Для расшифровки файлов, зашифрованных программами Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Aura и Trojan-Ransom.AndroidOS.Pletor, специалисты Лаборатории Касперского разработали утилиту
.
Вредоносные программы Trojan-Ransom.Win32.Rakhni, Trojan-Ransom.Win32.Autoit, Trojan-Ransom.Win32.Aura и Trojan-Ransom.AndroidOS.Pletor используются злоумышленниками для зашифровки файлов таким образом, что их расширения меняются по следующим шаблонам:
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>_crypt
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<оригинальное_расширение>.
•<имя_файла>.<[email protected]_.буквы>»» Нажмите, для закрытия спойлера | Press to close the spoiler «« ВАЖНО: Trojan-Ransom.Win32.Rakhni создает файл
exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, то расшифровка файлов при помощи утилиты
RakhniDecryptor будет значительно быстрее. Если же файл
exit.hhr.oshit был удален, то его возможно восстановить при помощи программ восстановления удаленных файлов, затем поместить его в
%APPDATA% и заново запустить проверку утилитой. Файл
exit.hhr.oshit можно найти по следующему пути:
•
Windows XP: C:\Documents and Settings\<имя_пользователя>\Application Data
•
Windows 7/8: C:\Users\<имя_пользователя>\AppData\Roaming
Чтобы расшифровать файлы, выполните следующие действия:
1. Скачайте файл
RakhniDecryptor.exe.
2. Запустите файл
RakhniDecryptor.exe на зараженном компьютере.
3. В окне
Kaspersky RakhniDecryptor нажмите на ссылку
Изменить параметры проверки.4. В окне
Настройки выберите объекты для проверки
(жесткие диски / сменные диски / сетевые диски).
5. Установите флажок
Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями
.locked, .kraken и
.darkness).
6. Нажмите на кнопку
ОК.
7. В окне
Kaspersky RakhniDecryptor нажмите на кнопку
Начать проверку.
8. В окне
Укажите путь к одному из зашифрованных файлов выберите нужный файл и нажмите на кнопку
Открыть.
9. Начнется подбор пароля к зашифрованному файлу. В окне
Внимание! прочитайте предупреждение и нажмите на кнопку
ОК.
10. Дождитесь завершения расшифровки файлов (не закрывайте программу и не выключайте компьютер).
Примечание: если файл зашифрован с расширением
_crypt, подбор пароля для этого файла может длиться продолжительное время (например, на процессоре
Intel Core i5-2400 подбор пароля может длиться порядка 120 суток).
Файл может быть зашифрован с расширением
_crypt более одного раза. Например, файл
тест.doc зашифрован 2 раза. Первый слой утилита
RakhniDecryptor расшифрует в
тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись
Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием
тест.doc.
»» Нажмите, для закрытия спойлера | Press to close the spoiler «« Windows XP, Vista, 7, 8.
Бесплатно.
Русский есть.
Размер: 1,41 МБ.
Размер: 1,35 МБ.