Kaspersky RectorDecryptor per decriptare i file colpiti da Trojan-Ransom.Win32.Rakhni

Ultimo aggiornamento: 1 novembre 2024 Article ID: 10556

Vuoi prevenire le infezioni? Installa Kaspersky for Windows

Kaspersky for Windows protegge la tua vita digitale con tecnologie che vanno oltre l'anti-virus.

Acquista

Usa lo strumento Kaspersky RakhniDecryptor se i tuoi file sono stati criptati dal seguente ransomware:

Trojan-Ransom.Win32.Conti
Trojan-Ransom.Win32.Ragnarok
Trojan-Ransom.Win32.Fonix
Trojan-Ransom.Win32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Ransom.Win32.Autoit
Trojan-Ransom.Win32.Aura
Trojan-Ransom.AndroidOS.Pletor
Trojan-Ransom.Win32.Rotor
Trojan-Ransom.Win32.Lamer
Trojan-Ransom.Win32.Cryptokluchen
Trojan-Ransom.Win32.Democry
Trojan-Ransom.Win32.GandCrypt versione 4 e 5
Trojan-Ransom.Win32.Bitman versione 3 e 4
Trojan-Ransom.Win32.Libra
Trojan-Ransom.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojan-Ransom.MSIL.Yatron
Trojan-Ransom.Win32.Chimera
Trojan-Ransom.Win32.CryFile
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
Trojan-Ransom.Win32.Nemchig
Trojan-Ransom.Win32.Mircop
Trojan-Ransom.Win32.Mor
Trojan-Ransom.Win32.Crusis (Dharma)
Trojan-Ransom.Win32.AecHu
Trojan-Ransom.Win32.Jaff
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
Trojan-Ransom.Win32.Maze
Trojan-Ransom.Win32.Sekhmet
Trojan-Ransom.Win32.Egregor

Come determinare se Kaspersky RakhniDecryptor può decriptare i tuoi file

Lo strumento Kaspersky RakhniDecryptor decripta i file modificati in base ai seguenti schemi:

Trojan-Ransom.Win32.Conti:
- <file_name>.KREMLIN
- <file_name>.RUSSIA
- <file_name>.PUTIN

Trojan-Ransom.Win32.Ragnarok:
- <file_name>.<ID>.thor
- <file_name>.<ID>.odin
- <file_name>.<ID>.hela
Per il decriptaggio, l'utilità richiede il file del tipo !!Read_Me.<ID>.html.
Trojan-Ransom.Win32.Fonix:
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
Trojan-Ransom.Win32.Rakhni:
- <file_name>.<original_file_extension>.locked
- <file_name>.<original_file_extension>.kraken
- <file_name>.<original_file_extension>.darkness
- <file_name>.<original_file_extension>.oshit
- <file_name>.<original_file_extension>.nochance
- <file_name>.<original_file_extension>.oplata@qq_com
- <file_name>.<original_file_extension>.relock@qq_com
- <file_name>.<original_file_extension>.crypto
- <file_name>.<original_file_extension>[email protected]
- <file_name>.<original_file_extension>.p***a@qq_com
- <file_name>.<original_file_extension>.dyatel@qq_com
- <file_name>.<original_file_extension>.nalog@qq_com
- <file_name>.<original_file_extension>.chifrator@gmail_com
- <file_name>.<original_file_extension>.gruzin@qq_com
- <file_name>.<original_file_extension>.troyancoder@gmail_com
- <file_name>.<original_file_extension>.coderksu@gmail_com_id373
- <file_name>.<original_file_extension>.coderksu@gmail_com_id371
- <file_name>.<original_file_extension>.coderksu@gmail_com_id372
- <file_name>.<original_file_extension>.coderksu@gmail_com_id374
- <file_name>.<original_file_extension>.coderksu@gmail_com_id375
- <file_name>.<original_file_extension>.coderksu@gmail_com_id376
- <file_name>.<original_file_extension>.coderksu@gmail_com_id392
- <file_name>.<original_file_extension>.coderksu@gmail_com_id357
- <file_name>.<original_file_extension>.coderksu@gmail_com_id356
- <file_name>.<original_file_extension>.coderksu@gmail_com_id358
- <file_name>.<original_file_extension>.coderksu@gmail_com_id359
- <file_name>.<original_file_extension>.coderksu@gmail_com_id360
- <file_name>.<original_file_extension>.coderksu@gmail_com_id20

Trojan-Ransom.Win32.Rakhni crea il file exit.hhr.oshit, in cui puoi trovare una password criptata per i file dell'utente. Se resta nel computer infetto, il decriptaggio richiederà decisamente meno tempo. Nel caso in cui il file exit.hhr.oshit file venga rimosso, recuperalo servendoti di un software in grado di recuperare i file eliminati, quindi inserisci il file nella cartella %APPDATA% e riesegui l'analisi con l'utilità. Il file exit.hhr.oshit si trova nel seguente percorso: C:\Users<nome_utente>\AppData\Roaming

Trojan-Ransom.Win32.Mor: <nome_file>.<estensione_file_originale>_crypt
Trojan-Ransom.Win32.Autoit: <nome_file>.<estensione_file_originale>.<[email protected]_.letters>
Trojan-Ransom.MSIL.Lortok:
- <nome_file>.<estensione_file_originale>.cry
- <nome_file>.<estensione_file_originale>.AES256
Trojan-Ransom.MSIL.Yatron: <nome_file>.<estensione_file_originale>.Yatron
Trojan-Ransom.AndroidOS.Pletor: <nome_file>.<estensione_file_originale>.enc
Trojan-Ransom.Win32.Agent.iih: <nome_file>.<estensione_file_originale>+<hb15>
Trojan-Ransom.Win32.CryFile: <nome_file>.<estensione_file_originale>.encrypted
Trojan-Ransom.Win32.Democry:
- <nome_file>.<estensione_file_originale>+<._data-time_$email@domain$.777>
- <nome_file>.<estensione_file_originale>+<._data-time_$email@domain$.legion>
Trojan-Ransom.Win32.GandCrypt:
- versione 4: <file_name>.<original_file_extension>.KRAB
- versione 5: <file_name>.<original_file_extension>.<line_of_random_characters>
Trojan-Ransom.Win32.Bitman versione 3:
- <nome_file>.xxx
- <nome_file>.ttt
- <nome_file>.micro
- <nome_file>.mp3
Trojan-Ransom.Win32.Bitman versione 4:<nome_file> .<estensione_file_originale>
(Il nome del file e la relativa estensione non cambiano).
Trojan-Ransom.Win32.Libra:
- <nome_file>.encrypted
- <nome_file>.locked
- <nome_file>.SecureCrypted
Trojan-Ransom.MSIL.Lobzik:
- <nome_file>.fun
- <nome_file>.gws
- <nome_file>.btc
- <nome_file>.AFD
- <nome_file>.porno
- <nome_file>.pornoransom
- <nome_file>.epic
- <nome_file>.encrypted
- <nome_file>.J
- <nome_file>.payransom
- <nome_file>.paybtcs
- <nome_file>.paymds
- <nome_file>.paymrss
- <nome_file>.paymrts
- <nome_file>.paymst
- <nome_file>.paymts
- <nome_file>.gefickt
- <nome_file>[email protected]
Trojan-Ransom.Win32.Mircop: <Blocco>.<nome_file>.<estensione_file_originale>
Trojan-Ransom.Win32.Crusis (Dharma):
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.xtbl
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.CrySiS
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.xtbl
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.wallet
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.dhrama
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.onion
- <nome_file>.<posta>@<server>.<dominio>.wallet
- <nome_file>.<posta>@<server>.<dominio>.dhrama
- <nome_file>.<posta>@<server>.<dominio>.onion
Esempi di alcuni indirizzi e-mail utilizzati per diffondere malware:
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): non modifica le estensioni dei file.
Trojan-Ransom.Win32.Nemchig: <nome_file>.<estensione_file_originale>[email protected]
Trojan-Ransom.Win32.Lamer:
- <nome_file>.<estensione_file_originale>.bloked
- <nome_file>.<estensione_file_originale>.cripaaaa
- <nome_file>.<estensione_file_originale>.smit
- <nome_file>.<estensione_file_originale>.fajlovnet
- <nome_file>.<estensione_file_originale>.filesfucked
- <nome_file>.<estensione_file_originale>.criptx
- <nome_file>.<estensione_file_originale>.gopaymeb
- <nome_file>.<estensione_file_originale>.cripted
- <nome_file>.<estensione_file_originale>.bnmntftfmn
- <nome_file>.<estensione_file_originale>.criptiks
- <nome_file>.<estensione_file_originale>.cripttt
- <nome_file>.<estensione_file_originale>.hithere
- <nome_file>.<estensione_file_originale>.aga
Trojan-Ransom.Win32.Cryptokluchen:
- <nome_file>.<estensione_file_originale>.AMBA
- <nome_file>.<estensione_file_originale>.PLAGUE17
- <nome_file>.<estensione_file_originale>.ktldll
Trojan-Ransom.Win32.Rotor:
- <nome_file>.<estensione_file_originale>[email protected]
- <nome_file>.<estensione_file_originale>[email protected]
- <nome_file>.<estensione_file_originale>[email protected]
- <nome_file>.<estensione_file_originale>[email protected]
- <nome_file>.<estensione_file_originale>[email protected]_.crypt
- <nome_file>.<estensione_file_originale>[email protected]____.crypt
- <nome_file>.<estensione_file_originale>[email protected]_______.crypt
- <nome_file>.<estensione_file_originale>[email protected]___.crypt
- <nome_file>.<estensione_file_originale>[email protected]==.crypt
- <nome_file>.<estensione_file_originale>[email protected]=--.crypt

