Kaspersky RectorDecryptor para el descifrado de archivos afectados por Trojan-Ransom.Win32.Rakhni
Última actualización: 1 de noviembre de 2024
ID: 10556
¿Desea evitar infecciones? Instale Kaspersky para Windows
Kaspersky para Windows protege su vida digital con tecnologías que van más allá de los antivirus.
Utilice la herramienta Kaspersky RakhniDecryptor en caso de que sus archivos hayan sido cifrados por el siguiente ransomware:
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt versión 4 y 5
- Trojan-Ransom.Win32.Bitman versión 3 y 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
Cómo saber si Kaspersky RakhniDecryptor puede descifrar su archivo
La herramienta Kaspersky RakhniDecryptor descifra los archivos que se han modificado de acuerdo con los siguientes patrones:
- Trojan-Ransom.Win32.Conti:
- <file_name>.KREMLIN
- <file_name>.RUSSIA
- <file_name>.PUTIN
- Trojan-Ransom.Win32.Ragnarok:
- <file_name>.<ID>.thor
- <file_name>.<ID>.odin
- <file_name>.<ID>.hela
Para el descifrado, la utilidad solicita el archivo del tipo !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <file_name>.<original_file_extension>.locked
- <file_name>.<original_file_extension>.kraken
- <file_name>.<original_file_extension>.darkness
- <file_name>.<original_file_extension>.oshit
- <file_name>.<original_file_extension>.nochance
- <file_name>.<original_file_extension>.oplata@qq_com
- <file_name>.<original_file_extension>.relock@qq_com
- <file_name>.<original_file_extension>.crypto
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>.p***a@qq_com
- <file_name>.<original_file_extension>.dyatel@qq_com
- <file_name>.<original_file_extension>.nalog@qq_com
- <file_name>.<original_file_extension>.chifrator@gmail_com
- <file_name>.<original_file_extension>.gruzin@qq_com
- <file_name>.<original_file_extension>.troyancoder@gmail_com
- <file_name>.<original_file_extension>.coderksu@gmail_com_id373
- <file_name>.<original_file_extension>.coderksu@gmail_com_id371
- <file_name>.<original_file_extension>.coderksu@gmail_com_id372
- <file_name>.<original_file_extension>.coderksu@gmail_com_id374
- <file_name>.<original_file_extension>.coderksu@gmail_com_id375
- <file_name>.<original_file_extension>.coderksu@gmail_com_id376
- <file_name>.<original_file_extension>.coderksu@gmail_com_id392
- <file_name>.<original_file_extension>.coderksu@gmail_com_id357
- <file_name>.<original_file_extension>.coderksu@gmail_com_id356
- <file_name>.<original_file_extension>.coderksu@gmail_com_id358
- <file_name>.<original_file_extension>.coderksu@gmail_com_id359
- <file_name>.<original_file_extension>.coderksu@gmail_com_id360
- <file_name>.<original_file_extension>.coderksu@gmail_com_id20
Trojan-Ransom.Win32.Rakhni crea el archivo exit.hhr.oshit, donde puede encontrar una contraseña cifrada para los archivos del usuario. Si permanece en el ordenador infectado, el descifrado llevará considerablemente menos tiempo. En caso de que se haya eliminado el archivo exit.hhr.oshit, recupérelo con la ayuda de un software que recupere archivos eliminados, luego coloque este archivo en la carpeta %APPDATA% y vuelva a ejecutar el análisis de la utilidad. Puede encontrar el archivo exit.hhr.oshit siguiendo esta ruta: C:\Users<user_name>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <file_name>.<original_file_extension>_crypt
- Trojan-Ransom.Win32.Autoit: <file_name>.<original_file_extension>.<[email protected]_.letters>
- Trojan-Ransom.MSIL.Lortok:
- <file_name>.<original_file_extension>.cry
- <file_name>.<original_file_extension>.AES256
- Trojan-Ransom.MSIL.Yatron: <file_name>.<original_file_extension>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <file_name>.<original_file_extension>.enc
- Trojan-Ransom.Win32.Agent.iih: <file_name>.<original_file_extension>+<hb15>
- Trojan-Ransom.Win32.CryFile: <file_name>.<original_file_extension>.encrypted
- Trojan-Ransom.Win32.Democry:
- <file_name>.<original_file_extension>+<._data-time_$email@domain$.777>
- <file_name>.<original_file_extension>+<._data-time_$email@domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- versión 4: <file_name>.<original_file_extension>.KRAB
- versión 5: <file_name>.<original_file_extension>.<line_of_random_characters>
- Trojan-Ransom.Win32.Bitman versión 3:
- <file_name>.xxx
- <file_name>.ttt
- <file_name>.micro
- <file_name>.mp3
- Trojan-Ransom.Win32.Bitman versión 4: <file_name>.<original_file_extension>
(El nombre del archivo y su extensión no cambian).
