Kaspersky RectorDecryptor を使用して Trojan-Ransom.Win32.Rakhni で暗号化されたファイルを復号する方法
更新日: 2024年12月23日
Article ID: 10556
感染を防ぎたいですか?カスペルスキー for Windows のインストール
Kaspersky RakhniDecryptor ツールは、次のランサムウェアによってファイルが暗号化された場合に使用します:
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt(バージョン 4 および 5)
- Trojan-Ransom.Win32.Bitman(バージョン 3 および 4)
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
Kaspersky RakhniDecryptor がファイルを復号できるかどうかを確認する方法
Kaspersky RakhniDecryptor ツールは、次のパターンに従って変更されたファイルを復号します:
- Trojan-Ransom.Win32.Conti:
- <file_name>.KREMLIN
- <file_name>.RUSSIA
- <file_name>.PUTIN
- Trojan-Ransom.Win32.Ragnarok:
- <file_name>.<ID>.thor
- <file_name>.<ID>.odin
- <file_name>.<ID>.hela
復号のために、ユーティリティは Read_Me.<ID>.html という種類のファイルを要求します。
- Trojan-Ransom.Win32.Fonix:
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <file_name>.<original_file_extension>.locked
- <file_name>.<original_file_extension>.kraken
- <file_name>.<original_file_extension>.darkness
- <file_name>.<original_file_extension>.oshit
- <file_name>.<original_file_extension>.nochance
- <file_name>.<original_file_extension>.oplata@qq_com
- <file_name>.<original_file_extension>.relock@qq_com
- <file_name>.<original_file_extension>.crypto
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>.p***a@qq_com
- <file_name>.<original_file_extension>.dyatel@qq_com
- <file_name>.<original_file_extension>.nalog@qq_com
- <file_name>.<original_file_extension>.chifrator@gmail_com
- <file_name>.<original_file_extension>.gruzin@qq_com
- <file_name>.<original_file_extension>.troyancoder@gmail_com
- <file_name>.<original_file_extension>.coderksu@gmail_com_id373
- <file_name>.<original_file_extension>.coderksu@gmail_com_id371
- <file_name>.<original_file_extension>.coderksu@gmail_com_id372
- <file_name>.<original_file_extension>.coderksu@gmail_com_id374
- <file_name>.<original_file_extension>.coderksu@gmail_com_id375
- <file_name>.<original_file_extension>.coderksu@gmail_com_id376
- <file_name>.<original_file_extension>.coderksu@gmail_com_id392
- <file_name>.<original_file_extension>.coderksu@gmail_com_id357
- <file_name>.<original_file_extension>.coderksu@gmail_com_id356
- <file_name>.<original_file_extension>.coderksu@gmail_com_id358
- <file_name>.<original_file_extension>.coderksu@gmail_com_id359
- <file_name>.<original_file_extension>.coderksu@gmail_com_id360
- <file_name>.<original_file_extension>.coderksu@gmail_com_id20
Trojan-Ransom.Win32.Rakhni は、ファイル exit.hhr.oshit を作成します。このファイルには、ユーザーのファイルの暗号化されたパスワードが含まれています。感染したコンピューター上に残っていれば、解読にかかる時間は大幅に短縮されます。ファイル exit.hhr.oshit が削除された場合は、削除されたファイルを回復するソフトウェアを使用して回復し、このファイルをフォルダー %APPDATA% に配置し、ユーティリティスキャンを再実行します。ファイル exit.hhr.oshit は、次のパスにあります:C:\Users<ユーザー名>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <file_name>.<original_file_extension>_crypt
- Trojan-Ransom.Win32.Autoit: <file_name>.<original_file_extension>.<[email protected]_.letters>
- Trojan-Ransom.MSIL.Lortok:
- <file_name>.<original_file_extension>.cry
- <file_name>.<original_file_extension>.AES256
- Trojan-Ransom.MSIL.Yatron: <file_name>.<original_file_extension>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <file_name>.<original_file_extension>.enc
