Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

Утилита RakhniDecryptor.zip восстанавливает файлы после шифровальщиков Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt, версии 3 и 4), Chimera, Crysis (версий 2 и 3), Dharma, Jaff, Cryakl.

Воспользуйтесь утилитой, если ваши файлы зашифрованы следующими программами:

Trojan-Ransom.Win32.Rakhni;
Trojan-Ransom.Win32.Agent.iih;
Trojan-Ransom.Win32.Autoit;
Trojan-Ransom.Win32.Aura;
Trojan-Ransom.AndroidOS.Pletor;
Trojan-Ransom.Win32.Rotor;
Trojan-Ransom.Win32.Lamer;
Trojan-Ransom.Win32.Cryptokluchen;
Trojan-Ransom.Win32.Democry;
Trojan-Ransom.Win32.Bitman версии 3 и 4;
Trojan-Ransom.Win32.Libra;
Trojan-Ransom.MSIL.Lobzik;
Trojan-Ransom.MSIL.Lortok;
Trojan-Ransom.Win32.Chimera;
Trojan-Ransom.Win32.CryFile;
Trojan-Ransom.Win32.Nemchig;
Trojan-Ransom.Win32.Mircop;
Trojan-Ransom.Win32.Mor;
Trojan-Ransom.Win32.Crusis (Dharma);
Trojan-Ransom.Win32.AecHu;
Trojan-Ransom.Win32.Jaff;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

Как определить, что RakhniDecryptor расшифрует файл

Если файл зашифрован вредоносной программой, его расширение меняется. Например:

было file.doc / стало file.doc.locked
было 1.doc / стало 1.dochb15
было 1.doc / стало 1.doc._17-05-2016-20-27-37_$seven_legion@india.com$.777

Утилита RakhniDecryptor.zip расшифрует файлы, расширения которых изменились по следующим шаблонам:

Trojan-Ransom.Win32.Rakhni:

<имя_файла>.<оригинальное_расширение>.<locked>
<имя_файла>.<оригинальное_расширение>.<kraken>
<имя_файла>.<оригинальное_расширение>.<darkness>
<имя_файла>.<оригинальное_расширение>.<oshit>
<имя_файла>.<оригинальное_расширение>.<nochance>
<имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
<имя_файла>.<оригинальное_расширение>.<relock@qq_com>
<имя_файла>.<оригинальное_расширение>.<crypto>
<имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
<имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
<имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
<имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
<имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
<имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
<имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>

Trojan-Ransom.Win32.Mor:

<имя_файла>.<оригинальное_расширение>_crypt

Trojan-Ransom.Win32.Autoit:

<имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>

Trojan-Ransom.MSIL.Lortok:

<имя_файла>.<оригинальное_расширение>.<cry>
<имя_файла>.<оригинальное_расширение>.<AES256>

Trojan-Ransom.AndroidOS.Pletor:

<имя_файла>.<оригинальное_расширение>.<enc>

Trojan-Ransom.Win32.Agent.iih:

<имя_файла>.<оригинальное_расширение>+<hb15>

Trojan-Ransom.Win32.CryFile:

<имя_файла>.<оригинальное_расширение>.<encrypted>

Trojan-Ransom.Win32.Democry:

<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>

Trojan-Ransom.Win32.Bitman версии 3:

<имя_файла>.<xxx>
<имя_файла>.<ttt>
<имя_файла>.<micro>
<имя_файла>.<mp3>

Trojan-Ransom.Win32.Bitman версии 4:

<имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)

Trojan-Ransom.Win32.Libra:

<имя_файла>.<encrypted>
<имя_файла>.<locked>
<имя_файла>.<SecureCrypted>

Trojan-Ransom.MSIL.Lobzik:

<имя_файла>.<fun>
<имя_файла>.<gws>
<имя_файла>.<btc>
<имя_файла>.<AFD>
<имя_файла>.<porno>
<имя_файла>.<pornoransom>
<имя_файла>.<epic>
<имя_файла>.<encrypted>
<имя_файла>.<J>
<имя_файла>.<payransom>
<имя_файла>.<paybtcs>
<имя_файла>.<paymds>
<имя_файла>.<paymrss>
<имя_файла>.<paymrts>
<имя_файла>.<paymst>
<имя_файла>.<paymts>
<имя_файла>.<gefickt>
<имя_файла>.<uk-dealer@sigaint.org>

Trojan-Ransom.Win32.Mircop:

<Lock>.<имя_файла>.<оригинальное_расширение>

Trojan-Ransom.Win32.Crusis (Dharma):

.ID<…>.<mail>@<server>.<domain>.xtbl
.ID<…>.<mail>@<server>.<domain>.CrySiS
.id-<…>.<mail>@<server>.<domain>.xtbl
.id-<…>.<mail>@<server>.<domain>.wallet
.id-<…>.<mail>@<server>.<domain>.dhrama
.id-<…>.<mail>@<server>.<domain>.onion
.<mail>@<server>.<domain>.wallet
.<mail>@<server>.<domain>.dhrama
.<mail>@<server>.<domain>.onion
.bip
.cesar
.wallet
.dharma

