Strumento RakhniDecryptor per difendersi dal ransomware Trojan‑Ransom.Win32.Rakhni
Ultimo aggiornamento: 08 ottobre 2021
Article ID: 10556
Vuoi prevenire le infezioni? Installa Kaspersky Internet Security
Oltre a protezione antivirus, Kaspersky Internet Security protegge i seguenti elementi: connessione di rete, webcam, pagamenti online, informazioni indesiderate e non adatte ai minori, oltre alla possibilità di bloccare i banner pubblicitari, impedire la raccolta dei dati, la ricerca e l'installazione di aggiornamenti, eliminare applicazioni non utilizzate.
Usa lo strumento Kaspersky RakhniDecryptor se i tuoi file sono stati crittografati dal seguente ransomware:
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt ver. 4 and 5
- Trojan-Ransom.Win32.Bitman ver. 3 and 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
Come determinare se Kaspersky RakhniDecryptor può decrittografare i tuoi file
Lo strumento Kaspersky RakhniDecryptor decrittografa i file modificati in base ai seguenti schemi:
- Trojan-Ransom.Win32.Ragnarok:
- <nome_file>.<ID>.thor
- <nome_file>.<ID>.odin
- <nome_file>.<ID>.hela
Per il decriptaggio, l'utilità richiede il file del tipo !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <nome_file>.<estensione_file_originale>.Email=[<posta>@<server>.<dominio>]ID=[<id>].XINOF
- <nome_file>.<estensione_file_originale>.Email=[<posta>@<server>.<dominio>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <nome_file>.<estensione_file_originale>.locked
- <nome_file>.<estensione_file_originale>.kraken
- <nome_file>.<estensione_file_originale>.darkness
- <nome_file>.<estensione_file_originale>.oshit
- <nome_file>.<estensione_file_originale>.nochance
- <nome_file>.<estensione_file_originale>.oplata@qq_com
- <nome_file>.<estensione_file_originale>.relock@qq_com
- <nome_file>.<estensione_file_originale>.crypto
- <nome_file>.<estensione_file_originale>.helpdecrypt@ukr.net
- <nome_file>.<estensione_file_originale>.p***a@qq_com
- <nome_file>.<estensione_file_originale>.dyatel@qq_com
- <nome_file>.<estensione_file_originale>.nalog@qq_com
- <nome_file>.<estensione_file_originale>.chifrator@gmail_com
- <nome_file>.<estensione_file_originale>.gruzin@qq_com
- <nome_file>.<estensione_file_originale>.troyancoder@gmail_com
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id373
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id371
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id372
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id374
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id375
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id376
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id392
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id357
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id356
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id358
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id359
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id360
- <nome_file>.<estensione_file_originale>.coderksu@gmail_com_id20
Trojan-Ransom.Win32.Rakhni crea il file exit.hhr.oshit, in cui puoi trovare una password crittografata per i file dell'utente. Se resta nel computer infetto, la decrittografia richiederà decisamente meno tempo. Nel caso in cui il file exit.hhr.oshit file venga rimosso, recuperalo servendoti di un software in grado di recuperare i file eliminati, quindi inserisci il file nella cartella %APPDATA% e riesegui l'analisi con l'utilità. Il file exit.hhr.oshit si trova nel seguente percorso: C:\Users<nome_utente>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <nome_file>.<estensione_file_originale>_crypt
- Trojan-Ransom.Win32.Autoit: <nome_file>.<estensione_file_originale>.<_crypt@india.com_.letters>
- Trojan-Ransom.MSIL.Lortok:
- <nome_file>.<estensione_file_originale>.cry
- <nome_file>.<estensione_file_originale>.AES256
- Trojan-Ransom.MSIL.Yatron: <nome_file>.<estensione_file_originale>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <nome_file>.<estensione_file_originale>.enc
- Trojan-Ransom.Win32.Agent.iih: <nome_file>.<estensione_file_originale>+<hb15>
- Trojan-Ransom.Win32.CryFile: <nome_file>.<estensione_file_originale>.encrypted
- Trojan-Ransom.Win32.Democry:
- <nome_file>.<estensione_file_originale>+<._data-time_$email@domain$.777>
- <nome_file>.<estensione_file_originale>+<._data-time_$email@domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- versione 4: <nome_file>.<estensione_file_originale>.KRAB
- versione 5: <nome_file>.<estensione_file_originale>.<riga_di_caratteri_casuali>
- Trojan-Ransom.Win32.Bitman vers. 3:
- <nome_file>.xxx
- <nome_file>.ttt
- <nome_file>.micro
- <nome_file>.mp3
- Trojan-Ransom.Win32.Bitman vers. 4: <nome_file>.<estensione_file_originale> (il nome del file e la sua estensione non cambiano).
