Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

2018 авг 03 ID: 10556

Утилита RakhniDecryptor.zip восстанавливает файлы после шифровальщиков Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt, версии 3 и 4), Chimera, Crysis (версий 2 и 3), Dharma, Jaff, Cryakl.

Воспользуйтесь утилитой, если ваши файлы зашифрованы следующими программами:

Trojan-Ransom.Win32.Rakhni;
Trojan-Ransom.Win32.Agent.iih;
Trojan-Ransom.Win32.Autoit;
Trojan-Ransom.Win32.Aura;
Trojan-Ransom.AndroidOS.Pletor;
Trojan-Ransom.Win32.Rotor;
Trojan-Ransom.Win32.Lamer;
Trojan-Ransom.Win32.Cryptokluchen;
Trojan-Ransom.Win32.Democry;
Trojan-Ransom.Win32.Bitman версии 3 и 4;
Trojan-Ransom.Win32.Libra;
Trojan-Ransom.MSIL.Lobzik;
Trojan-Ransom.MSIL.Lortok;
Trojan-Ransom.Win32.Chimera;
Trojan-Ransom.Win32.CryFile;
Trojan-Ransom.Win32.Nemchig;
Trojan-Ransom.Win32.Mircop;
Trojan-Ransom.Win32.Mor;
Trojan-Ransom.Win32.Crusis (Dharma);
Trojan-Ransom.Win32.AecHu;
Trojan-Ransom.Win32.Jaff;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

Как определить, что RakhniDecryptor расшифрует файл

Если файл зашифрован вредоносной программой, его расширение меняется. Например:

было file.doc / стало file.doc.locked
было 1.doc / стало 1.dochb15
было 1.doc / стало 1.doc._17-05-2016-20-27-37_$seven_legion@india.com$.777

Утилита RakhniDecryptor.zip расшифрует файлы, расширения которых изменились по следующим шаблонам:

Trojan-Ransom.Win32.Rakhni:

<имя_файла>.<оригинальное_расширение>.<locked>
<имя_файла>.<оригинальное_расширение>.<kraken>
<имя_файла>.<оригинальное_расширение>.<darkness>
<имя_файла>.<оригинальное_расширение>.<oshit>
<имя_файла>.<оригинальное_расширение>.<nochance>
<имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
<имя_файла>.<оригинальное_расширение>.<relock@qq_com>
<имя_файла>.<оригинальное_расширение>.<crypto>
<имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
<имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
<имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
<имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
<имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
<имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
<имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>

Trojan-Ransom.Win32.Mor:

<имя_файла>.<оригинальное_расширение>_crypt

Trojan-Ransom.Win32.Autoit:

<имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>

Trojan-Ransom.MSIL.Lortok:

<имя_файла>.<оригинальное_расширение>.<cry>
<имя_файла>.<оригинальное_расширение>.<AES256>

Trojan-Ransom.AndroidOS.Pletor:

<имя_файла>.<оригинальное_расширение>.<enc>

Trojan-Ransom.Win32.Agent.iih:

<имя_файла>.<оригинальное_расширение>+<hb15>

Trojan-Ransom.Win32.CryFile:

<имя_файла>.<оригинальное_расширение>.<encrypted>

Trojan-Ransom.Win32.Democry:

<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>

Trojan-Ransom.Win32.Bitman версии 3:

<имя_файла>.<xxx>
<имя_файла>.<ttt>
<имя_файла>.<micro>
<имя_файла>.<mp3>

Trojan-Ransom.Win32.Bitman версии 4:

<имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)

Trojan-Ransom.Win32.Libra:

<имя_файла>.<encrypted>
<имя_файла>.<locked>
<имя_файла>.<SecureCrypted>

Trojan-Ransom.MSIL.Lobzik:

<имя_файла>.<fun>
<имя_файла>.<gws>
<имя_файла>.<btc>
<имя_файла>.<AFD>
<имя_файла>.<porno>
<имя_файла>.<pornoransom>
<имя_файла>.<epic>
<имя_файла>.<encrypted>
<имя_файла>.<J>
<имя_файла>.<payransom>
<имя_файла>.<paybtcs>
<имя_файла>.<paymds>
<имя_файла>.<paymrss>
<имя_файла>.<paymrts>
<имя_файла>.<paymst>
<имя_файла>.<paymts>
<имя_файла>.<gefickt>
<имя_файла>.<uk-dealer@sigaint.org>

Trojan-Ransom.Win32.Mircop:

