Utilitaire Kaspersky RakhniDecryptor pour déchiffrer les fichiers chiffrés par le ransomware Trojan-Ransom.Win32.Rakhni
Vous voulez éviter les infections ? Installez Kaspersky for Windows
Kaspersky for Windows protège votre vie numérique en allant bien au-delà d'un antivirus classique.
Utilisez l'utilitaire Kaspersky RakhniDecryptor si vos fichiers sont chiffrés par les ransomwares suivants :
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt versions 4 et 5
- Trojan-Ransom.Win32.Bitman versions 3 et 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
Comment déterminer si RakhniDecryptor déchiffrera le fichier
L'utilitaire Kaspresky RakhniDecryptor déchiffrera les fichiers dont les extensions ont été modifiées selon les modèles suivants :
- Trojan-Ransom.Win32.Conti :
- <nom_du_fichier>.KREMLIN,
- <nom_du_fichier>.RUSSIA,
- <nom_du_fichier>.PUTIN.
- Trojan-Ransom.Win32.Ragnarok:
- <nom_du_fichier>.<ID>.thor,
- <nom_du_fichier>.<ID>.odin,
- <nom_du_fichier>.<ID>.hela.
-
L'utilitaire demandera le fichier avec les exigences de l'escroc qui possède le format suivant : !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix :
- <nom_du_fichier>.<extension_originale>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <nom_du_fichier>.<extension_originale>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni :
- <nom_du_fichier>.<extension_originale>.locked
- <nom_du_fichier>.<extension_originale>.kraken
- <nom_du_fichier>.<extension_originale>.darkness
- <nom_du_fichier>.<extension_originale>.oshit
- <nom_du_fichier>.<extension_originale>.nochance
- <nom_du_fichier>.<extension_originale>.oplata@qq_com
- <nom_du_fichier>.<extension_originale>.relock@qq_com
- <nom_du_fichier>.<extension_originale>.crypto
- <nom_du_fichier>.<extension_originale>.helpdecrypt@ukr.net
- <nom_du_fichier>.<extension_originale>.p***a@qq_com
- <nom_du_fichier>.<extension_originale>.dyatel@qq_com
- <nom_du_fichier>.<extension_originale>.nalog@qq_com
- <nom_du_fichier>.<extension_originale>.chifrator@gmail_com
- <nom_du_fichier>.<extension_originale>.gruzin@qq_com
- <nom_du_fichier>.<extension_originale>.troyancoder@gmail_com
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id373
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id371
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id372
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id374
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id375
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id376
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id392
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id357
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id356
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id358
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id359
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id360
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id20
- Trojan-Ransom.Win32.Mor : <nom_du_fichier>.<extension_originale>_crypt
- Trojan-Ransom.Win32.Autoit : <nom_du_fichier>.<extension_originale>.<_crypt@india.com_.lettres>
- Trojan-Ransom.MSIL.Lortok :
- <nom_du_fichier>.<extension_originale>.cry
- <nom_du_fichier>.<extension_originale>.AES256
- Trojan-Ransom.MSIL.Yatron : <nom_du_fichier>.<extension_originale>.Yatron
- Trojan-Ransom.AndroidOS.Pletor : <nom_du_fichier>.<extension_originale>.enc
- Trojan-Ransom.Win32.Agent.iih : <nom_du_fichier>.<extension_originale>+hb15.
- Trojan-Ransom.Win32.CryFile : <nom_du_fichier>.<extension_originale>.encrypted
- Trojan-Ransom.Win32.Democry :
- <nom_du_fichier>.<extension_originale>+<.date-heure$courrier@domaine$.777>
- <nom_du_fichier>.<extension_originale>+<._date-heure_$courrier@domaine$.legion>
- TTrojan-Ransom.Win32.GandCrypt :
- version 4 : <nom_du_fichier>.<extension_originale>.KRAB
- version 5 : <nom_du_fichier>.<extension_originale>.<caractères aléatoires>
- Trojan-Ransom.Win32.Bitman version 3 :
- <nom_du_fichier>.xxx
- <nom_du_fichier>.ttt
- <nom_du_fichier>.micro
- <nom_du_fichier>.mp3
- Trojan-Ransom.Win32.Bitman version 4 : <nom_du_fichier>.<extension_originale> (le nom et l'extension originaux du fichier ne sont pas modifiés)
- Trojan-Ransom.Win32.Libra :
- <nom_du_fichier>.encrypted
- <nom_du_fichier>.locked
- <nom_du_fichier>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik :
- <nom_du_fichier>.fun
- <nom_du_fichier>.gws
- <nom_du_fichier>.btc
- <nom_du_fichier>.AFD
- <nom_du_fichier>.porno
- <nom_du_fichier>.pornoransom
- <nom_du_fichier>.epic
- <nom_du_fichier>.encrypted
- <nom_du_fichier>.J
- <nom_du_fichier>.payransom
- <nom_du_fichier>.paybtcs
- <nom_du_fichier>.paymds
- <nom_du_fichier>.paymrss
- <nom_du_fichier>.paymrts
- <nom_du_fichier>.paymst
- <nom_du_fichier>.paymts
- <nom_du_fichier>.gefickt
- <nom_du_fichier>.uk-dealer@sigaint.org
- Trojan-Ransom.Win32.Mircop : <Lock>.<nom_du_fichier>.<extension_originale>
- Trojan-Ransom.Win32.Crusis (Dharma) :
- <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.xtbl
- <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.xtbl
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.wallet
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.<mail>@<server>.<domain>.wallet
- <nom_du_fichier>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.<mail>@<server>.<domain>.onion
-
Exemples de certaines adresses qui diffusent ce malware :
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) : ce ransomware ne modifie pas l'extension des fichiers.
- Trojan-Ransom.Win32.Nemchig : <nom_du_fichier>.<extension_originale>.safefiles32@mail.ru
- Trojan-Ransom.Win32.Lamer :
- <nom_du_fichier>.<extension_originale>.bloked
- <nom_du_fichier>.<extension_originale>.cripaaaa
- <nom_du_fichier>.<extension_originale>.smit
- <nom_du_fichier>.<extension_originale>.fajlovnet
- <nom_du_fichier>.<extension_originale>.filesfucked
- <nom_du_fichier>.<extension_originale>.criptx
- <nom_du_fichier>.<extension_originale>.gopaymeb
- <nom_du_fichier>.<extension_originale>.cripted
- <nom_du_fichier>.<extension_originale>.bnmntftfmn
- <nom_du_fichier>.<extension_originale>.criptiks
- <nom_du_fichier>.<extension_originale>.cripttt
- <nom_du_fichier>.<extension_originale>.hithere
- <nom_du_fichier>.<extension_originale>.aga
- Trojan-Ransom.Win32.Cryptokluchen :
- <nom_du_fichier>.<extension_originale>.AMBA
- <nom_du_fichier>.<extension_originale>.PLAGUE17
- <nom_du_fichier>.<extension_originale>.ktldll
- Trojan-Ransom.Win32.Rotor :
- <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>..-.CRYPTSb@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nom_du_fichier>.<extension_originale>.!___prosschiff@gmail.com_.crypt
- <nom_du_fichier>.<extension_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nom_du_fichier>.<extension_originale>.!_________pkigxdaq@bk.ru_______.crypt
- <nom_du_fichier>.<extension_originale>.!____moskali1993@mail.ru___.crypt
- <nom_du_fichier>.<extension_originale>.!==helpsend369@gmail.com==.crypt
- <nom_du_fichier>.<extension_originale>.!-==kronstar21@gmail.com=--.crypt
- Trojan-Ransom.Win32.Chimera :
- <nom_du_fichier>.<extension_originale>.crypt
- <nom_du_fichier>.<extension_originale>.4 caractères aléatoires
- Trojan-Ransom.Win32.AecHu
- <nom_du_fichier>.aes256
- <nom_du_fichier>.aes_ni
- <nom_du_fichier>.aes_ni_gov
- <nom_du_fichier>.aes_ni_0day
- <nom_du_fichier>.lock
- <nom_du_fichier>.decrypr_helper@freemail_hu
- <nom_du_fichier>.decrypr_helper@india.com
- <nom_du_fichier>.~xdata
- Trojan-Ransom.Win32.Jaff :
- <nom_du_fichier>.jaff
- <nom_du_fichier>.wlu
- <nom_du_fichier>.sVn
- Trojan-Ransom.Win32.Cryakl : email-<...>.ver-<...>.id-<...>.randomname-<...>.<extension_aléatoire>
- Trojan-Ransom.Win32.Maze: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
- Trojan-Ransom.Win32.Sekhmet: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
- Trojan-Ransom.Win32.Egregor: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
Version du programme malveillant | Adresse email des personnes malveillantes |
---|---|
CL 1.0.0.0 |
cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com |
CL 1.0.0.0.u |
cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2 |
CL 1.2.0.0 |
oduvansh@aol.com cryptolocker@aol.com |
CL 1.3.0.0 |
cryptolocker@aol.com |
CL 1.3.1.0 |
byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com |
Pour en savoir plus les technologies de protection contre les programmes malveillants, y compris les ransomwares, sur la page de TechnoWiki (en anglais).
