Утилита для расшифровки файлов после заражения Trojan-Ransom.Win32.Rannoh
Хотите избежать заражений в будущем? Установите Kaspersky Internet Security.
Чтобы загрузить бесплатную утилиту Kaspersky RannohDecryptor для расшифровки файлов после заражения Trojan-Ransom.Win32.Rannoh, нажмите Скачать.
Утилита RannohDecryptor предназначена для расшифровки файлов после заражения программами-шифровальщиками:
- Trojan-Ransom.Win32.Rannoh.
- Trojan-Ransom.Win32.AutoIt.
- Trojan-Ransom.Win32.Cryakl.
- Trojan-Ransom.Win32.CryptXXX версии 1, 2 и 3.
- Trojan-Ransom.Win32.Crybola.
- Trojan-Ransom.Win32.Polyglot.
- Trojan-Ransom.Win32.Fury.
- Trojan-Ransom.Win32.Yanluowang.
При заражении все файлы на компьютере изменяются по шаблонам:
| Программа-шифровальщик | Как изменяются файлы |
|---|---|
| Trojan-Ransom.Win32.Rannoh | Имена и расширения изменяются по шаблону locked-<оригинальное_имя>.<4 произвольных буквы>. |
| Trojan-Ransom.Win32.AutoIt | Расширения изменяются по шаблону <оригинальное_имя>@<почтовый_домен>_.<набор_символов>. Например, ioblomov@india.com_.RZWDTDIC. |
| Trojan-Ransom.Win32.Cryakl | В конец содержимого файлов добавляется метка {CRYPTENDBLACKDC}. |
| Trojan-Ransom.Win32.CryptXXX | Расширения изменяются по шаблонам:
|
| Trojan-Ransom.Win32.Crybola | Расширения изменяется по шаблону <оригинальное_имя>.ebola. |
| Trojan-Ransom.Win32.Yanluowang | Расширения изменяется по шаблону <оригинальное_имя>.yanluowang. |
Остальные программы-шифровальщики не меняют расширения файлов.
Если вам нужно расшифровать файлы, пострадавшие от Trojan-Ransom.Win32.CryptXXX, обратите внимание на особенности работы RannohDecryptor:
- В системе, зараженной этой программой-шифровальщиком, утилита сканирует ограниченное количество форматов файлов:
- 1cd, 7z, ai, avi, bz2, cab, cdr, cdw, cdx, cf, chm, dbf, djvu, doc, docm, docx, dt, dwg, epf, eps, erf, ert, fla, flac, flv, gif, gz, html, iso, jpeg, jpg, ldf, md, mdb, mdf, mov, mp3, mp4, mxl, nef, ods, odt, ogg, pdf, php, png, ppt, pptm, pptx, ps1, psd, pst, qbb, rar, rcf, rtf, sdf, sldasm, slddrw, tib, tif, tiff, vhd, vhdx, vsd, wav, xls, xlsm, xlsx, xlt, zip.
- Восстановление ключа для расшифровки файлов, пострадавших от Trojan-Ransom.Win32.CryptXXX версии 2, может занять долгое время. В этом случае утилита показывает предупреждение:
Как вылечить зараженную систему
- Скачайте файл RannohDecryptor.zip.
- Запустите файл RannohDecryptor.exe на зараженном компьютере.
- Внимательно прочитайте Лицензионное соглашение «Лаборатории Касперского». Нажмите Принять, если вы согласны со всеми пунктами.
- Если вы хотите, чтобы утилита автоматически удалила зашифрованные файлы после расшифровки:
- Перейдите по ссылке Изменить параметры проверки в главном окне.
-
Установите флажок Удалять зашифрованные файлы после успешной расшифровки.
- В главном окне нажмите Начать проверку.
- Укажите путь к зашифрованному файлу.
- Для расшифровки некоторых троянов утилита запросит оригинальную (незашифрованную) копию одного шифрованного файла. Вы можете найти такую копию в почте, на съемном носителе, на других ваших компьютерах или в облачных хранилищах. Нажмите Продолжить и укажите путь к оригинальной копии.
Если файлы зашифрованы Trojan-Ransom.Win32.CryptXXX, укажите файлы самого большого размера. Из-за особенностей этой программы-шифровальщика расшифровка будет доступна только для файлов равного или меньшего размера.
- Дождитесь окончания поиска и расшифровки зашифрованных файлов.
Файлы будут расшифрованы.
Если файлы были зашифрованы Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot или Trojan-Ransom.Win32.Fury, утилита сохранит файлы на старом месте с расширением .decryptedKLR.оригинальное_расширение. Если вы выбрали Удалять зашифрованные файлы после успешной расшифровки, утилита сохранит расшифрованные файлы с оригинальным именем.
Если файлы были зашифрованы Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX, Trojan-Ransom.Win32.Crybola или Trojan-Ransom.Win32.Yanluowang, утилита сохранит файлы на старом месте с оригинальным расширением.
По умолчанию утилита выводит отчет о работе в корень диска, на котором установлена операционная система. Имя отчета имеет вид: ИмяУтилиты.Версия_Дата_Время_log.txt. Например, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
Команда для запуска утилиты из командной строки
| Имя команды | Значение | Пример |
|---|---|---|
| -l <имя_файла> | Запись отчета о работе утилиты в файл. | RannohDecryptor.exe -l C:\Users\Administrator\Downloads\log.txt |
Что делать, если утилита не помогла
Если утилита RannohDecryptor не помогла расшифровать файлы, скачайте и запустите утилиты XoristDecryptor или RectorDecryptor.
Чтобы исключить возможность заражения в будущем, установите программу Kaspersky Internet Security.
