшифрованы.
Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.
Параметры для запуска утилиты из командной строки
Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:
Имя команды | Значение | Пример |
---|---|---|
–threads | Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер. | RakhniDecryptor.exe –threads 6 |
–start <число> –end <число> | Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями. | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
-l <название файла с указанием полного пути к нему> | Указание пути к файлу, где должен сохраняться отчет о работе утилиты. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
-h | Вывод справки о доступных параметрах командной строки | RakhniDecryptor.exe -h |
Что делать, если на компьютере появился подозрительный файл
Если вы обнаружили подозрительный файл, запуск которого может привести к заражению компьютера и шифрованию файлов, отправьте файлы для анализа на электронную почту newvirus@kaspersky.com. Для этого добавьте подозрительный файл в архив с расширением ZIP или RAR. Инструкция в статье.
Что делать, если утилита не помогла
Если утилита не помогла, свяжитесь с технической поддержкой «Лаборатории Касперского», выбрав тему для своего запроса.