<Lock>.<имя_файла>.<оригинальное_расширение>

Trojan-Ransom.Win32.Crusis (Dharma):

.ID<…>.<mail>@<server>.<domain>.xtbl
.ID<…>.<mail>@<server>.<domain>.CrySiS
.id-<…>.<mail>@<server>.<domain>.xtbl
.id-<…>.<mail>@<server>.<domain>.wallet
.id-<…>.<mail>@<server>.<domain>.dhrama
.id-<…>.<mail>@<server>.<domain>.onion
.<mail>@<server>.<domain>.wallet
.<mail>@<server>.<domain>.dhrama
.<mail>@<server>.<domain>.onion
.bip
.cesar
.wallet
.dharma

Примеры некоторых из вредоносных адресов-распространителей:

webmafia@asia.com
braker@plague.life
crannbest@foxmail.com
amagnus@india.com
stopper@india.com
bitcoin143@india.com
worm01@india.com
funa@india.com
pay4help@india.com
lavandos@dr.com
mkgoro@india.com

Trojan-Ransom.Win32. Nemchig:

<имя_файла>.<оригинальное_расширение>.<safefiles32@mail.ru>

Trojan-Ransom.Win32.Lamer:

<имя_файла>.<оригинальное_расширение>.<bloked>
<имя_файла>.<оригинальное_расширение>.<cripaaaa>
<имя_файла>.<оригинальное_расширение>.<smit>
<имя_файла>.<оригинальное_расширение>.<fajlovnet>
<имя_файла>.<оригинальное_расширение>.<filesfucked>
<имя_файла>.<оригинальное_расширение>.<criptx>
<имя_файла>.<оригинальное_расширение>.<gopaymeb>
<имя_файла>.<оригинальное_расширение>.<cripted>
<имя_файла>.<оригинальное_расширение>.<bnmntftfmn>
<имя_файла>.<оригинальное_расширение>.<criptiks>
<имя_файла>.<оригинальное_расширение>.<cripttt>
<имя_файла>.<оригинальное_расширение>.<hithere>
<имя_файла>.<оригинальное_расширение>.<aga>

Trojan-Ransom.Win32.Cryptokluchen:

<имя_файла>.<оригинальное_расширение>.<AMBA>
<имя_файла>.<оригинальное_расширение>.<PLAGUE17>
<имя_файла>.<оригинальное_расширение>.<ktldll>

Trojan-Ransom.Win32.Rotor:

<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.CRYPTSb@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
<имя_файла>.<оригинальное_расширение>.<!___prosschiff@gmail.com_.crypt>
<имя_файла>.<оригинальное_расширение>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
<имя_файла>.<оригинальное_расширение>.<!_________pkigxdaq@bk.ru_______.crypt>
<имя_файла>.<оригинальное_расширение>.<!____moskali1993@mail.ru___.crypt>
<имя_файла>.<оригинальное_расширение>.<!==helpsend369@gmail.com==.crypt>
<имя_файла>.<оригинальное_расширение>.<!-==kronstar21@gmail.com=--.crypt>

Trojan-Ransom.Win32.Chimera:

<имя_файла>.<оригинальное_расширение>.<crypt>
<имя_файла>.<оригинальное_расширение>.<4 произвольных символа>

Trojan-Ransom.Win32.AecHu:

<имя_файла>.<aes256>
<имя_файла>.<aes_ni>
<имя_файла>.<aes_ni_gov>
<имя_файла>.<aes_ni_0day>
<имя_файла>.<lock>
<имя_файла>.<decrypr_helper@freemail_hu>
<имя_файла>.<decrypr_helper@india.com>
<имя_файла>.<~xdata>

Trojan-Ransom.Win32.Jaff:

<имя_файла>.<jaff>
<имя_файла>.<wlu>
<имя_файла>.<sVn>

Trojan-Ransom.Win32.Cryakl

email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>

Версия вредоносной программы	Адрес электронной почты злоумышленников
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Как расшифровать файлы

Чтобы расшифровать файлы, выполните следующие действия:

Скачайте и распакуйте архив RakhniDecryptor.zip, используя программу-архиватор (например, 7zip).
Запустите файл RakhniDecryptor.exe на зараженном компьютере.
В окне Kaspersky RakhniDecryptor нажмите Изменить параметры проверки.

viruses_10556_01

В окне Настройки выберите объекты для проверки (жесткие диски / сменные диски / сетевые диски).
Установите флажок Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями .locked, .kraken и .darkness).
Нажмите ОК.