- Trojan-Ransom.Win32.Libra:
- <file_name>.encrypted
- <file_name>.locked
- <file_name>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <file_name>.fun
- <file_name>.gws
- <file_name>.btc
- <file_name>.AFD
- <file_name>.porno
- <file_name>.pornoransom
- <file_name>.epic
- <file_name>.encrypted
- <file_name>.J
- <file_name>.payransom
- <file_name>.paybtcs
- <file_name>.paymds
- <file_name>.paymrss
- <file_name>.paymrts
- <file_name>.paymst
- <file_name>.paymts
- <file_name>.gefickt
- <file_name>[email protected]
- Trojan-Ransom.Win32.Mircop: <Lock>.<file_name>.<original_file_extension>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <file_name>.ID<…>.<mail>@<server>.<domain>.xtbl
- <file_name>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <file_name>.id-<…>.<mail>@<server>.<domain>.xtbl
- <file_name>.id-<…>.<mail>@<server>.<domain>.wallet
- <file_name>.id-<…>.<mail>@<server>.<domain>.dhrama
- <file_name>.id-<…>.<mail>@<server>.<domain>.onion
- <file_name>.<mail>@<server>.<domain>.wallet
- <file_name>.<mail>@<server>.<domain>.dhrama
- <file_name>.<mail>@<server>.<domain>.onion
Ejemplos de algunas direcciones de correo electrónico utilizadas para propagar software malicioso:
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): no cambia las extensiones de archivo.
- Trojan-Ransom.Win32.Nemchig: <file_name>.<original_file_extension>[email protected]
- Trojan-Ransom.Win32.Lamer:
- <file_name>.<original_file_extension>.bloked
- <file_name>.<original_file_extension>.cripaaaa
- <file_name>.<original_file_extension>.smit
- <file_name>.<original_file_extension>.fajlovnet
- <file_name>.<original_file_extension>.filesfucked
- <file_name>.<original_file_extension>.criptx
- <file_name>.<original_file_extension>.gopaymeb
- <file_name>.<original_file_extension>.cripted
- <file_name>.<original_file_extension>.bnmntftfmn
- <file_name>.<original_file_extension>.criptiks
- <file_name>.<original_file_extension>.cripttt
- <file_name>.<original_file_extension>.hithere
- <file_name>.<original_file_extension>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <file_name>.<original_file_extension>.AMBA
- <file_name>.<original_file_extension>.PLAGUE17
- <file_name>.<original_file_extension>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>[email protected]_.crypt
- <file_name>.<original_file_extension>[email protected]____.crypt
- <file_name>.<original_file_extension>[email protected]_______.crypt
- <file_name>.<original_file_extension>[email protected]___.crypt
- <file_name>.<original_file_extension>[email protected]==.crypt
- <file_name>.<original_file_extension>[email protected]=--.crypt
Si un archivo está cifrado con la extensión CRYPT, el descifrado puede llevar mucho tiempo. Por ejemplo, cuando se ejecuta en el procesador Intel Core i5-2400, puede demorar aproximadamente 120 días.
- Trojan-Ransom.Win32.Chimera:
- <file_name>.<original_file_extension>.crypt
- <file_name>.<original_file_extension>.<4 random tokens>
- Trojan-Ransom.Win32.AecHu:
- <file_name>.aes256
- <file_name>.aes_ni
- <file_name>.aes_ni_gov
- <file_name>.aes_ni_0day
- <file_name>.lock
- <file_name>.decrypr_helper@freemail_hu
- <file_name>[email protected]
- <file_name>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <file_name>.jaff
- <file_name>.wlu
- <file_name>.sVn
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<random_extension>
- Trojan-Ransom.Win32.Maze: <file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Sekhmet: <file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Egregor: <file_name>.<original_file_extension>.<random_extension>
Si el archivo se ha cifrado con Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet o Trojan-Ransom.Win32.Egregor, la utilidad solicitará el archivo con las reclamaciones de ransomware. Sin este archivo, es imposible descifrar. Este archivo puede llamarse DECRYPT-FILES.txt, RECOVER-FILES.txt o DECRYPT-FILES.html.
| Versión de software malicioso | Dirección de correo electrónico de malhechor |
|---|---|
CL 1.0.0.0 | |
CL 1.0.0.0.u | [email protected]_graf1 [email protected]_mod2 |
CL 1.2.0.0 | |
CL 1.3.0.0 | |
CL 1.3.1.0 |
Obtenga más información acerca de las tecnologías que utiliza Kaspersky para brindar protección contra software malicioso, incluidos los cifradores, en la página de TechnoWiki.
Cómo descifrar archivos con Kaspersky RakhniDecryptor
- Descargue el archivo comprimido RakhniDecryptor.zip y siga las instrucciones para extraer los archivos que contiene.
- Abra la carpeta con los archivos comprimidos.
- Ejecute el archivo RakhniDecryptor.exe.
- Lea el Contrato de licencia detenidamente. Si acepta todas sus condiciones, haga clic en Accept.
- Haga clic en Change parameters.
- Especifique los parámetros:
- Elija los objetos para analizar: discos duros, unidades extraíbles, unidades de red.
- Elija la casilla de verificación Delete crypted files after decryption. En este caso, la herramienta eliminará copias de archivos cifrados con las extensiones LOCKED, KRAKEN, DARKNESS, etc.
- Haga clic en OK.
- Haga clic en Start scan.
- Elija el archivo cifrado y haga clic en Open.
- Lea la advertencia y haga clic en OK.
Un archivo con la extensión CRYPT se puede cifrar más de una vez. Por ejemplo, si el archivo test.doc se cifró dos veces, la herramienta descifrará la primera capa en el archivo test.1.doc.layerDecryptedKLR. En el informe de rendimiento de la herramienta verá: "Descifrado exitoso: disk:\path\test.doc_crypt -> dish:\path\test.1.doc.layerDecryptedKLR". Deberá descifrar este archivo una vez más. En caso de que el descifrado se realice correctamente, el archivo se guardará con el nombre original test.doc.
Cómo utilizar la herramienta a través de la línea de comandos
Kaspersky RakhniDecryptor admite los siguientes parámetros de línea de comandos para un descifrado de archivos conveniente y más rápido:
| Parámetro | Valor | Ejemplo |
|---|---|---|
| –threads | Para ejecutar la herramienta para el descifrado de contraseñas de varios subprocesos. Si no se establece el parámetro, la cantidad de subprocesos es igual a la cantidad de núcleos. | RakhniDecryptor.exe –threads 6 |
| –start <number> –end <number> | Para reanudar el descifrado de contraseñas a partir de un valor determinado. El valor más bajo es 0. Para detener el descifrado de contraseñas en un determinado valor. El valor más alto es 1 000 000. Para descifrar la contraseña en un rango entre dos valores. | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l<nombre de archivo con una ruta completa> | Establezca la ruta al archivo donde se debe guardar el informe de la herramienta. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| -h | Consulte la ayuda acerca de las opciones de línea de comandos disponibles. | RakhniDecryptor.exe -h |
Qué hacer si hay un archivo sospechoso en el equipo
Si nota un archivo sospechoso en su ordenador que posiblemente pueda causar la infección o el cifrado del archivo, envíelo para su análisis a [email protected]. Para ello, añada el archivo sospechoso a un archivo comprimido ZIP o RAR con estas instrucciones.
Qué hacer si el problema continúa
Si la herramienta no le ha resultado útil, póngase en contacto con Atención al cliente de Kaspersky.