Strumento RakhniDecryptor per difendersi dal ransomware Trojan‑Ransom.Win32.Rakhni
Vuoi prevenire le infezioni? Installa Kaspersky Internet Security
Oltre a protezione antivirus, Kaspersky Internet Security protegge i seguenti elementi: connessione di rete, webcam, pagamenti online, informazioni indesiderate e non adatte ai minori, oltre alla possibilità di bloccare i banner pubblicitari, impedire la raccolta dei dati, la ricerca e l'installazione di aggiornamenti, eliminare applicazioni non utilizzate.
Usa lo strumento Kaspersky RakhniDecryptor se i tuoi file sono stati crittografati dal seguente ransomware:
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt ver. 4 and 5
- Trojan-Ransom.Win32.Bitman ver. 3 and 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
Come determinare se Kaspersky RakhniDecryptor può decrittografare i tuoi file
Lo strumento Kaspersky RakhniDecryptor decrittografa i file modificati in base ai seguenti schemi:
- Trojan-Ransom.Win32.Ragnarok:
- <nome_file>.<ID>.thor
- <nome_file>.<ID>.odin
- <nome_file>.<ID>.hela
Per il decriptaggio, l'utilità richiede il file del tipo !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <nome_file>.<estensione_file_originale>.Email=[<posta>@<server>.<dominio>]ID=[<id>].XINOF
- <nome_file>.<estensione_file_originale>.Email=[<posta>@<server>.<dominio>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <nome_file>.<estensione_file_originale>.locked
- <nome_file>.<estensione_file_originale>.kraken
- <nome_file>.<estensione_file_originale>.darkness
- <nome_file>.<estensione_file_originale>.oshit
- <nome_file>.<estensione_file_originale>.nochance
- <nome_file>.<estensione_file_originale>.oplata@qq_com
- <nome_file>.<estensione_file_originale>.relock@qq_com
- <nome_file>.<estensione_file_originale>.crypto
- <nome_file>.<estensione_file_originale>.helpdecrypt@ukr.net
- <nome_file>.<estensione_file_originale>.p***a@qq_com
- <nome_file>.<estensione_file_originale>.dyatel@qq_com
- <nome_file>.<estensione_file_originale>.nalog@qq_com
- <nome_file>.<estensione_file_originale>.chifrator@gmail_com
- <nome_file>.<estensione_file_originale>.gruzin@qq_com
- <nome_file>.<estensione_file_originale>.troyancoder@gmail_com
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id373
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id371
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id372
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id374
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id375
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id376
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id392
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id357
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id356
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id358
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id359
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id360
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id20
- Trojan-Ransom.Win32.Mor: <nome_file>.<estensione_file_originale>_crypt
- Trojan-Ransom.Win32.Autoit: <nome_file>.<estensione_file_originale>.<_crypt@india.com_.letters>
- Trojan-Ransom.MSIL.Lortok:
- <nome_file>.<estensione_file_originale>.cry
- <nome_file>.<estensione_file_originale>.AES256
- Trojan-Ransom.MSIL.Yatron: <nome_file>.<estensione_file_originale>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <nome_file>.<estensione_file_originale>.enc
- Trojan-Ransom.Win32.Agent.iih: <nome_file>.<estensione_file_originale>+<hb15>
- Trojan-Ransom.Win32.CryFile: <nome_file>.<estensione_file_originale>.encrypted
- Trojan-Ransom.Win32.Democry:
- <nome_file>.<estensione_file_originale>+<._data-time_$email@domain$.777>
- <nome_file>.<estensione_file_originale>+<._data-time_$email@domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- versione 4: <nome_file>.<estensione_file_originale>.KRAB
- versione 5: <nome_file>.<estensione_file_originale>.<riga_di_caratteri_casuali>
- Trojan-Ransom.Win32.Bitman vers. 3:
- <nome_file>.xxx
- <nome_file>.ttt
- <nome_file>.micro
- <nome_file>.mp3
- Trojan-Ransom.Win32.Bitman vers. 4: <nome_file>.<estensione_file_originale> (il nome del file e la sua estensione non cambiano).
- Trojan-Ransom.Win32.Libra:
- <nome_file>.encrypted
- <nome_file>.locked
- <nome_file>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <nome_file>.fun
- <nome_file>.gws
- <nome_file>.btc
- <nome_file>.AFD
- <nome_file>.porno
- <nome_file>.pornoransom
- <nome_file>.epic
- <nome_file>.encrypted
- <nome_file>.J
- <nome_file>.payransom
- <nome_file>.paybtcs
- <nome_file>.paymds
- <nome_file>.paymrss
- <nome_file>.paymrts
- <nome_file>.paymst
- <nome_file>.paymts
- <nome_file>.gefickt
- <nome_file>.uk-dealer@sigaint.org
- Trojan-Ransom.Win32.Mircop: <Blocco>.<nome_file>.<estensione_file_originale>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.xtbl
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.CrySiS
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.xtbl
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.wallet
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.dhrama
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.onion
- <nome_file>.<posta>@<server>.<dominio>.wallet
- <nome_file>.<posta>@<server>.<dominio>.dhrama
- <nome_file>.<posta>@<server>.<dominio>.onion
-
Esempi di alcuni indirizzi email utilizzati per diffondere malware:
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) (il nome del file e la sua estensione non cambiano).
