Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

 

 

О вирусах: Утилиты для лечения

 
 
 

Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

К разделу "Утилиты для лечения"
2016 ноя 14 ID: 10556
 
 
 
 

Вредоносная программа Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.Lamer, Trojan-Ransom.MSIL.LortokTrojan-Ransom.Win32.CryptokluchenTrojan-Ransom.Win32.Democry, Trojan-Ransom.Win32.Bitman версии 3 и 4, Trojan-Ransom.Win32.Libra, Trojan-Ransom.MSIL.LobzikTrojan-Ransom.Win32.Chimera, Trojan-Ransom.Win32.Mircop и Trojan-Ransom.Win32.Crusis используются злоумышленниками для зашифровки файлов таким образом, что их расширения меняются по следующим шаблонам:

  • <имя_файла>.<оригинальное_расширение>.<locked>
  • <имя_файла>.<оригинальное_расширение>.<kraken>
  • <имя_файла>.<оригинальное_расширение>.<darkness>
  • <имя_файла>.<оригинальное_расширение>.<oshit>
  • <имя_файла>.<оригинальное_расширение>.<nochance>
  • <имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<relock@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<crypto>
  • <имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
  • <имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
  • <имя_файла>.<оригинальное_расширение>_crypt
  • <имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
  • <имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
  • <имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
  • <имя_файла>.<оригинальное_расширение>.<encrypted>
  • <имя_файла>.<оригинальное_расширение>.<cry>
  • <имя_файла>.<оригинальное_расширение>.<AES256>
  • <имя_файла>.<оригинальное_расширение>.<enc>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
  • <имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>
  • <имя_файла>.<_crypt@india.com_.буквы>
  • <имя_файла>.<оригинальное_расширение>+<hb15>
Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>
Trojan-Ransom.Win32.Bitman версии 3:
  • <имя_файла>.<xxx>
  • <имя_файла>.<ttt>
  • <имя_файла>.<micro>
  • <имя_файла>.<mp3>
Trojan-Ransom.Win32.Bitman версии 4:
  • <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)
Trojan-Ransom.Win32.Libra:
  • <имя_файла>.<encrypted>
  • <имя_файла>.<locked>
  • <имя_файла>.<SecureCrypted>
Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.<fun>
  • <имя_файла>.<gws>
  • <имя_файла>.<btc>
  • <имя_файла>.<AFD>
  • <имя_файла>.<porno>
  • <имя_файла>.<pornoransom>
  • <имя_файла>.<epic>
  • <имя_файла>.<encrypted>
  • <имя_файла>.<J>
  • <имя_файла>.<payransom>
  • <имя_файла>.<paybtcs>
  • <имя_файла>.<paymds>
  • <имя_файла>.<paymrss>
  • <имя_файла>.<paymrts>
  • <имя_файла>.<paymst>
  • <имя_файла>.<paymts>
  • <имя_файла>.<payrms>
Trojan-Ransom.Win32.Mircop:
  • <Lock>.<имя_файла>.<оригинальное_расширение>
Trojan-Ransom.Win32.Crusis:
  • .ID<…>.<mail>@<server>.<domain>.xtbl
  • .ID<…>.<mail>@<server>.<domain>.CrySiS
  • .id-<…>.<mail>@<server>.<domain>.xtbl
  • .id-<…>.<mail>@<server>.<domain>.CrySiS

Например:
было file.doc / стало file.doc.locked
было 1.doc / стало 1.dochb15
было 1.doc / стало 1.doc._17-05-2016-20-27-37_$seven_legion@india.com$.777

Для расшифровки файлов, зашифрованных программами Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Agent.iih, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Aura, Trojan-Ransom.AndroidOS.Pletor, Trojan-Ransom.Win32.Rotor, Trojan-Ransom.Win32.LamerTrojan-Ransom.Win32.CryptokluchenTrojan-Ransom.Win32.Democry, Trojan-Ransom.Win32.Bitman версии и 4, Trojan-Ransom.Win32.Libra, Trojan-Ransom.MSIL.Lobzik, Trojan-Ransom.Win32.Chimera, Trojan-Ransom.Win32.Mircop и Trojan-Ransom.Win32.Crusis специалисты Лаборатории Касперского разработали утилиту RakhniDecryptor.

 
 
 
 
 

Как работать с утилитой

 
 
 
 
 

Параметры для запуска утилиты из командной строки

 
 
 
 
Была ли информация полезна?
Да Нет
 

 
 

Напишите нам, если не нашли ответ на свой вопрос

Опишите проблему, если ее нет в списке, или задайте вопрос о работе продукта:

Отправить Отправить

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание