Kaspersky RannohDecryptor per decriptare i file colpiti da Trojan-Ransom.Win32.Rannoh
Vuoi prevenire le infezioni? Installa Kaspersky for Windows
Kaspersky for Windows protegge la tua vita digitale con tecnologie che vanno oltre l'anti-virus.
Lo strumento RannohDecryptor è progettato per decriptare i file criptati dal seguente ransomware:
- Trojan-Ransom.Win32.Rannoh
- Trojan-Ransom.Win32.AutoIt
- Trojan-Ransom.Win32.Cryakl
- Trojan-Ransom.Win32.CryptXXX versione 1, 2 e 3
- Trojan-Ransom.Win32.Crybola
- Trojan-Ransom.Win32.Polyglot
- Trojan-Ransom.Win32.Fury
- Trojan-Ransom.Win32.Yanluowang
In che modo il ransomware modifica i file
In caso di infezione, tutti i file nel computer verranno modificati come segue:
| Ransomware | Come verranno criptati i file |
|---|---|
| Trojan-Ransom.Win32.Rannoh | I nomi e le estensioni dei file verranno modificati in base al modello bloccato-<nome_originale>.<quattro_lettere_casuali>. |
| Trojan-Ransom.Win32.AutoIt | Le estensioni verranno modificate in base al modello <nome_originale>@<server di posta>_.<set_casuale_di_caratteri>. Ad esempio, [email protected]_.rzwdtdic. |
| Trojan-Ransom.Win32.Cryakl | Il tag {CRYPTENDBLACKDC} viene aggiunto alla fine dei nomi dei file. |
| Trojan-Ransom.Win32.CryptXXX | Le estensioni verranno modificate in base ai modelli:
|
| Trojan-Ransom.Win32.Crybola | Le estensioni verranno modificate in base al modello <nome_originale>.ebola. |
| Trojan-Ransom.Win32.Yanluowang | Le estensioni verranno modificate in base al modello <nome_originale>.yanluowang. |
L'altro ransomware non modifica le estensioni dei file.
Funzionalità dello strumento durante il decriptaggio dei file interessati da Trojan-Ransom.Win32.CryptXXX
Se desideri decriptare i file interessati da Trojan-Ransom.Win32.CryptXXX, tieni presente quanto segue:
- Lo strumento RannohDecryptor esamina un numero limitato di formati di file:
1cd, 7z, ai, avi, bz2, cab, cdr, cdw, cdx, cf, chm, dbf, djvu, doc, docm, docx, dt, dwg, epf, eps, erf, ert, fla, flac, flv, gif, gz, html, iso, jpeg, jpg, ldf, md, mdb, mdf, mov, mp3, mp4, mxl, nef, ods, odt, ogg, pdf, php, png, ppt, pptm, pptx, ps1, psd, pst, qbb, rar, rcf, rtf, sdf, sldasm, slddrw, tib, tif, tiff, vhd, vhdx, vsd, wav, xls, xlsm, xlsx, xlt, zip. - Potrebbe essere necessario molto tempo per ripristinare la chiave per il decriptaggio dei file colpiti da Trojan-Ransom.Win32.CryptXXX versione 2. In questo caso, lo strumento visualizza un avviso:
.png "Avviso che il ripristino della chiave potrebbe richiedere molto tempo")
Come decriptare i file con Kaspersky RannohDecryptor
- Scarica l'archivio RannohDecryptor.zip ed estrai i file utilizzando le istruzioni.
- Apri la cartella con i file dell'archivio.
- Esegui il file RannohDecryptor.exe.
- Leggi attentamente il Contratto di licenza. Se accetti tutti i termini, fai clic su Accept.
- Se desideri che l'utilità rimuova automaticamente i file decriptati, procedi come segue:
- Nella finestra principale fai clic su Change parameters.
Al termine del decriptaggio, seleziona la casella di controllo Delete crypted files after decryption e fai clic su OK.
- Fai clic su Start scan.
- Definizione del percorso del file criptato.
- Per decriptare alcuni file, l'utilità richiederà la copia originale (non criptata) di un file criptato. Puoi trovare una copia di questo tipo nella posta, in un'unità rimovibile, in altri tuoi computer o in un archivio cloud. Fai clic su Continue e specifica il percorso del file originale.
Se il file è criptato da Trojan-Ransom.Win32.CryptXXX, specifica i file più grandi. Verranno decrittografati solo i file di questa dimensione o più piccoli.
- Attendi il rilevamento e il decriptaggio dei file criptati.
Se il file è stato criptato da Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot o Trojan-Ransom.Win32.Fury, lo strumento salverà il file nella posizione precedente con l'estensione .decryptedKLR.original_extension. Se è stata selezionata la casella di controllo Delete crypted files after decryption, lo strumento salverà i file decriptati con il nome originale.
Se il file è stato criptato da Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX, Trojan-Ransom.Win32.Crybola o Trojan-Ransom .Win32.Yanluowang, lo strumento salverà il file nella posizione precedente con l'estensione originale.
Per impostazione predefinita, il registro dello strumento viene salvato nel disco di sistema in cui è installato il sistema operativo. Il nome del file di registro è: UtilityName.Version_Date_Time_log.txt. Ad esempio, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
Come utilizzare lo strumento tramite la riga di comando
| Parametro | Valore | Esempio |
|---|---|---|
| -l<nome_file> | Creazione di un file di registro con il nome specificato. | RannohDecryptor.exe -l C:\Users\Administrator\Downloads\log.txt |
Cosa fare se il problema persiste
Se RannohDecryptor non è riuscito a eseguire la decrittografia dei file, scarica e avvia lo strumento XoristDecryptor o RectorDecryptor.
Per proteggere il tuo computer dal ransomware, scarica e installa nuove applicazioni Kaspersky.