В окне Kaspersky RakhniDecryptor нажмите Начать проверку.

В окне Укажите путь к одному из зашифрованных файлов выберите нужный файл и нажмите Открыть.

Начнется подбор пароля к зашифрованному файлу. В окне Внимание! прочитайте предупреждение и нажмите ОК.

Дождитесь завершения расшифровки файлов (не закрывайте программу и не выключайте компьютер).

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, то расшифровка файлов при помощи утилиты RakhniDecryptor будет значительно быстрее. Если же файл exit.hhr.oshit был удален, то его возможно восстановить при помощи программ восстановления удаленных файлов, затем поместить его в %APPDATA% и заново запустить проверку утилитой. Файл exit.hhr.oshit можно найти по следующему пути:

Windows XP: C:\Documents and Settings\<имя_пользователя>\Application Data
Windows Vista/7/8/8.1/10 C:\Users\<имя_пользователя>\AppData\Roaming

Файл может быть зашифрован с расширением _crypt более одного раза. Например, файл тест.doc зашифрован 2 раза. Первый слой утилита RakhniDecryptor расшифрует в тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Если файл зашифрован с расширением _crypt, подбор пароля для этого файла может длиться продолжительное время. Например, на процессоре Intel Core i5-2400 подбор пароля может длиться порядка 120 суток.

Параметры для запуска утилиты из командной строки

Была ли информация полезна?

Да Нет

К разделу "Утилиты для лечения"

О вирусах: Общая информация

О вирусах: Вопросы и ответы

О вирусах: Советы по защите

О вирусах: Утилиты для лечения

Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

К разделу "Утилиты для лечения"

2018 авг 03 ID: 10556

Утилита RakhniDecryptor.zip восстанавливает файлы после шифровальщиков Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt, версии 3 и 4), Chimera, Crysis (версий 2 и 3), Dharma, Jaff, Cryakl.

Воспользуйтесь утилитой, если ваши файлы зашифрованы следующими программами:

Trojan-Ransom.Win32.Rakhni;
Trojan-Ransom.Win32.Agent.iih;
Trojan-Ransom.Win32.Autoit;
Trojan-Ransom.Win32.Aura;
Trojan-Ransom.AndroidOS.Pletor;
Trojan-Ransom.Win32.Rotor;
Trojan-Ransom.Win32.Lamer;
Trojan-Ransom.Win32.Cryptokluchen;
Trojan-Ransom.Win32.Democry;
Trojan-Ransom.Win32.Bitman версии 3 и 4;
Trojan-Ransom.Win32.Libra;
Trojan-Ransom.MSIL.Lobzik;
Trojan-Ransom.MSIL.Lortok;
Trojan-Ransom.Win32.Chimera;
Trojan-Ransom.Win32.CryFile;
Trojan-Ransom.Win32.Nemchig;
Trojan-Ransom.Win32.Mircop;
Trojan-Ransom.Win32.Mor;
Trojan-Ransom.Win32.Crusis (Dharma);
Trojan-Ransom.Win32.AecHu;
Trojan-Ransom.Win32.Jaff;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.

Как определить, что RakhniDecryptor расшифрует файл

Если файл зашифрован вредоносной программой, его расширение меняется. Например:

было file.doc / стало file.doc.locked
было 1.doc / стало 1.dochb15
было 1.doc / стало 1.doc._17-05-2016-20-27-37_$seven_legion@india.com$.777

Утилита RakhniDecryptor.zip расшифрует файлы, расширения которых изменились по следующим шаблонам:

Trojan-Ransom.Win32.Rakhni:

<имя_файла>.<оригинальное_расширение>.<locked>
<имя_файла>.<оригинальное_расширение>.<kraken>
<имя_файла>.<оригинальное_расширение>.<darkness>
<имя_файла>.<оригинальное_расширение>.<oshit>
<имя_файла>.<оригинальное_расширение>.<nochance>
<имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
<имя_файла>.<оригинальное_расширение>.<relock@qq_com>
<имя_файла>.<оригинальное_расширение>.<crypto>
<имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
<имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
<имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
<имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
<имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
<имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
<имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>

Trojan-Ransom.Win32.Mor:

<имя_файла>.<оригинальное_расширение>_crypt

Trojan-Ransom.Win32.Autoit:

<имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>

Trojan-Ransom.MSIL.Lortok:

<имя_файла>.<оригинальное_расширение>.<cry>
<имя_файла>.<оригинальное_расширение>.<AES256>

