Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:

• Trojan-Ransom.Win32.Fonix:
  • <имя_файла>.<оригинальное_расширение>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF;
  • <имя_файла>.<оригинальное_расширение>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX.
• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.locked;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.darkness;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nochance;
  • <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
  • <имя_файла>.<оригинальное_расширение>.relock@qq_com;
  • <имя_файла>.<оригинальное_расширение>.crypto;
  • <имя_файла>.<оригинальное_расширение>.helpdecrypt@ukr.net;
  • <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
  • <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
  • <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
  • <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
  • <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.

• Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
• Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.cry;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.MSIL.Yatron: <имя_файла>.<оригинальное_расширение>.Yatron;
• Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+<hb15>.
• Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.GandCrypt:
  • версия 4: <имя_файла>.<оригинальное_расширение>.KRAB;
  • версия 5: <имя_файла>.<оригинальное_расширение>.<случайная_строка_символов>.
• Trojan-Ransom.Win32.Bitman версии 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.encrypted;
  • <имя_файла>.locked;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.fun;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epic;
  • <имя_файла>.encrypted;
  • <имя_файла>.J;
  • <имя_файла>.payransom;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.paymrts;
  • <имя_файла>.paymst;
  • <имя_файла>.paymts;
  • <имя_файла>.gefickt;
  • <имя_файла>.uk-dealer@sigaint.org.
• Trojan-Ransom.Win32.Mircop: <Lock>.<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.<mail>@<server>.<domain>.xtbl;
  • <имя_файла>.ID<…>.<mail>@<server>.<domain>.CrySiS;
  • <имя_файла>.id-<…>.<mail>@<server>.<domain>.xtbl;
  • <имя_файла>.id-<…>.<mail>@<server>.<domain>.wallet;
  • <имя_файла>.id-<…>.<mail>@<server>.<domain>.dhrama;
  • <имя_файла>.id-<…>.<mail>@<server>.<domain>.onion;
  • <имя_файла>.<mail>@<server>.<domain>.wallet;
  • <имя_файла>.<mail>@<server>.<domain>.dhrama;
  • <имя_файла>.<mail>@<server>.<domain>.onion.

• Примеры некоторых вредоносных адресов-распространителей:

  • webmafia@asia.com;
  • braker@plague.life;
  • crannbest@foxmail.com;
  • amagnus@india.com;
  • stopper@india.com;
  • bitcoin143@india.com;
  • worm01@india.com;
  • funa@india.com;
  • pay4help@india.com;
  • lavandos@dr.com;
  • mkgoro@india.com.
• Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): не меняет расширение файлов;
• Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>.safefiles32@mail.ru.
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.bloked;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.cripted;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.hithere;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>..-.DIRECTORAT1C@GMAIL.COM.roto;
  • <имя_файла>.<оригинальное_расширение>..-.CRYPTSb@GMAIL.COM.roto;
  • <имя_файла>.<оригинальное_расширение>..-.DIRECTORAT1C8@GMAIL.COM.roto;
  • <имя_файла>.<оригинальное_расширение>.!______________DESKRYPTEDN81@GMAIL.COM.crypt;
  • <имя_файла>.<оригинальное_расширение>.!___prosschiff@gmail.com_.crypt;
  • <имя_файла>.<оригинальное_расширение>.!_______GASWAGEN123@GMAIL.COM____.crypt;
  • <имя_файла>.<оригинальное_расширение>.!_________pkigxdaq@bk.ru_______.crypt;
  • <имя_файла>.<оригинальное_расширение>.!____moskali1993@mail.ru___.crypt;
  • <имя_файла>.<оригинальное_расширение>.!==helpsend369@gmail.com==.crypt;
  • <имя_файла>.<оригинальное_расширение>.!-==kronstar21@gmail.com=--.crypt.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.crypt;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.lock;
  • <имя_файла>.decrypr_helper@freemail_hu;
  • <имя_файла>.decrypr_helper@india.com;
  • <имя_файла>.~xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

• Версия вредоносной программы	Адрес электронной почты злоумышленников
  CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
  CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
  CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
  CL 1.3.0.0	cryptolocker@aol.com
  CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Узнайте больше о технологиях, которые применяет «Лаборатория Касперского» для защиты от вредоносных программ, в том числе шифровальщиков, на странице ТехноВики. Более подробная информация в английской версии TechnoWiki.

1. Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье.
2. Перейдите в папку с файлами из архива.
3. Запустите файл RakhniDecryptor.exe.
4. Нажмите Изменить параметры проверки.

5. Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
6. Установите флажок Удалять зашифрованные файлы после успешной расшифровки. В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
7. Нажмите ОК.

8. Нажмите Начать проверку.

9. Выберите зашифрованный файл и нажмите Открыть.

10. Прочитайте предупреждение и нажмите ОК.

Файлы будут расшифрованы.

Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:

Если вы обнаружили подозрительный файл, запуск которого может привести к заражению компьютера и шифрованию файлов, отправьте файлы для анализа на электронную почту newvirus@kaspersky.com. Для этого добавьте подозрительный файл в архив с расширением ZIP или RAR. Инструкция в статье.

Если утилита не помогла, свяжитесь с технической поддержкой «Лаборатории Касперского», выбрав тему для своего запроса.