Примеры некоторых из вредоносных адресов-распространителей:

webmafia@asia.com
braker@plague.life
crannbest@foxmail.com
amagnus@india.com
stopper@india.com
bitcoin143@india.com
worm01@india.com
funa@india.com
pay4help@india.com
lavandos@dr.com
mkgoro@india.com

Trojan-Ransom.Win32. Nemchig:

<имя_файла>.<оригинальное_расширение>.<safefiles32@mail.ru>

Trojan-Ransom.Win32.Lamer:

<имя_файла>.<оригинальное_расширение>.<bloked>
<имя_файла>.<оригинальное_расширение>.<cripaaaa>
<имя_файла>.<оригинальное_расширение>.<smit>
<имя_файла>.<оригинальное_расширение>.<fajlovnet>
<имя_файла>.<оригинальное_расширение>.<filesfucked>
<имя_файла>.<оригинальное_расширение>.<criptx>
<имя_файла>.<оригинальное_расширение>.<gopaymeb>
<имя_файла>.<оригинальное_расширение>.<cripted>
<имя_файла>.<оригинальное_расширение>.<bnmntftfmn>
<имя_файла>.<оригинальное_расширение>.<criptiks>
<имя_файла>.<оригинальное_расширение>.<cripttt>
<имя_файла>.<оригинальное_расширение>.<hithere>
<имя_файла>.<оригинальное_расширение>.<aga>

Trojan-Ransom.Win32.Cryptokluchen:

<имя_файла>.<оригинальное_расширение>.<AMBA>
<имя_файла>.<оригинальное_расширение>.<PLAGUE17>
<имя_файла>.<оригинальное_расширение>.<ktldll>

Trojan-Ransom.Win32.Rotor:

<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.CRYPTSb@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
<имя_файла>.<оригинальное_расширение>.<!___prosschiff@gmail.com_.crypt>
<имя_файла>.<оригинальное_расширение>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
<имя_файла>.<оригинальное_расширение>.<!_________pkigxdaq@bk.ru_______.crypt>
<имя_файла>.<оригинальное_расширение>.<!____moskali1993@mail.ru___.crypt>
<имя_файла>.<оригинальное_расширение>.<!==helpsend369@gmail.com==.crypt>
<имя_файла>.<оригинальное_расширение>.<!-==kronstar21@gmail.com=--.crypt>

Trojan-Ransom.Win32.Chimera:

<имя_файла>.<оригинальное_расширение>.<crypt>
<имя_файла>.<оригинальное_расширение>.<4 произвольных символа>

Trojan-Ransom.Win32.AecHu:

<имя_файла>.<aes256>
<имя_файла>.<aes_ni>
<имя_файла>.<aes_ni_gov>
<имя_файла>.<aes_ni_0day>
<имя_файла>.<lock>
<имя_файла>.<decrypr_helper@freemail_hu>
<имя_файла>.<decrypr_helper@india.com>
<имя_файла>.<~xdata>

Trojan-Ransom.Win32.Jaff:

<имя_файла>.<jaff>
<имя_файла>.<wlu>
<имя_файла>.<sVn>

Trojan-Ransom.Win32.Cryakl

email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>

Версия вредоносной программы	Адрес электронной почты злоумышленников
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Как расшифровать файлы

Чтобы расшифровать файлы, выполните следующие действия:

Скачайте и распакуйте архив RakhniDecryptor.zip, используя программу-архиватор (например, 7zip).
Запустите файл RakhniDecryptor.exe на зараженном компьютере.
В окне Kaspersky RakhniDecryptor нажмите Изменить параметры проверки.

viruses_10556_01

В окне Настройки выберите объекты для проверки (жесткие диски / сменные диски / сетевые диски).
Установите флажок Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями .locked, .kraken и .darkness).
Нажмите ОК.

В окне Kaspersky RakhniDecryptor нажмите Начать проверку.

В окне Укажите путь к одному из зашифрованных файлов выберите нужный файл и нажмите Открыть.

Начнется подбор пароля к зашифрованному файлу. В окне Внимание! прочитайте предупреждение и нажмите ОК.

Дождитесь завершения расшифровки файлов (не закрывайте программу и не выключайте компьютер).

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, то расшифровка файлов при помощи утилиты RakhniDecryptor будет значительно быстрее. Если же файл exit.hhr.oshit был удален, то его возможно восстановить при помощи программ восстановления удаленных файлов, затем поместить его в %APPDATA% и заново запустить проверку утилитой. Файл exit.hhr.oshit можно найти по следующему пути:

Windows XP: C:\Documents and Settings\<имя_пользователя>\Application Data
Windows Vista/7/8/8.1/10 C:\Users\<имя_пользователя>\AppData\Roaming

Файл может быть зашифрован с расширением _crypt более одного раза. Например, файл тест.doc зашифрован 2 раза. Первый слой утилита RakhniDecryptor расшифрует в тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Если файл зашифрован с расширением _crypt, подбор пароля для этого файла может длиться продолжительное время. Например, на процессоре Intel Core i5-2400 подбор пароля может длиться порядка 120 суток.

Параметры для запуска утилиты из командной строки

Была ли информация полезна?

Да Нет

О вирусах: Общая информация

О вирусах: Вопросы и ответы

О вирусах: Советы по защите

О вирусах: Утилиты для лечения