Narzędzie RakhniDecryptor do ochrony przed oprogramowaniem żądającym okupu Trojan Ransom.Win32.Rakhni
Ostatnia aktualizacja: 03 sierpnia 2023
ID artykułu: 10556
Chcesz zapobiegać infekcjom? Zainstaluj Kaspersky Internet Security
Oprócz ochrony antywirusowej, Kaspersky Internet Security zapewnia ochronę połączeń sieciowych, kamery internetowej, płatności online, dzieci przed niechcianymi informacjami, a także możliwość blokowania banerów reklamowych, zapobiegania gromadzeniu danych, wyszukiwania i instalowania aktualizacji, usuwania nieużywanych aplikacji.
Użyj narzędzia Kaspersky RakhniDecryptor w przypadku, gdy Twoje pliki zostały zaszyfrowane przez następujące oprogramowanie żądające okupu (ransomware):
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt ver. 4 and 5
- Trojan-Ransom.Win32.Bitman ver. 3 and 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
Jak sprawdzić, czy Kaspersky RakhniDecryptor może odszyfrować Twoje pliki?
Narzędzie Kaspersky RakhniDecryptor odszyfruje pliki, które zostały zmienione zgodnie z następującymi schematami:
- Trojan-Ransom.Win32.Ragnarok:
- <nazwa_pliku>.<ID>.thor
- <nazwa_pliku>.<ID>.odin
- <nazwa_pliku>.<ID>.hela
W celu przeprowadzenia odszyfrowywania narzędzie zapyta o plik typu !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <file_name>.<oryginalne_rozszerzenie_pliku>.Email=[<poczta>@<serwer>.<domena>]ID=[<id>].XINOF
- <file_name>.<oryginalne_rozszerzenie_pliku>.Email=[<poczta>@<serwer>.<domena>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.locked
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.kraken
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.darkness
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.oshit
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.nochance
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.oplata@qq_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.relock@qq_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.crypto
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.p***a@qq_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.dyatel@qq_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.nalog@qq_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.chifrator@gmail_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.gruzin@qq_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.troyancoder@gmail_com
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id373
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id371
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id372
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id374
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id375
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id376
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id392
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id357
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id356
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id358
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id359
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id360
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.coderksu@gmail_com_id20
Trojan-Ransom.Win32.Rakhni tworzy plik exit.hhr.oshit, w którym możesz znaleźć zaszyfrowane hasło do plików użytkownika. Jeśli znajduje się na zainfekowanym komputerze, odszyfrowanie zajmie znacznie mniej czasu. W przypadku usunięcia pliku exit.hhr.oshit, odzyskaj go za pomocą oprogramowania, które odzyskuje usunięte pliki, a następnie umieść ten plik w folderze %APPDATA% i uruchom ponownie skanowanie przy pomocy narzędzia. Plik exit.hhr.oshit można znaleźć w następujących miejscach: C:\Users<nazwa_użytkownika>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>_crypt
- Trojan-Ransom.Win32.Autoit: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.<[email protected]_.letters>
- Trojan-Ransom.MSIL.Lortok:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.cry
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.AES256
- Trojan-Ransom.MSIL.Yatron: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.enc
- Trojan-Ransom.Win32.Agent.iih: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>+<hb15>
- Trojan-Ransom.Win32.CryFile: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.encrypted
- Trojan-Ransom.Win32.Democry:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>+<._data-time_$email@domain$.777>
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>+<._data-time_$email@domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- version 4: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.KRAB
- version 5: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.<losowe_znaki>
- Trojan-Ransom.Win32.Bitman ver. 3:
- <nazwa_pliku>.xxx
- <nazwa_pliku>.ttt
- <nazwa_pliku>.micro
- <nazwa_pliku>.mp3
- Trojan-Ransom.Win32.Bitman ver. 4: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku> (nazwa pliku i jego rozszerzenie nie ulegają zmianie).
