Утилита Kaspersky RannohDecryptor для расшифровки файлов после заражения Trojan-Ransom.Win32.Rannoh
Хотите избежать заражений в будущем? Установите Kaspersky for Windows
Утилита RannohDecryptor от «Лаборатории Касперского» предназначена для расшифровки файлов после заражения шифровальщиками:
- Trojan-Ransom.Win32.Rannoh;
- Trojan-Ransom.Win32.AutoIt;
- Trojan-Ransom.Win32.Cryakl;
- Trojan-Ransom.Win32.CryptXXX версии 1, 2 и 3;
- Trojan-Ransom.Win32.Crybola;
- Trojan-Ransom.Win32.Polyglot;
- Trojan-Ransom.Win32.Fury;
- Trojan-Ransom.Win32.Yanluowang.
Как шифровальщики меняют файлы
При заражении все файлы на компьютере изменяются по шаблонам:
Шифровальщик | Как изменяются файлы |
---|---|
Trojan-Ransom.Win32.Rannoh | Имена и расширения изменяются по шаблону locked-<оригинальное_имя>.<4 произвольных буквы>. |
Trojan-Ransom.Win32.AutoIt | Расширения изменяются по шаблону <оригинальное_имя>@<почтовый_домен>_.<набор_символов>. Например, ioblomov@india.com_.rzwdtdic. |
Trojan-Ransom.Win32.Cryakl | В конец содержимого файлов добавляется метка {CRYPTENDBLACKDC}. |
Trojan-Ransom.Win32.CryptXXX | Расширения изменяются по шаблонам:
|
Trojan-Ransom.Win32.Crybola | Расширения изменяются по шаблону <оригинальное_имя>.ebola. |
Trojan-Ransom.Win32.Yanluowang | Расширения изменяются по шаблону <оригинальное_имя>.yanluowang. |
Остальные шифровальщики не меняют расширения файлов.
Особенности работы утилиты при расшифровке файлов, пострадавших от Trojan-Ransom.Win32.CryptXXX
Если вам нужно расшифровать файлы, пострадавшие от Trojan-Ransom.Win32.CryptXXX, обратите внимание на особенности работы RannohDecryptor:
- В системе, зараженной этим шифровальщиком, утилита сканирует файлы только таких форматов:
1cd, 7z, ai, avi, bz2, cab, cdr, cdw, cdx, cf, chm, dbf, djvu, doc, docm, docx, dt, dwg, epf, eps, erf, ert, fla, flac, flv, gif, gz, html, iso, jpeg, jpg, ldf, md, mdb, mdf, mov, mp3, mp4, mxl, nef, ods, odt, ogg, pdf, php, png, ppt, pptm, pptx, ps1, psd, pst, qbb, rar, rcf, rtf, sdf, sldasm, slddrw, tib, tif, tiff, vhd, vhdx, vsd, wav, xls, xlsm, xlsx, xlt, zip. - Восстановление ключа для расшифровки файлов, пострадавших от Trojan-Ransom.Win32.CryptXXX версии 2, может занять долгое время. В этом случае утилита показывает предупреждение.
Как расшифровать файлы утилитой Kaspersky RannohDecryptor
- Скачайте архив RannohDecryptor.zip и распакуйте его по инструкции.
- Перейдите в папку с файлами из архива.
- Запустите файл RannohDecryptor.exe.
- Ознакомьтесь с Лицензионным соглашением и нажмите Принять, если вы согласны со всеми пунктами.
- Если вы хотите, чтобы утилита автоматически удалила зашифрованные файлы после расшифровки:
- Перейдите по ссылке Изменить параметры проверки в главном окне.
-
Установите флажок Удалять зашифрованные файлы после успешной расшифровки и нажмите OK.
- Нажмите Начать проверку.
- Укажите путь к зашифрованному файлу.
- Для расшифровки некоторых троянов утилита запросит оригинальную (незашифрованную) копию одного шифрованного файла. Вы можете найти такую копию в почте, на съемном носителе, на других ваших компьютерах или в облачных хранилищах. Нажмите Продолжить и укажите путь к оригинальной копии.
Если файлы зашифрованы Trojan-Ransom.Win32.CryptXXX, укажите файлы самого большого размера. Из-за особенностей этого шифровальщика расшифровка будет доступна только для файлов равного или меньшего размера.
- Дождитесь окончания поиска и расшифровки зашифрованных файлов.
Если файлы были зашифрованы Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot или Trojan-Ransom.Win32.Fury, утилита сохранит файлы на старом месте с расширением .decryptedKLR.оригинальное_расширение. Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки, утилита сохранит расшифрованные файлы с оригинальным именем.
Если файлы были зашифрованы Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX, Trojan-Ransom.Win32.Crybola или Trojan-Ransom.Win32.Yanluowang, утилита сохранит файлы на старом месте с оригинальным расширением.
По умолчанию утилита выводит отчет о работе в корень диска, на котором установлена операционная система. Имя отчета имеет вид: ИмяУтилиты.Версия_Дата_Время_log.txt. Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
Параметры для запуска утилиты из командной строки
Параметр | Значение | Пример |
---|---|---|
-l <имя_файла> | Запись отчета о работе утилиты в файл. | RannohDecryptor.exe -l C:\Users\Administrator\Downloads\log.txt |
Что делать, если утилита не помогла
Если утилита RannohDecryptor не помогла расшифровать файлы, скачайте и запустите утилиты XoristDecryptor или RectorDecryptor.
Чтобы исключить возможность заражения в будущем, скачайте и установите новые приложения Kaspersky.