Comment déchiffrer les fichiers à l'aide de l'utilitaire Kaspersky RakhniDecryptor
- Téléchargez et décompressez l'archive RakhniDecryptor.zip. Pour les instructions, consultez cet article.
- Ouvrez le dossier de l'archive contenant les fichiers exécutables de l'utilitaire.
- Exécutez le fichier RakhniDecryptor.exe.
- Pour continuer, acceptez le Contrat de licence en cliquant sur Accept.
- Cliquez sur Change parameters.
- Sélectionnez des objets à analyser (Objects to scan : hard drives (disques durs), removable drives (disques amovibles), network drives (disques réseau)).
- Cochez la case Delete crypted files after decryption. L'utilitaire supprimera les copies des fichiers chiffrés avec les extensions LOCKED, KRAKEN, DARKNESS etc.
- Cliquez sur OK.
- Cliquez sur Start scan.
- Sélectionnez un fichier chiffré et cliquez sur Ouvrir.
- Prenez connaissance de l'avertissement et cliquez sur OK.
Les fichiers seront déchiffrés.
Le fichier peut être chiffré avec l'extension CRYPT plus d'une fois. Par exemple, si le fichier test.doc a été chiffré deux fois, l'utilitaire va déchiffrer la première couche vers test.1.doc.layerDecryptedKLR. Le texte suivant apparaîtra dans le rapport de l'utilitaire : « Decryption success: disque:\chemin_d'accès\test.doc_crypt -> disque:\chemin_d'accès\test.1.doc.layerDecryptedKLR ». Le fichier obtenu doit être déchiffré avec l'utilitaire encore une fois. Déchiffrement réussi, le fichier sera enregistré sous le nom original test.doc.
Paramètres d'exécution de l'utilitaire en ligne de commandes
Vous pouvez également exécuter Kaspersky RakhniDecryptor en ligne de commande ce qui permet d'accélerer le processus de déchiffrement des fichiers :
Commande | Description | Exemple |
---|---|---|
–threads | Lancer l'utilitaire avec la recherche du mot de passe en plusieurs threads. Si le paramètre n'est pas spécifié, le nombre de threads correspond au nombre de cœurs de processeur. | RakhniDecryptor.exe –threads 6 |
–start <nombre> –end <nombre> |
Recommencer la recherche du mot de passe à partir d'une valeur spécifique. La valeur minimale est 0. Arrêter la recherche du mot de passe à une valeur spécifique. La valeur maximale est 1 000 000. Rechercher le mot de passe dans une plage de valeurs. |
RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 7000 RakhniDecryptor.exe –start 100 –end 50000 |
-l <chemin d'accès complet au fichier dans lequel le rapport sera enregistré> | Spécifier le chemin d'accès complet au fichier dans lequel le rapport de l'exécution de l'utilitaire sera enregistré. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
-h | Afficher l'aide sur les commandes disponibles. | RakhniDecryptor.exe -h |
Si vous avez trouvé un fichier suspect sur l'ordinateur
Si vous avez découvert un fichier suspect qui pourrait infecter l'ordinateur ou chiffrer les fichiers, envoyez les fichiers pour analyse à newvirus@kaspersky.com. Pour ce faire, ajoutez le fichier suspect dans une archive avec l'extension ZIP ou RAR. Pour les instructions, consultez cet article.
Que faire si l'utilitaire n'a pas aidé
Si l'utilitaire n'a pas aidé à déchiffrer les fichiers, contactez le service clientèle de Kaspersky en sélectionnant le sujet de votre demande.