- Trojan-Ransom.Win32.Libra:
- <nazwa_pliku>.encrypted
- <nazwa_pliku>.locked
- <nazwa_pliku>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <nazwa_pliku>.fun
- <nazwa_pliku>.gws
- <nazwa_pliku>.btc
- <nazwa_pliku>.AFD
- <nazwa_pliku>.porno
- <nazwa_pliku>.pornoransom
- <nazwa_pliku>.epic
- <nazwa_pliku>.encrypted
- <nazwa_pliku>.J
- <nazwa_pliku>.payransom
- <nazwa_pliku>.paybtcs
- <nazwa_pliku>.paymds
- <nazwa_pliku>.paymrss
- <nazwa_pliku>.paymrts
- <nazwa_pliku>.paymst
- <nazwa_pliku>.paymts
- <nazwa_pliku>.gefickt
- <nazwa_pliku>[email protected]
- Trojan-Ransom.Win32.Mircop: <Lock>.<nazwa_pliku>.<oryginalne_rozszerzenie_pliku>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <nazwa_pliku>.ID<...>.<mail>@<server>.<domain>.xtbl
- <nazwa_pliku>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <nazwa_pliku>.id-<…>.<mail>@<server>.<domain>.xtbl
- <nazwa_pliku>.id-<…>.<mail>@<server>.<domain>.wallet
- <nazwa_pliku>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nazwa_pliku>.id-<…>.<mail>@<server>.<domain>.onion
- <nazwa_pliku>.<mail>@<server>.<domain>.wallet
- <nazwa_pliku>.<mail>@<server>.<domain>.dhrama
- <nazwa_pliku>.<mail>@<server>.<domain>.onion
Przykłady niektórych adresów e-mail wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania:
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) (nazwa pliku i jego rozszerzenie nie ulegają zmianie).
- Trojan-Ransom.Win32.Nemchig: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]
- Trojan-Ransom.Win32.Lamer:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.bloked
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.cripaaaa
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.smit
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.fajlovnet
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.filesfucked
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.criptx
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.gopaymeb
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.cripted
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.bnmntftfmn
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.criptiks
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.cripttt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.hithere
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.AMBA
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.PLAGUE17
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]_.crypt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]____.crypt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]_______.crypt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]___.crypt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]==.crypt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>[email protected]=--.crypt
Jeśli plik jest zaszyfrowany z rozszerzeniem CRYPT, odszyfrowanie może zająć sporo czasu. Na przykład, na komputerze z procesorem Intel Core i5-2400 może to zająć około 120 dni.
- Trojan-Ransom.Win32.Chimera:
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.crypt
- <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.<4 losowe tokeny>
- Trojan-Ransom.Win32.AecHu:
- <nazwa_pliku>.aes256
- <nazwa_pliku>.aes_ni
- <nazwa_pliku>.aes_ni_gov
- <nazwa_pliku>.aes_ni_0day
- <nazwa_pliku>.lock
- <nazwa_pliku>.decrypr_helper@freemail_hu
- <nazwa_pliku>[email protected]
- <nazwa_pliku>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <nazwa_pliku>.jaff
- <nazwa_pliku>.wlu
- <nazwa_pliku>.sVn
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.losowanazwa-<...>.<losowerozszerzenie>
- Trojan-Ransom.Win32.Maze: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.<losowe_rozszerzenie>
- Trojan-Ransom.Win32.Sekhmet: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.<losowe_rozszerzenie>
- Trojan-Ransom.Win32.Egregor: <nazwa_pliku>.<oryginalne_rozszerzenie_pliku>.<losowe_rozszerzenie>
Jeśli plik został zaszyfrowany przez Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet lub Trojan-Ransom.Win32.Egregor, narzędzie poprosi o plik z żądaniem ransomware. Bez tego pliku odszyfrowanie nie jest możliwe. Możliwe nazwy tego pliku to DECRYPT-FILES.txt, RECOVER-FILES.txt lub DECRYPT-FILES.html.
| Wersja złośliwego oprogramowania | Adres e-mail |
|---|---|
CL 1.0.0.0 | |
1.0.0.0.u | [email protected]_graf1 [email protected]_mod2 |
CL 1.2.0.0 | |
CL 1.3.0.0 | |
CL 1.3.1.0 |
Więcej informacji na temat technologii, jakich Kaspersky Lab używa do ochrony przed szkodliwym oprogramowaniem, można znaleźć na tej stronie.