Trojan-Ransom.AndroidOS.Pletor:

<имя_файла>.<оригинальное_расширение>.<enc>

Trojan-Ransom.Win32.Agent.iih:

<имя_файла>.<оригинальное_расширение>+<hb15>

Trojan-Ransom.Win32.CryFile:

<имя_файла>.<оригинальное_расширение>.<encrypted>

Trojan-Ransom.Win32.Democry:

<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>

Trojan-Ransom.Win32.Bitman версии 3:

<имя_файла>.<xxx>
<имя_файла>.<ttt>
<имя_файла>.<micro>
<имя_файла>.<mp3>

Trojan-Ransom.Win32.Bitman версии 4:

<имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)

Trojan-Ransom.Win32.Libra:

<имя_файла>.<encrypted>
<имя_файла>.<locked>
<имя_файла>.<SecureCrypted>

Trojan-Ransom.MSIL.Lobzik:

<имя_файла>.<fun>
<имя_файла>.<gws>
<имя_файла>.<btc>
<имя_файла>.<AFD>
<имя_файла>.<porno>
<имя_файла>.<pornoransom>
<имя_файла>.<epic>
<имя_файла>.<encrypted>
<имя_файла>.<J>
<имя_файла>.<payransom>
<имя_файла>.<paybtcs>
<имя_файла>.<paymds>
<имя_файла>.<paymrss>
<имя_файла>.<paymrts>
<имя_файла>.<paymst>
<имя_файла>.<paymts>
<имя_файла>.<gefickt>
<имя_файла>.<uk-dealer@sigaint.org>

Trojan-Ransom.Win32.Mircop:

<Lock>.<имя_файла>.<оригинальное_расширение>

Trojan-Ransom.Win32.Crusis (Dharma):

.ID<…>.<mail>@<server>.<domain>.xtbl
.ID<…>.<mail>@<server>.<domain>.CrySiS
.id-<…>.<mail>@<server>.<domain>.xtbl
.id-<…>.<mail>@<server>.<domain>.wallet
.id-<…>.<mail>@<server>.<domain>.dhrama
.id-<…>.<mail>@<server>.<domain>.onion
.<mail>@<server>.<domain>.wallet
.<mail>@<server>.<domain>.dhrama
.<mail>@<server>.<domain>.onion
.bip
.cesar
.wallet
.dharma

Примеры некоторых из вредоносных адресов-распространителей:

webmafia@asia.com
braker@plague.life
crannbest@foxmail.com
amagnus@india.com
stopper@india.com
bitcoin143@india.com
worm01@india.com
funa@india.com
pay4help@india.com
lavandos@dr.com
mkgoro@india.com

Trojan-Ransom.Win32. Nemchig:

<имя_файла>.<оригинальное_расширение>.<safefiles32@mail.ru>

Trojan-Ransom.Win32.Lamer:

<имя_файла>.<оригинальное_расширение>.<bloked>
<имя_файла>.<оригинальное_расширение>.<cripaaaa>
<имя_файла>.<оригинальное_расширение>.<smit>
<имя_файла>.<оригинальное_расширение>.<fajlovnet>
<имя_файла>.<оригинальное_расширение>.<filesfucked>
<имя_файла>.<оригинальное_расширение>.<criptx>
<имя_файла>.<оригинальное_расширение>.<gopaymeb>
<имя_файла>.<оригинальное_расширение>.<cripted>
<имя_файла>.<оригинальное_расширение>.<bnmntftfmn>
<имя_файла>.<оригинальное_расширение>.<criptiks>
<имя_файла>.<оригинальное_расширение>.<cripttt>
<имя_файла>.<оригинальное_расширение>.<hithere>
<имя_файла>.<оригинальное_расширение>.<aga>

Trojan-Ransom.Win32.Cryptokluchen:

<имя_файла>.<оригинальное_расширение>.<AMBA>
<имя_файла>.<оригинальное_расширение>.<PLAGUE17>
<имя_файла>.<оригинальное_расширение>.<ktldll>

Trojan-Ransom.Win32.Rotor:

<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.CRYPTSb@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
<имя_файла>.<оригинальное_расширение>.<!___prosschiff@gmail.com_.crypt>
<имя_файла>.<оригинальное_расширение>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
<имя_файла>.<оригинальное_расширение>.<!_________pkigxdaq@bk.ru_______.crypt>
<имя_файла>.<оригинальное_расширение>.<!____moskali1993@mail.ru___.crypt>
<имя_файла>.<оригинальное_расширение>.<!==helpsend369@gmail.com==.crypt>
<имя_файла>.<оригинальное_расширение>.<!-==kronstar21@gmail.com=--.crypt>