- Trojan-Ransom.Win32.Nemchig: <nome_file>.<estensione_file_originale>.safefiles32@mail.ru
- Trojan-Ransom.Win32.Lamer:
- <nome_file>.<estensione_file_originale>.bloked
- <nome_file>.<estensione_file_originale>.cripaaaa
- <nome_file>.<estensione_file_originale>.smit
- <nome_file>.<estensione_file_originale>.fajlovnet
- <nome_file>.<estensione_file_originale>.filesfucked
- <nome_file>.<estensione_file_originale>.criptx
- <nome_file>.<estensione_file_originale>.gopaymeb
- <nome_file>.<estensione_file_originale>.cripted
- <nome_file>.<estensione_file_originale>.bnmntftfmn
- <nome_file>.<estensione_file_originale>.criptiks
- <nome_file>.<estensione_file_originale>.cripttt
- <nome_file>.<estensione_file_originale>.hithere
- <nome_file>.<estensione_file_originale>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <nome_file>.<estensione_file_originale>.AMBA
- <nome_file>.<estensione_file_originale>.PLAGUE17
- <nome_file>.<estensione_file_originale>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <nome_file>.<estensione_file_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nome_file>.<estensione_file_originale>..-.CRYPTSb@GMAIL.COM.roto
- <nome_file>.<estensione_file_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nome_file>.<estensione_file_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nome_file>.<estensione_file_originale>.!___prosschiff@gmail.com_.crypt
- <nome_file>.<estensione_file_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nome_file>.<estensione_file_originale>.!_________pkigxdaq@bk.ru_______.crypt
- <nome_file>.<estensione_file_originale>.!____moskali1993@mail.ru___.crypt
- <nome_file>.<estensione_file_originale>.!==helpsend369@gmail.com==.crypt
- <nome_file>.<estensione_file_originale>.!-==kronstar21@gmail.com=--.crypt
- Trojan-Ransom.Win32.Chimera:
- <nome_file>.<estensione_file_originale>.crypt
- <nome_file>.<estensione_file_originale>.<4 token casuali>
- Trojan-Ransom.Win32.AecHu:
- <nome_file>.aes256
- <nome_file>.aes_ni
- <nome_file>.aes_ni_gov
- <nome_file>.aes_ni_0day
- <nome_file>.lock
- <nome_file>.decrypr_helper@freemail_hu
- <nome_file>.decrypr_helper@india.com
- <nome_file>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <nome_file>.jaff
- <nome_file>.wlu
- <nome_file>.sVn
-
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<estensione casuale>
-
Versione malware Indirizzo e-mail CL 1.0.0.0
cryptolocker@aol.com
iizomer@aol.com
seven_Legion2@aol.com
oduvansh@aol.com
ivanivanov34@aol.com
trojanencoder@aol.com
load180@aol.com
moshiax@aol.com
vpupkin3@aol.com
watnik91@aol.com
1.0.0.0.u
cryptolocker@aol.com_graf1
cryptolocker@aol.com_mod
byaki_buki@aol.com_mod2
CL 1.2.0.0
oduvansh@aol.com
cryptolocker@aol.com
CL 1.3.0.0
cryptolocker@aol.com
CL 1.3.1.0
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com
Per ulteriori informazioni sulle tecnologie utilizzate da Kaspersky per la protezione da malware, visita questa pagina (articolo in inglese).
Come decrittografare i file con Kaspersky RakhniDecryptor
- Scarica RakhniDecryptor.zip ed estrai i file contenuti nell'archivio. Per istruzioni, consulta questa guida (articolo in inglese).
- Apri la cartella con i file estratti.
- Esegui RakhniDecryptor.exe.
- Fai clic su Change parameters.
- Seleziona gli oggetti da analizzare (unità disco rigido/unità rimovibili/unità di rete).
- Seleziona la casella di controllo Delete crypted files after decryption. A questo punto, verranno rimosse le copie dei file crittograti con le estensioni LOCKED, KRAKEN, DARKNESS ecc.
- Fare clic su OK.
- Fai clic su Start scan.
- Seleziona il file crittografato e fai clic su Open.
- Leggi l'avviso e fai clic su OK.
I file verranno decrittografati.
Il file con l'estensione CRYPT deve essere crittografato più di una volta. Ad esempio, se il file test.doc è stato crittografato due volte, il primo livello verrà decrittografato nel file test.1.doc.layerDecryptedKLR. Nel rapporto dei risultati dello strumento, verrà mostrato quanto segue: «Decryption success: disk:\path\test.doc_crypt -> dish:\path\test.1.doc.layerDecryptedKLR». Il file dovrà essere decrittografato un'altra volta. Se la decrittografia riesce, il file verrà salvato nel file name test.doc originale.
Parametri per l'esecuzione dell'utilità dalla riga di comando
Per maggiore comodità e per risparmiare tempo, Kaspersky RakhniDecryptor supporta i seguenti parametri di riga di comando:
Nome comando | Valore | Esempio |
---|---|---|
–threads | Per eseguire lo strumento per l'identificazione delle password con più thread. Se il parametro non è impostato, il numero di thread corrisponde al numero di core. | RakhniDecryptor.exe –threads 6 |
–start <numero> –end <numero> | Per recuperare l'identificazione delle password da un determinato valore. Il valore minimo è 0. Per interrompere l'identificazione delle password a un determinato valore. Il valore massimo è 1.000.000. Per identificare la password in un intervallo tra due valori | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
-l <nome file e relativo percorso completo> | Per specificare il percorso del file, in cui archiviare il rapporto dei risultati dello strumento. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
/h | Per visualizzare la guida sulle opzioni della riga di comando | RakhniDecryptor.exe -h |
Come comportarsi se noti un file sospetto nel computer
Come procedere se l'utilità non consente di risolvere il problema
Se l'utilità non consente di risolvere il problema, contatta l'Assistenza tecnica di Kaspersky selezionando l'argomento e compilando il modulo.