Jak odszyfrować pliki przy pomocy Kaspersky RakhniDecryptor?
- Pobierz archiwum RakhniDecryptor.zip i wypakuj z niego pliki. Informacje na ten temat można znaleźć w tym artykule.
- Otwórz folder z wypakowanymi plikami.
- Uruchom RakhniDecryptor.exe.
- Przeczytaj uważnie umowę licencyjną i kliknij Accept, jeśli zgadzasz się ze wszystkimi warunkami.
- Kliknij odnośnik Change parameters.
- Wybierz obiekty do skanowania (hard drives (dyski twarde) / removable drives (nośniki wymienne) / network drives (dyski sieciowe)).
- Zaznacz pole Delete crypted files after decryption. W takiej sytuacji narzędzie usunie kopie zaszyfrowanych plików z rozszerzeniami LOCKED, KRAKEN, DARKNESS itd.
- Kliknij OK.
- Kliknij Start scan.
- Wybierz zaszyfrowany plik i kliknij Otwórz.
- Przeczytaj ostrzeżenie i kliknij OK.
Pliki zostaną odszyfrowane.
Plik z rozszerzeniem CRYPT może zostać odszyfrowany więcej niż raz. Na przykład, jeśli plik test.doc został zaszyfrowany dwukrotnie, narzędzie odszyfruje pierwszą warstwę do pliku test.1.doc.layerDecryptedKLR. W raporcie z działania narzędzia pojawi się tekst: «Decryption success: disk:\path\test.doc_crypt -> dish:\path\test.1.doc.layerDecryptedKLR». Konieczne będzie ponowne odszyfrowanie tego pliku. Po pomyślnej deszyfracji, plik zostanie zapisany pod oryginalną nazwą test.doc.
Parametry do uruchamiania narzędzia z poziomu wiersza poleceń
Przez wzgląd na wygodę i zaoszczędzenie czasu, Kaspersky RakhniDecryptor obsługuje następujące parametry wiersza poleceń:
| Nazwa polecenia | Wartość | Przykład |
|---|---|---|
| –threads | Do uruchamiania narzędzia do wielowątkowego łamania haseł. Jeśli parametr nie jest ustawiony, liczba wątków jest równa liczbie rdzeni. | RakhniDecryptor.exe –threads 6 |
| –start <liczba> –end <liczba> | W celu wznowienia łamania hasła od określonej wartości. Najniższą wartością jest 0. W celu zatrzymania łamania hasła na określonej wartości. Najwyższą wartością jest 1 000 000. W celu łamania hasła w zakresie między dwoma wartościami. | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <nazwa pliku z pełną ścieżką do niego> | Aby określić ścieżkę do pliku, w którym ma być przechowywany raport z działania pliku. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| /h | Aby wyświetlić system pomocy dla opcji wiersza poleceń | RakhniDecryptor.exe -h |
Co należy zrobić, gdy na komputerze zauważysz podejrzany plik?
Jeśli zauważysz podejrzany plik na swoim komputerze, który prawdopodobnie może być powodem infekcji lub szyfrowania plików, spakuj plik do archiwum ZIP lub RAR i wyślij go do analizy na adres [email protected]. Informacje na ten temat można znaleźć w tym artykule.
Co zrobić, jeżeli narzędzie nie pomogło w rozwiązaniu problemu?
Jeśli narzędzie nie pomogło w rozwiązaniu problemu, skontaktuj się z działem obsługi klienta Kaspersky, wybierając temat i wypełniając formularz.