- Trojan-Ransom.Win32.Libra:
- <nome_file>.encrypted
- <nome_file>.locked
- <nome_file>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <nome_file>.fun
- <nome_file>.gws
- <nome_file>.btc
- <nome_file>.AFD
- <nome_file>.porno
- <nome_file>.pornoransom
- <nome_file>.epic
- <nome_file>.encrypted
- <nome_file>.J
- <nome_file>.payransom
- <nome_file>.paybtcs
- <nome_file>.paymds
- <nome_file>.paymrss
- <nome_file>.paymrts
- <nome_file>.paymst
- <nome_file>.paymts
- <nome_file>.gefickt
- <nome_file>.uk-dealer@sigaint.org
- Trojan-Ransom.Win32.Mircop: <Blocco>.<nome_file>.<estensione_file_originale>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.xtbl
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.CrySiS
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.xtbl
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.wallet
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.dhrama
- <nome_file>.ID<…>.<posta>@<server>.<dominio>.onion
- <nome_file>.<posta>@<server>.<dominio>.wallet
- <nome_file>.<posta>@<server>.<dominio>.dhrama
- <nome_file>.<posta>@<server>.<dominio>.onion
-
Esempi di alcuni indirizzi email utilizzati per diffondere malware:
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) (il nome del file e la sua estensione non cambiano).
- Trojan-Ransom.Win32.Nemchig: <nome_file>.<estensione_file_originale>.safefiles32@mail.ru
- Trojan-Ransom.Win32.Lamer:
- <nome_file>.<estensione_file_originale>.bloked
- <nome_file>.<estensione_file_originale>.cripaaaa
- <nome_file>.<estensione_file_originale>.smit
- <nome_file>.<estensione_file_originale>.fajlovnet
- <nome_file>.<estensione_file_originale>.filesfucked
- <nome_file>.<estensione_file_originale>.criptx
- <nome_file>.<estensione_file_originale>.gopaymeb
- <nome_file>.<estensione_file_originale>.cripted
- <nome_file>.<estensione_file_originale>.bnmntftfmn
- <nome_file>.<estensione_file_originale>.criptiks
- <nome_file>.<estensione_file_originale>.cripttt
- <nome_file>.<estensione_file_originale>.hithere
- <nome_file>.<estensione_file_originale>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <nome_file>.<estensione_file_originale>.AMBA
- <nome_file>.<estensione_file_originale>.PLAGUE17
- <nome_file>.<estensione_file_originale>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <nome_file>.<estensione_file_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nome_file>.<estensione_file_originale>..-.CRYPTSb@GMAIL.COM.roto
- <nome_file>.<estensione_file_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nome_file>.<estensione_file_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nome_file>.<estensione_file_originale>.!___prosschiff@gmail.com_.crypt
- <nome_file>.<estensione_file_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nome_file>.<estensione_file_originale>.!_________pkigxdaq@bk.ru_______.crypt
- <nome_file>.<estensione_file_originale>.!____moskali1993@mail.ru___.crypt
- <nome_file>.<estensione_file_originale>.!==helpsend369@gmail.com==.crypt
- <nome_file>.<estensione_file_originale>.!-==kronstar21@gmail.com=--.crypt
Se il file è crittografato con l'estensione CRYPT, la decrittografia potrebbe richiede molto tempo. Ad esempio, se si utilizza il processore Intel Core i5-2400, può richiedere circa 120 giorni.