Trojan-Ransom.Win32.Chimera:

<имя_файла>.<оригинальное_расширение>.<crypt>
<имя_файла>.<оригинальное_расширение>.<4 произвольных символа>

Trojan-Ransom.Win32.AecHu:

<имя_файла>.<aes256>
<имя_файла>.<aes_ni>
<имя_файла>.<aes_ni_gov>
<имя_файла>.<aes_ni_0day>
<имя_файла>.<lock>
<имя_файла>.<decrypr_helper@freemail_hu>
<имя_файла>.<decrypr_helper@india.com>
<имя_файла>.<~xdata>

Trojan-Ransom.Win32.Jaff:

<имя_файла>.<jaff>
<имя_файла>.<wlu>
<имя_файла>.<sVn>

Trojan-Ransom.Win32.Cryakl

email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>

Версия вредоносной программы	Адрес электронной почты злоумышленников
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Как расшифровать файлы

Чтобы расшифровать файлы, выполните следующие действия:

Скачайте и распакуйте архив RakhniDecryptor.zip, используя программу-архиватор (например, 7zip).
Запустите файл RakhniDecryptor.exe на зараженном компьютере.
В окне Kaspersky RakhniDecryptor нажмите Изменить параметры проверки.

viruses_10556_01

В окне Настройки выберите объекты для проверки (жесткие диски / сменные диски / сетевые диски).
Установите флажок Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями .locked, .kraken и .darkness).
Нажмите ОК.

В окне Kaspersky RakhniDecryptor нажмите Начать проверку.

В окне Укажите путь к одному из зашифрованных файлов выберите нужный файл и нажмите Открыть.

Начнется подбор пароля к зашифрованному файлу. В окне Внимание! прочитайте предупреждение и нажмите ОК.

Дождитесь завершения расшифровки файлов (не закрывайте программу и не выключайте компьютер).

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, то расшифровка файлов при помощи утилиты RakhniDecryptor будет значительно быстрее. Если же файл exit.hhr.oshit был удален, то его возможно восстановить при помощи программ восстановления удаленных файлов, затем поместить его в %APPDATA% и заново запустить проверку утилитой. Файл exit.hhr.oshit можно найти по следующему пути:

Windows XP: C:\Documents and Settings\<имя_пользователя>\Application Data
Windows Vista/7/8/8.1/10 C:\Users\<имя_пользователя>\AppData\Roaming

Файл может быть зашифрован с расширением _crypt более одного раза. Например, файл тест.doc зашифрован 2 раза. Первый слой утилита RakhniDecryptor расшифрует в тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Если файл зашифрован с расширением _crypt, подбор пароля для этого файла может длиться продолжительное время. Например, на процессоре Intel Core i5-2400 подбор пароля может длиться порядка 120 суток.

Параметры для запуска утилиты из командной строки

Была ли информация полезна?

Да Нет

К разделу "Утилиты для лечения"

Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

Как определить, что RakhniDecryptor расшифрует файл

Как расшифровать файлы

Параметры для запуска утилиты из командной строки

О вирусах: Общая информация

О вирусах: Вопросы и ответы

О вирусах: Советы по защите

О вирусах: Утилиты для лечения

Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

Как определить, что RakhniDecryptor расшифрует файл

Как расшифровать файлы

Параметры для запуска утилиты из командной строки

Отзыв о сайте

Спасибо за отзыв!

Как мы можем улучшить статью?

Спасибо за отзыв!

Для Windows

Общие статьи

Поддержка

Для мобильных устройств

Для Mac

Частые вопросы

Small Office Security 6

Small Office Security 5

Small Office Security 4

Частые вопросы

Общие статьи

Поддержка

Для рабочих станций и мобильных устройств

Для файловых серверов

Для виртуальных сред

Администрирование

Облачные решения

Для почтовых систем и серверов совместной работы

Для интернет-шлюзов

Kaspersky Password Manager

Kaspersky Safe Browser

Kaspersky Update Utility

Kaspersky Safe Kids

Kaspersky Free

Kaspersky VirusDesk

Проверить компьютер на вирусы

Разблокировать систему

Советы по защите

Восстановить и вылечить систему

Расшифровать файлы

Азбука безопасности