- Trojan-Ransom.Win32.Agent.iih: <file_name>.<original_file_extension>+<hb15>
- Trojan-Ransom.Win32.CryFile: <file_name>.<original_file_extension>.encrypted
- Trojan-Ransom.Win32.Democry:
- <file_name>.<original_file_extension>+<._data-time_$email@domain$.777>
- <file_name>.<original_file_extension>+<._data-time_$email@domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- バージョン 4:<file_name>.<original_file_extension>.KRAB
- バージョン 5:<file_name>.<original_file_extension>.<line_of_random_characters>
- Trojan-Ransom.Win32.Bitman(バージョン 3):
- <file_name>.xxx
- <file_name>.ttt
- <file_name>.micro
- <file_name>.mp3
- Trojan-Ransom.Win32.Bitman(バージョン 4):<file_name>.<original_file_extension>
(ファイル名と拡張子は変更されません)。
- Trojan-Ransom.Win32.Libra:
- <file_name>.encrypted
- <file_name>.locked
- <file_name>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <file_name>.fun
- <file_name>.gws
- <file_name>.btc
- <file_name>.AFD
- <file_name>.porno
- <file_name>.pornoransom
- <file_name>.epic
- <file_name>.encrypted
- <file_name>.J
- <file_name>.payransom
- <file_name>.paybtcs
- <file_name>.paymds
- <file_name>.paymrss
- <file_name>.paymrts
- <file_name>.paymst
- <file_name>.paymts
- <file_name>.gefickt
- <file_name>[email protected]
- Trojan-Ransom.Win32.Mircop:<Lock>.<file_name>.<original_file_extension>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <file_name>.ID<…>.<mail>@<server>.<domain>.xtbl
- <file_name>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <file_name>.id-<…>.<mail>@<server>.<domain>.xtbl
- <file_name>.id-<…>.<mail>@<server>.<domain>.wallet
- <file_name>.id-<…>.<mail>@<server>.<domain>.dhrama
- <file_name>.id-<…>.<mail>@<server>.<domain>.onion
- <file_name>.<mail>@<server>.<domain>.wallet
- <file_name>.<mail>@<server>.<domain>.dhrama
- <file_name>.<mail>@<server>.<domain>.onion
マルウェアの拡散に使用されるメールアドレスの例:
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt):ファイル拡張子を変更しません。
- Trojan-Ransom.Win32.Nemchig:<file_name>.<original_file_extension>[email protected]
- Trojan-Ransom.Win32.Lamer:
- <file_name>.<original_file_extension>.bloked
- <file_name>.<original_file_extension>.cripaaaa
- <file_name>.<original_file_extension>.smit
- <file_name>.<original_file_extension>.fajlovnet
- <file_name>.<original_file_extension>.filesfucked
- <file_name>.<original_file_extension>.criptx
- <file_name>.<original_file_extension>.gopaymeb
- <file_name>.<original_file_extension>.cripted
- <file_name>.<original_file_extension>.bnmntftfmn
- <file_name>.<original_file_extension>.criptiks
- <file_name>.<original_file_extension>.cripttt
- <file_name>.<original_file_extension>.hithere
- <file_name>.<original_file_extension>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <file_name>.<original_file_extension>.AMBA
- <file_name>.<original_file_extension>.PLAGUE17
- <file_name>.<original_file_extension>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]_.crypt
- <file_name>.<original_file_extension>[email protected]____.crypt
- <file_name>.<original_file_extension>[email protected]_______.crypt
- <file_name>.<original_file_extension>[email protected]___.crypt
- <file_name>.<original_file_extension>[email protected]==.crypt
- <file_name>.<original_file_extension>[email protected]=--.crypt
ファイルが CRYPT 拡張子で暗号化されている場合、復号に時間がかかる可能性があります。たとえば、Intel Core i5-2400 プロセッサで実行する場合、約 120 日かかる場合があります。
- Trojan-Ransom.Win32.Chimera:
- <file_name>.<original_file_extension>.crypt
- <file_name>.<original_file_extension>.<4 random tokens>
- Trojan-Ransom.Win32.AecHu:
- <file_name>.aes256
- <file_name>.aes_ni
- <file_name>.aes_ni_gov
- <file_name>.aes_ni_0day
- <file_name>.lock
- <file_name>.decrypr_helper@freemail_hu
- <file_name>[email protected]
- <file_name>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <file_name>.jaff
- <file_name>.wlu
- <file_name>.sVn
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<random_extension>
- Trojan-Ransom.Win32.Maze:<file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Sekhmet:<file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Egregor:<file_name>.<original_file_extension>.<random_extension>
ファイルが Trojan-Ransom.Win32.Maze、Trojan-Ransom.Win32.Sekhmet、または Trojan-Ransom.Win32.Egregor によって暗号化されている場合、ユーティリティはランサムウェアの要求を記載したファイルを要求します。このファイルがなければ、復号は不可能です。このファイルの名前は、DECRYPT-FILES.txt、RECOVER-FILES.txt、DECRYPT-FILES.html のいずれかである可能性があります。
| マルウェアのバージョン | 犯罪者のメールアドレス |
|---|---|
CL 1.0.0.0 | |
CL 1.0.0.0.u | [email protected]_graf1 [email protected]_mod2 |
CL 1.2.0.0 | |
CL 1.3.0.0 | |
CL 1.3.1.0 |
カスペルスキーが暗号化ツールを含むマルウェア対策に使用している技術の詳細は、 TechnoWiki ページ を参照してください。
Kaspersky RakhniDecryptor でファイルを復号する方法
- RakhniDecryptor.zip をダウンロードし、この手順 に従ってアーカイブからファイルを抽出します。
- アーカイブが保存されているフォルダーを開きます。
- ファイル RakhniDecryptor.exe を実行します。
- 使用許諾契約書をよくお読みください。すべての条件に同意する場合は、[ Accept ] をクリックします。
- [ Change parameters ] をクリックします。
- パラメータを指定してください。
- スキャンするオブジェクトを選択します:ハードドライブ / リムーバブルドライブ / ネットワークドライブ。
- [ Delete crypted files after decryption ] チェックボックスをオンにします。この場合、ツールは拡張子が LOCKED、KRAKEN、DARKNESS などの暗号化されたファイルのコピーを削除します。
- [ OK ] をクリックします。
- [ Start scan ] をクリックします。
- 暗号化されたファイルを選択し、[ 開く ] をクリックします。
- 警告を読み、 [ OK ] をクリックします。
CRYPT 拡張子を持つファイルは複数回暗号化されている可能性があります。たとえば、ファイル test.doc が 2 回暗号化されている場合、ツールは最初の暗号化を test.1.doc.layerDecryptedKLR に復号します。ツールの実行レポートには、「Decryption success: disk:\path\test.doc_crypt -> dish:\path\test.1.doc.layerDecryptedKLR」と表示されます。このファイルはもう一度複合する必要があります。復号が成功した場合、ファイルは元の名前 test.doc で保存されます。
コマンドラインからツールを使用する方法
Kaspersky RakhniDecryptor は、ファイルの復号の利便性と速度を向上する目的で、次のコマンドラインパラメータをサポートしています:
| パラメータ | 値 | 例 |
|---|---|---|
| –threads | マルチスレッドパスワード解読ツールを実行します。パラメータが設定されていない場合、スレッド数はコア数と同じになります。 | RakhniDecryptor.exe –threads 6 |
| –start <数字> –end <数字> | 特定の値からパスワード解読を再開します。最小値は 0 です。 特定の値でパスワードの解読を停止します。最高値は 1,000,000 です。 2 つの値の範囲でパスワードを解読します。 | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l<完全パスを含めたファイル名> | ツールのレポートを保存するファイルへのパスを設定します。 | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| /h | 使用可能なコマンドラインオプションに関するヘルプを表示します。 | RakhniDecryptor.exe -h |
コンピューターに疑わしいファイルがある場合の対処方法
感染やファイルの暗号化を発生させる可能性のある疑わしいファイルがコンピュータ上に見つかった場合は、[email protected] に送信して分析を依頼してください。送信するには、この手順 に従って疑わしいファイルを ZIP または RAR 形式でアーカイブします。