Утилита Kaspersky RakhniDecryptor для расшифровки файлов после заражения Trojan‑Ransom.Win32.Rakhni
Статья обновлена: 16 августа 2024
ID: 10556
Хотите избежать заражений в будущем? Установите Kaspersky for Windows
Воспользуйтесь утилитой RakhniDecryptor от «Лаборатории Касперского», если ваши файлы зашифрованы следующими шифровальщиками:
- Trojan-Ransom.Win32.Conti;
- Trojan-Ransom.Win32.Ragnarok;
- Trojan-Ransom.Win32.Fonix;
- Trojan-Ransom.Win32.Rakhni;
- Trojan-Ransom.Win32.Agent.iih;
- Trojan-Ransom.Win32.Autoit;
- Trojan-Ransom.Win32.Aura;
- Trojan-Ransom.AndroidOS.Pletor;
- Trojan-Ransom.Win32.Rotor;
- Trojan-Ransom.Win32.Lamer;
- Trojan-Ransom.Win32.Cryptokluchen;
- Trojan-Ransom.Win32.Democry;
- Trojan-Ransom.Win32.GandCrypt версии 4 и 5;
- Trojan-Ransom.Win32.Bitman версии 3 и 4;
- Trojan-Ransom.Win32.Libra;
- Trojan-Ransom.MSIL.Lobzik;
- Trojan-Ransom.MSIL.Lortok;
- Trojan-Ransom.MSIL.Yatron;
- Trojan-Ransom.Win32.Chimera;
- Trojan-Ransom.Win32.CryFile;
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt);
- Trojan-Ransom.Win32.Nemchig;
- Trojan-Ransom.Win32.Mircop;
- Trojan-Ransom.Win32.Mor;
- Trojan-Ransom.Win32.Crusis (Dharma);
- Trojan-Ransom.Win32.AecHu;
- Trojan-Ransom.Win32.Jaff;
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0;
- Trojan-Ransom.Win32.Maze;
- Trojan-Ransom.Win32.Sekhmet;
- Trojan-Ransom.Win32.Egregor.
Как определить, что Kaspresky RakhniDecryptor расшифрует файл
Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:
- Trojan-Ransom.Win32.Conti:
- <имя_файла>.KREMLIN
- <имя_файла>.RUSSIA
- <имя_файла>.PUTIN
- Trojan-Ransom.Win32.Ragnarok:
- <имя_файла>.<ID>.thor
- <имя_файла>.<ID>.odin
- <имя_файла>.<ID>.hela
-
При расшифровке утилита запрашивает файл с требованиями вида !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <имя_файла>.<оригинальное_расширение>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <имя_файла>.<оригинальное_расширение>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.locked
- <имя_файла>.<оригинальное_расширение>.kraken
- <имя_файла>.<оригинальное_расширение>.darkness
- <имя_файла>.<оригинальное_расширение>.oshit
- <имя_файла>.<оригинальное_расширение>.nochance
- <имя_файла>.<оригинальное_расширение>.oplata@qq_com
- <имя_файла>.<оригинальное_расширение>.relock@qq_com
- <имя_файла>.<оригинальное_расширение>.crypto
- <имя_файла>.<оригинальное_расширение>[email protected]
- <имя_файла>.<оригинальное_расширение>.p***a@qq_com
- <имя_файла>.<оригинальное_расширение>.dyatel@qq_com
- <имя_файла>.<оригинальное_расширение>.nalog@qq_com
- <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com
- <имя_файла>.<оригинальное_расширение>.gruzin@qq_com
- <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20
Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка пройдет значительно быстрее. Если файл exit.hhr.oshit был удален, восстановите его при помощи приложений для восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt
- Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<[email protected]_.буквы>
- Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.cry
- <имя_файла>.<оригинальное_расширение>.AES256
- Trojan-Ransom.MSIL.Yatron: <имя_файла>.<оригинальное_расширение>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc
- Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+<hb15>
- Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted
- Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- версия 4: <имя_файла>.<оригинальное_расширение>.KRAB
- версия 5: <имя_файла>.<оригинальное_расширение>.<случайная_строка_символов>
- Trojan-Ransom.Win32.Bitman версии 3:
- <имя_файла>.xxx
- <имя_файла>.ttt
- <имя_файла>.micro
- <имя_файла>.mp3
- Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение>
-
Имя и расширение файла не меняется.
- Trojan-Ransom.Win32.Libra:
- <имя_файла>.encrypted
- <имя_файла>.locked
- <имя_файла>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.fun
- <имя_файла>.gws
- <имя_файла>.btc
- <имя_файла>.AFD
- <имя_файла>.porno
- <имя_файла>.pornoransom
- <имя_файла>.epic
- <имя_файла>.encrypted
- <имя_файла>.J
- <имя_файла>.payransom
- <имя_файла>.paybtcs
- <имя_файла>.paymds
- <имя_файла>.paymrss
- <имя_файла>.paymrts
- <имя_файла>.paymst
- <имя_файла>.paymts
- <имя_файла>.gefickt
- <имя_файла>[email protected]
- Trojan-Ransom.Win32.Mircop: <Lock>.<имя_файла>.<оригинальное_расширение>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.<mail>@<server>.<domain>.xtbl
- <имя_файла>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.xtbl
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.wallet
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.dhrama
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.onion
- <имя_файла>.<mail>@<server>.<domain>.wallet
- <имя_файла>.<mail>@<server>.<domain>.dhrama
- <имя_файла>.<mail>@<server>.<domain>.onion
-
Примеры некоторых вредоносных адресов-распространителей:
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): не меняет расширение файлов.
- Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>[email protected]
- Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bloked
- <имя_файла>.<оригинальное_расширение>.cripaaaa
- <имя_файла>.<оригинальное_расширение>.smit
- <имя_файла>.<оригинальное_расширение>.fajlovnet
- <имя_файла>.<оригинальное_расширение>.filesfucked
- <имя_файла>.<оригинальное_расширение>.criptx
- <имя_файла>.<оригинальное_расширение>.gopaymeb
- <имя_файла>.<оригинальное_расширение>.cripted
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn
- <имя_файла>.<оригинальное_расширение>.criptiks
- <имя_файла>.<оригинальное_расширение>.cripttt
- <имя_файла>.<оригинальное_расширение>.hithere
- <имя_файла>.<оригинальное_расширение>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA
- <имя_файла>.<оригинальное_расширение>.PLAGUE17
- <имя_файла>.<оригинальное_расширение>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[email protected]
- <имя_файла>.<оригинальное_расширение>[email protected]
- <имя_файла>.<оригинальное_расширение>[email protected]
- <имя_файла>.<оригинальное_расширение>[email protected]
- <имя_файла>.<оригинальное_расширение>[email protected]_.crypt
- <имя_файла>.<оригинальное_расширение>[email protected]____.crypt
- <имя_файла>.<оригинальное_расширение>[email protected]_______.crypt
- <имя_файла>.<оригинальное_расширение>[email protected]___.crypt
- <имя_файла>.<оригинальное_расширение>[email protected]==.crypt
- <имя_файла>.<оригинальное_расширение>[email protected]=--.crypt
Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.
- Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.crypt
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>
- Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256
- <имя_файла>.aes_ni
- <имя_файла>.aes_ni_gov
- <имя_файла>.aes_ni_0day
- <имя_файла>.lock
- <имя_файла>.decrypr_helper@freemail_hu
- <имя_файла>[email protected]
- <имя_файла>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff
- <имя_файла>.wlu
- <имя_файла>.sVn
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>
- Trojan-Ransom.Win32.Maze: <имя_файла>.<оригинальное_расширение>.<случайное_расширение>
- Trojan-Ransom.Win32.Sekhmet: <имя_файла>.<оригинальное_расширение>.<случайное_расширение>
- Trojan-Ransom.Win32.Egregor: <имя_файла>.<оригинальное_расширение>.<случайное_расширение>
Если файл зашифрован Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet или Trojan-Ransom.Win32.Egregor, утилита запросит файл с требованиями, который оставляет шифровальщик. Без него расшифровка невозможна. Такой файл имеет имя DECRYPT-FILES.txt, RECOVER-FILES.txt или DECRYPT-FILES.html.
| Версия троянца | Адрес электронной почты злоумышленников |
|---|---|
|
CL 1.0.0.0 |
|
|
CL 1.0.0.0.u |
[email protected]_graf1 [email protected]_mod2 |
|
CL 1.2.0.0 |
|
|
CL 1.3.0.0 |
|
|
CL 1.3.1.0 |
Узнайте больше о технологиях, которые применяет «Лаборатория Касперского» для защиты от вредоносных программ, в том числе шифровальщиков, на странице ТехноВики. Более подробная информация в английской версии TechnoWiki.
Как расшифровать файлы утилитой Kaspersky RakhniDecryptor
- Скачайте архив RakhniDecryptor.zip и распакуйте его по инструкции.
- Перейдите в папку с файлами из архива.
- Запустите файл RakhniDecryptor.exe.
- Ознакомьтесь с Лицензионным соглашением и нажмите Принять, если вы согласны со всеми пунктами.
- Нажмите Изменить параметры проверки.
- Задайте параметры:
- Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
- Установите флажок Удалять зашифрованные файлы после успешной расшифровки. В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями .locked, .kraken, .darkness и др.
- Нажмите ОК.
- Нажмите Начать проверку.
- Выберите зашифрованный файл и нажмите Открыть.
- Прочитайте предупреждение и нажмите ОК.
Файл может быть зашифрован с расширением .crypt более одного раза. Например, если файл Тест.doc зашифрован два раза, первый слой утилита расшифрует в файл Тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: Диск:\Путь\Тест.doc_crypt -> Диск:\Путь\Тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием Тест.doc.
Параметры для запуска утилиты из командной строки
Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:
| Параметр | Значение | Пример |
|---|---|---|
| –threads | Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер. | RakhniDecryptor.exe –threads 6 |
| –start <число> –end <число> |
Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями. |
RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <название файла с указанием полного пути к нему> | Указание пути к файлу, где должен сохраняться отчет о работе утилиты. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| -h | Вывод справки о доступных параметрах командной строки. | RakhniDecryptor.exe -h |
Что делать, если на компьютере появился подозрительный файл
Если вы обнаружили подозрительный файл, запуск которого может привести к заражению компьютера и шифрованию файлов, отправьте файлы для анализа на электронную почту [email protected]. Для этого добавьте подозрительный файл в архив формата .zip или .rar по инструкции.
Что делать, если утилита не помогла
Если утилита не помогла, обратитесь в техническую поддержку «Лаборатории Касперского».