- Trojan-Ransom.Win32.Chimera:
- <nome_file>.<estensione_file_originale>.crypt
- <nome_file>.<estensione_file_originale>.<4 token casuali>
- Trojan-Ransom.Win32.AecHu:
- <nome_file>.aes256
- <nome_file>.aes_ni
- <nome_file>.aes_ni_gov
- <nome_file>.aes_ni_0day
- <nome_file>.lock
- <nome_file>.decrypr_helper@freemail_hu
- <nome_file>.decrypr_helper@india.com
- <nome_file>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <nome_file>.jaff
- <nome_file>.wlu
- <nome_file>.sVn
-
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<estensione casuale>
-
Versione malware Indirizzo e-mail CL 1.0.0.0
cryptolocker@aol.com
iizomer@aol.com
seven_Legion2@aol.com
oduvansh@aol.com
ivanivanov34@aol.com
trojanencoder@aol.com
load180@aol.com
moshiax@aol.com
vpupkin3@aol.com
watnik91@aol.com
1.0.0.0.u
cryptolocker@aol.com_graf1
cryptolocker@aol.com_mod
byaki_buki@aol.com_mod2
CL 1.2.0.0
oduvansh@aol.com
cryptolocker@aol.com
CL 1.3.0.0
cryptolocker@aol.com
CL 1.3.1.0
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com
Per ulteriori informazioni sulle tecnologie utilizzate da Kaspersky per la protezione da malware, visita questa pagina (articolo in inglese).
Come decrittografare i file con Kaspersky RakhniDecryptor
- Scarica RakhniDecryptor.zip ed estrai i file contenuti nell'archivio. Per istruzioni, consulta questa guida (articolo in inglese).
- Apri la cartella con i file estratti.
- Esegui RakhniDecryptor.exe.
- Fai clic su Change parameters.
- Seleziona gli oggetti da analizzare (unità disco rigido/unità rimovibili/unità di rete).
- Seleziona la casella di controllo Delete crypted files after decryption. A questo punto, verranno rimosse le copie dei file crittograti con le estensioni LOCKED, KRAKEN, DARKNESS ecc.
- Fare clic su OK.
- Fai clic su Start scan.
- Seleziona il file crittografato e fai clic su Open.
- Leggi l'avviso e fai clic su OK.
I file verranno decrittografati.
Il file con l'estensione CRYPT deve essere crittografato più di una volta. Ad esempio, se il file test.doc è stato crittografato due volte, il primo livello verrà decrittografato nel file test.1.doc.layerDecryptedKLR. Nel rapporto dei risultati dello strumento, verrà mostrato quanto segue: «Decryption success: disk:\path\test.doc_crypt -> dish:\path\test.1.doc.layerDecryptedKLR». Il file dovrà essere decrittografato un'altra volta. Se la decrittografia riesce, il file verrà salvato nel file name test.doc originale.
Parametri per l'esecuzione dell'utilità dalla riga di comando
Per maggiore comodità e per risparmiare tempo, Kaspersky RakhniDecryptor supporta i seguenti parametri di riga di comando:
| Nome comando | Valore | Esempio |
|---|---|---|
| –threads | Per eseguire lo strumento per l'identificazione delle password con più thread. Se il parametro non è impostato, il numero di thread corrisponde al numero di core. | RakhniDecryptor.exe –threads 6 |
| –start <numero> –end <numero> | Per recuperare l'identificazione delle password da un determinato valore. Il valore minimo è 0. Per interrompere l'identificazione delle password a un determinato valore. Il valore massimo è 1.000.000. Per identificare la password in un intervallo tra due valori | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <nome file e relativo percorso completo> | Per specificare il percorso del file, in cui archiviare il rapporto dei risultati dello strumento. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| /h | Per visualizzare la guida sulle opzioni della riga di comando | RakhniDecryptor.exe -h |
Come comportarsi se noti un file sospetto nel computer
Se noti un file sospetto nel computer che potrebbe causare infezioni o crittografia dei file, comprimilo in un archivio ZIP o RAR e invialo per l'analisi a newvirus@kaspersky.com. Per istruzioni, vedere questo articolo (articolo in inglese).
Come procedere se l'utilità non consente di risolvere il problema
Se l'utilità non consente di risolvere il problema, contatta l'Assistenza tecnica di Kaspersky selezionando l'argomento e compilando il modulo.
