Утилита Kaspersky RakhniDecryptor для защиты от шифровальщиков Trojan‑Ransom.Win32.Rakhni

Воспользуйтесь утилитой Kaspersky RakhniDecryptor, если ваши файлы зашифрованы следующими шифровальщиками:

Trojan-Ransom.Win32.Rakhni;
Trojan-Ransom.Win32.Agent.iih;
Trojan-Ransom.Win32.Autoit;
Trojan-Ransom.Win32.Aura;
Trojan-Ransom.AndroidOS.Pletor;
Trojan-Ransom.Win32.Rotor;
Trojan-Ransom.Win32.Lamer;
Trojan-Ransom.Win32.Cryptokluchen;
Trojan-Ransom.Win32.Democry;
Trojan-Ransom.Win32.GandCrypt версии 4 и 5;
Trojan-Ransom.Win32.Bitman версии 3 и 4;
Trojan-Ransom.Win32.Libra;
Trojan-Ransom.MSIL.Lobzik;
Trojan-Ransom.MSIL.Lortok;
Trojan-Ransom.MSIL.Yatron;
Trojan-Ransom.Win32.Chimera;
Trojan-Ransom.Win32.CryFile;
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt);
Trojan-Ransom.Win32.Nemchig;
Trojan-Ransom.Win32.Mircop;
Trojan-Ransom.Win32.Mor;
Trojan-Ransom.Win32.Crusis (Dharma);
Trojan-Ransom.Win32.AecHu;
Trojan-Ransom.Win32.Jaff;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

Как определить, что Kaspresky RakhniDecryptor расшифрует файл

Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:

Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.locked;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.darkness;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nochance;
- <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
- <имя_файла>.<оригинальное_расширение>.relock@qq_com;
- <имя_файла>.<оригинальное_расширение>.crypto;
- <имя_файла>.<оригинальное_расширение>.helpdecrypt@ukr.net;
- <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
- <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
- <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
- <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
- <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
- <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл exit.hhr.oshit был удален, восстановите его при помощи программ восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming

Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>.
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.cry;
- <имя_файла>.<оригинальное_расширение>.AES256.
Trojan-Ransom.MSIL.Yatron: <имя_файла>.<оригинальное_расширение>.Yatron;
Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+<hb15>.
Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
Trojan-Ransom.Win32.GandCrypt:
- версия 4: <имя_файла>.<оригинальное_расширение>.KRAB;
- версия 5: <имя_файла>.<оригинальное_расширение>.<случайная_строка_символов>.
Trojan-Ransom.Win32.Bitman версии 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
Trojan-Ransom.Win32.Libra:
- <имя_файла>.encrypted;
- <имя_файла>.locked;
- <имя_файла>.SecureCrypted.
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.fun;
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epic;
- <имя_файла>.encrypted;
- <имя_файла>.J;
- <имя_файла>.payransom;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.paymrts;
- <имя_файла>.paymst;
- <имя_файла>.paymts;
- <имя_файла>.gefickt;
- <имя_файла>.uk-dealer@sigaint.org.
Trojan-Ransom.Win32.Mircop: <Lock>.<имя_файла>.<оригинальное_расширение>.
Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.<mail>@<server>.<domain>.xtbl;
- <имя_файла>.ID<…>.<mail>@<server>.<domain>.CrySiS;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.xtbl;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.wallet;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.dhrama;
- <имя_файла>.id-<…>.<mail>@<server>.<domain>.onion;
- <имя_файла>.<mail>@<server>.<domain>.wallet;
- <имя_файла>.<mail>@<server>.<domain>.dhrama;
- <имя_файла>.<mail>@<server>.<domain>.onion.
Примеры некоторых вредоносных адресов-распространителей:
- webmafia@asia.com;
- braker@plague.life;
- crannbest@foxmail.com;
- amagnus@india.com;
- stopper@india.com;
- bitcoin143@india.com;
- worm01@india.com;
- funa@india.com;
- pay4help@india.com;
- lavandos@dr.com;
- mkgoro@india.com.
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): не меняет расширение файлов;
Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>.safefiles32@mail.ru.
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bloked;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.criptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.cripted;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.criptiks;
- <имя_файла>.<оригинальное_расширение>.cripttt;
- <имя_файла>.<оригинальное_расширение>.hithere;
- <имя_файла>.<оригинальное_расширение>.aga.
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PLAGUE17;
- <имя_файла>.<оригинальное_расширение>.ktldll.
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>..-.DIRECTORAT1C@GMAIL.COM.roto;
- <имя_файла>.<оригинальное_расширение>..-.CRYPTSb@GMAIL.COM.roto;
- <имя_файла>.<оригинальное_расширение>..-.DIRECTORAT1C8@GMAIL.COM.roto;
- <имя_файла>.<оригинальное_расширение>.!______________DESKRYPTEDN81@GMAIL.COM.crypt;
- <имя_файла>.<оригинальное_расширение>.!___prosschiff@gmail.com_.crypt;
- <имя_файла>.<оригинальное_расширение>.!_______GASWAGEN123@GMAIL.COM____.crypt;
- <имя_файла>.<оригинальное_расширение>.!_________pkigxdaq@bk.ru_______.crypt;
- <имя_файла>.<оригинальное_расширение>.!____moskali1993@mail.ru___.crypt;
- <имя_файла>.<оригинальное_расширение>.!==helpsend369@gmail.com==.crypt;
- <имя_файла>.<оригинальное_расширение>.!-==kronstar21@gmail.com=--.crypt.

Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.

Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.crypt;
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.lock;
- <имя_файла>.decrypr_helper@freemail_hu;
- <имя_файла>.decrypr_helper@india.com;
- <имя_файла>.~xdata.
Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

Версия вредоносной программы	Адрес электронной почты злоумышленников
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Узнайте больше о технологиях, которые применяет «Лаборатория Касперского» для защиты от вредоносных программ, в том числе шифровальщиков, на странице ТехноВики. Более подробная информация в английской версии TechnoWiki.

Как расшифровать файлы утилитой Kaspersky RakhniDecryptor

Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье.
Перейдите в папку с файлами из архива.
Запустите файл RakhniDecryptor.exe.
Нажмите Изменить параметры проверки.

Переход к параметрам проверки в Kaspersky RakhniDecryptor

Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
Установите флажок Удалять зашифрованные файлы после успешной расшифровки. В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
Нажмите ОК.

Выбор объектов для проверки и дополнительных опций в Kaspersky RakhniDecryptor

Нажмите Начать проверку.

Переход к проверке в Kaspersky RakhniDecryptor

Выберите зашифрованный файл и нажмите Открыть.

Выбор файла для расшифровки в Kaspersky RakhniDecryptor

Прочитайте предупреждение и нажмите ОК.

Продолжение проверки после предупреждение в Kaspersky RakhniDecryptor

Файлы будут расшифрованы.

Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Параметры для запуска утилиты из командной строки

Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:

Имя команды	Значение	Пример
–threads	Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер.	RakhniDecryptor.exe –threads 6
–start <число> –end <число>	Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000
-l <название файла с указанием полного пути к нему>	Указание пути к файлу, где должен сохраняться отчет о работе утилиты.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Вывод справки о доступных параметрах командной строки	RakhniDecryptor.exe -h

Что делать, если на компьютере появился подозрительный файл

Что делать, если утилита не помогла

Была ли информация полезна?

Да Нет

Об угрозах: Общая информация

Об угрозах: Вопросы и ответы

Об угрозах: Советы по защите

Об угрозах: Утилиты для лечения