Утилита RakhniDecryptor

О вирусах: Утилиты для лечения
Утилита RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

Воспользуйтесь утилитой RakhniDecryptor.zip для расшифровки, если ваши файлы зашифрованы следующими программами:

  • Trojan-Ransom.Win32.Rakhni,
  • Trojan-Ransom.Win32.Agent.iih,
  • Trojan-Ransom.Win32.Autoit,
  • Trojan-Ransom.Win32.Aura,
  • Trojan-Ransom.AndroidOS.Pletor,
  • Trojan-Ransom.Win32.Rotor,
  • Trojan-Ransom.Win32.Lamer,
  • Trojan-Ransom.Win32.Cryptokluchen,
  • Trojan-Ransom.Win32.Democry,
  • Trojan-Ransom.Win32.Bitman версии 3 и 4,
  • Trojan-Ransom.Win32.Libra,
  • Trojan-Ransom.MSIL.Lobzik,
  • Trojan-Ransom.MSIL.Lortok,
  • Trojan-Ransom.Win32.Chimera,
  • Trojan-Ransom.Win32.CryFile,
  • Trojan-Ransom.Win32.Nemchig,
  • Trojan-Ransom.Win32.Mircop,
  • Trojan-Ransom.Win32.Mor,
  • Trojan-Ransom.Win32.Crusis,
  • Trojan-Ransom.Win32.AecHu,
  • Trojan-Ransom.Win32.Jaff.

Как определить, что RakhniDecryptor расшифрует файл
Если файл зашифрован вредоносной программой, его расширение меняется. Например:

было file.doc / стало file.doc.locked
было 1.doc / стало 1.dochb15
было 1.doc / стало 1.doc._17-05-2016-20-27-37_$seven_legion@india.com$.777
Утилита RakhniDecryptor.zip расшифрует файлы, расширения которых изменились по следующим шаблонам:

Trojan-Ransom.Win32.Rakhni:
<имя_файла>.<оригинальное_расширение>.<locked>
<имя_файла>.<оригинальное_расширение>.<kraken>
<имя_файла>.<оригинальное_расширение>.<darkness>
<имя_файла>.<оригинальное_расширение>.<oshit>
<имя_файла>.<оригинальное_расширение>.<nochance>
<имя_файла>.<оригинальное_расширение>.<oplata@qq_com>
<имя_файла>.<оригинальное_расширение>.<relock@qq_com>
<имя_файла>.<оригинальное_расширение>.<crypto>
<имя_файла>.<оригинальное_расширение>.<helpdecrypt@ukr.net>
<имя_файла>.<оригинальное_расширение>.<pizda@qq_com>
<имя_файла>.<оригинальное_расширение>.<dyatel@qq_com>
<имя_файла>.<оригинальное_расширение>.<nalog@qq_com>
<имя_файла>.<оригинальное_расширение>.<chifrator@gmail_com>
<имя_файла>.<оригинальное_расширение>.<gruzin@qq_com>
<имя_файла>.<оригинальное_расширение>.<troyancoder@gmail_com>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id373>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id371>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id372>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id374>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id375>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id376>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id392>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id357>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id356>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id358>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id359>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id360>
<имя_файла>.<оригинальное_расширение>.<coderksu@gmail_com_id20>
Trojan-Ransom.Win32.Mor:
<имя_файла>.<оригинальное_расширение>_crypt
Trojan-Ransom.Win32.Autoit:
<имя_файла>.<оригинальное_расширение>.<_crypt@india.com_.буквы>
Trojan-Ransom.MSIL.Lortok:
<имя_файла>.<оригинальное_расширение>.<cry>
<имя_файла>.<оригинальное_расширение>.<AES256>
Trojan-Ransom.AndroidOS.Pletor:
<имя_файла>.<оригинальное_расширение>.<enc>
Trojan-Ransom.Win32.Agent.iih:
<имя_файла>.<оригинальное_расширение>+<hb15>
Trojan-Ransom.Win32.CryFile:
<имя_файла>.<оригинальное_расширение>.<encrypted>
Trojan-Ransom.Win32.Democry:
<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>
<имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>
Trojan-Ransom.Win32.Bitman версии 3:
<имя_файла>.<xxx>
<имя_файла>.<ttt>
<имя_файла>.<micro>
<имя_файла>.<mp3>
Trojan-Ransom.Win32.Bitman версии 4:
<имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется)
Trojan-Ransom.Win32.Libra:
<имя_файла>.<encrypted>
<имя_файла>.<locked>
<имя_файла>.<SecureCrypted>
Trojan-Ransom.MSIL.Lobzik:
<имя_файла>.<fun>
<имя_файла>.<gws>
<имя_файла>.<btc>
<имя_файла>.<AFD>
<имя_файла>.<porno>
<имя_файла>.<pornoransom>
<имя_файла>.<epic>
<имя_файла>.<encrypted>
<имя_файла>.<J>
<имя_файла>.<payransom>
<имя_файла>.<paybtcs>
<имя_файла>.<paymds>
<имя_файла>.<paymrss>
<имя_файла>.<paymrts>
<имя_файла>.<paymst>
<имя_файла>.<paymts>
<имя_файла>.<gefickt>
<имя_файла>.<uk-dealer@sigaint.org>
Trojan-Ransom.Win32.Mircop:
<Lock>.<имя_файла>.<оригинальное_расширение>
Trojan-Ransom.Win32.Crusis:
.ID<…>.<mail>@<server>.<domain>.xtbl
.ID<…>.<mail>@<server>.<domain>.CrySiS
.id-<…>.<mail>@<server>.<domain>.xtbl
.id-<…>.<mail>@<server>.<domain>.wallet
.id-<…>.<mail>@<server>.<domain>.dhrama
.id-<…>.<mail>@<server>.<domain>.onion
.<mail>@<server>.<domain>.wallet
.<mail>@<server>.<domain>.dhrama
.<mail>@<server>.<domain>.onion
Trojan-Ransom.Win32. Nemchig:
<имя_файла>.<оригинальное_расширение>.<safefiles32@mail.ru>
Trojan-Ransom.Win32.Lamer:
<имя_файла>.<оригинальное_расширение>.<bloked>
<имя_файла>.<оригинальное_расширение>.<cripaaaa>
<имя_файла>.<оригинальное_расширение>.<smit>
<имя_файла>.<оригинальное_расширение>.<fajlovnet>
<имя_файла>.<оригинальное_расширение>.<filesfucked>
<имя_файла>.<оригинальное_расширение>.<criptx>
<имя_файла>.<оригинальное_расширение>.<gopaymeb>
<имя_файла>.<оригинальное_расширение>.<cripted>
<имя_файла>.<оригинальное_расширение>.<bnmntftfmn>
<имя_файла>.<оригинальное_расширение>.<criptiks>
<имя_файла>.<оригинальное_расширение>.<cripttt>
<имя_файла>.<оригинальное_расширение>.<hithere>
<имя_файла>.<оригинальное_расширение>.<aga>
Trojan-Ransom.Win32.Cryptokluchen:
<имя_файла>.<оригинальное_расширение>.<AMBA>
<имя_файла>.<оригинальное_расширение>.<PLAGUE17>
<имя_файла>.<оригинальное_расширение>.<ktldll>
Trojan-Ransom.Win32.Rotor:
<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.CRYPTSb@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
<имя_файла>.<оригинальное_расширение>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
<имя_файла>.<оригинальное_расширение>.<!___prosschiff@gmail.com_.crypt>
<имя_файла>.<оригинальное_расширение>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
<имя_файла>.<оригинальное_расширение>.<!_________pkigxdaq@bk.ru_______.crypt>
<имя_файла>.<оригинальное_расширение>.<!____moskali1993@mail.ru___.crypt>
<имя_файла>.<оригинальное_расширение>.<!==helpsend369@gmail.com==.crypt>
<имя_файла>.<оригинальное_расширение>.<!-==kronstar21@gmail.com=—.crypt>
Trojan-Ransom.Win32.Chimera:
<имя_файла>.<оригинальное_расширение>.<crypt>
<имя_файла>.<оригинальное_расширение>.<4 произвольных символа>
Trojan-Ransom.Win32.AecHu:
<имя_файла>.<aes256>
<имя_файла>.<aes_ni>
<имя_файла>.<aes_ni_gov>
<имя_файла>.<aes_ni_0day>
<имя_файла>.<lock>
<имя_файла>.<decrypr_helper@freemail_hu>
<имя_файла>.<decrypr_helper@india.com>
<имя_файла>.<~xdata>
Trojan-Ransom.Win32.Jaff:
<имя_файла>.<jaff>
<имя_файла>.<wlu>
<имя_файла>.<sVn>

Как расшифровать файлы
Чтобы расшифровать файлы, выполните следующие действия:

Скачайте и распакуйте архив RakhniDecryptor.zip, используя программу-архиватор (например, 7zip).
Запустите файл RakhniDecryptor.exe на зараженном компьютере.
В окне Kaspersky RakhniDecryptor нажмите Изменить параметры проверки.

В окне Настройки выберите объекты для проверки (жесткие диски / сменные диски / сетевые диски).
Установите флажок Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями .locked, .kraken и .darkness).
Нажмите ОК.

В окне Kaspersky RakhniDecryptor нажмите Начать проверку.

В окне Укажите путь к одному из зашифрованных файлов выберите нужный файл и нажмите Открыть.

Начнется подбор пароля к зашифрованному файлу. В окне Внимание! прочитайте предупреждение и нажмите ОК.

Дождитесь завершения расшифровки файлов (не закрывайте программу и не выключайте компьютер).
Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, то расшифровка файлов при помощи утилиты RakhniDecryptor будет значительно быстрее. Если же файл exit.hhr.oshit был удален, то его возможно восстановить при помощи программ восстановления удаленных файлов, затем поместить его в %APPDATA% и заново запустить проверку утилитой. Файл exit.hhr.oshit можно найти по следующему пути:
Windows XP: C:\Documents and Settings\<имя_пользователя>\Application Data
Windows Vista/7/8/8.1/10 C:\Users\<имя_пользователя>\AppData\Roaming
Файл может быть зашифрован с расширением _crypt более одного раза. Например, файл тест.doc зашифрован 2 раза. Первый слой утилита RakhniDecryptor расшифрует в тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Если файл зашифрован с расширением _crypt, подбор пароля для этого файла может длиться продолжительное время. Например, на процессоре Intel Core i5-2400 подбор пароля может длиться порядка 120 суток.

Параметры для запуска утилиты из командной строки
Если вы умеете работать с командной строкой и хотите ускорить расшифровку файлов, используйте ее. Утилита RakhniDecryptor поддерживает следующие параметры командной строки:

Запуск утилиты с подбором пароля в несколько потоков –threads
Например:
RakhniDecryptor.exe –threads 6
Эта команда запустит утилиту с подбором пароля в 6 потоков. Если параметр не задан, количество потоков эквивалентно количеству процессорных ядер в системе.
Возобновление подбора пароля с определенного состояния –start <число>. Остановка подбора пароля на определенном состоянии –end <число>.
Минимальное число – 0, максимальное – 1000000.
Все данные о работе утилиты записываются в отчет C:\RakhniDecryptor.<версия>_<дата>_<время_создания>_log.txt.
Например:
Диапазон [123, 1000000]
RakhniDecryptor.exe –start 123
Диапазон [100, 50000]
RakhniDecryptor.exe –start 100 –end 50000
Диапазон [0, 7000]
RakhniDecryptor.exe –end 7000
Полный диапазон [0, 1000000]
RakhniDecryptor.exe
Указание имени файла, куда будет сохраняться отчет -l <название файла>.
Вывод справки о доступных параметрах командной строки -h.