Se un file è criptato con l'estensione CRYPT, il decriptaggio potrebbe richiede molto tempo. Ad esempio, se si utilizza il processore Intel Core i5-2400, può richiedere circa 120 giorni.

Trojan-Ransom.Win32.Chimera:
- <nome_file>.<estensione_file_originale>.crypt
- <nome_file>.<estensione_file_originale>.<4 token casuali>
Trojan-Ransom.Win32.AecHu:
- <nome_file>.aes256
- <nome_file>.aes_ni
- <nome_file>.aes_ni_gov
- <nome_file>.aes_ni_0day
- <nome_file>.lock
- <nome_file>.decrypr_helper@freemail_hu
- <nome_file>[email protected]
- <nome_file>.~xdata
Trojan-Ransom.Win32.Jaff:
- <nome_file>.jaff
- <nome_file>.wlu
- <nome_file>.sVn
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<random_extension>
Trojan-Ransom.Win32.Maze: <file_name>.<original_file_extension>.<random_extension>
Trojan-Ransom.Win32.Sekhmet: <file_name>.<original_file_extension>.<random_extension>
Trojan-Ransom.Win32.Egregor: <file_name>.<original_file_extension>.<random_extension>

Se il file è criptato da Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet o Trojan-Ransom.Win32.Egregor, l'utilità richiederà il file con le rivendicazioni ransomware. Senza questo file, il decriptaggio è impossibile. I possibili nomi di questo file sono DECRYPT-FILES.txt, RECOVER-FILES.txt o DECRYPT-FILES.html.

Versione malware	Indirizzo e-mail dell'utente malintenzionato
CL 1.0.0.0	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
CL 1.0.0.0.u	[email protected]_graf1 [email protected]_mod [email protected]_mod2
CL 1.2.0.0	[email protected] [email protected]
CL 1.3.0.0	[email protected]
CL 1.3.1.0	[email protected] [email protected][email protected] [email protected]

Ulteriori informazioni sulle tecnologie utilizzate da Kaspersky per la protezione dai malware, inclusi i software di criptaggio, nella pagina TechnoWiki.

Come decriptare i file con Kaspersky RakhniDecryptor

Come utilizzare lo strumento tramite la riga di comando

Kaspersky RakhniDecryptor supporta i seguenti parametri della riga di comando per un decriptaggio dei file comodo e veloce:

Parametro	Valore	Esempio
–threads	Per eseguire lo strumento per l'identificazione delle password con più thread. Se il parametro non è impostato, il numero di thread corrisponde al numero di core.	RakhniDecryptor.exe –threads 6
–start <numero> –end <numero>	Per recuperare l'identificazione delle password da un determinato valore. Il valore minimo è 0. Per interrompere l'identificazione delle password a un determinato valore. Il valore più alto è 1.000.000. Per identificare la password in un intervallo tra due valori	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000
-l <nome file e relativo percorso completo>	Imposta il percorso del file in cui deve essere salvato il rapporto sullo strumento.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Visualizza la guida sulle opzioni della riga di comando disponibili.	RakhniDecryptor.exe -h

Come comportarsi in presenza di un file sospetto nel computer

Cosa fare se il problema persiste

Hai trovato utile questo articolo?

Cosa pensi che potremmo migliorare?

Grazie per il feedback! Ci stai aiutando a migliorare.