Hilfsprogramm Kaspersky RakhniDecryptor zur Bekämpfung von Trojan Ransom.Win32.Rakhni
Zuletzt aktualisiert: 2. März 2023
Artikel ID: 10556
Möchten Sie in Zukunft Infektionen vermeiden? Installieren Sie Kaspersky für Windows
Kaspersky für Windows schützt Ihr digitales Leben mit Technologien, die über Anti-Virus hinausgehen.
Nutzen Sie das Hilfsprogramm Kaspersky RakhniDecryptor, wenn Ihre Dateien von folgenden schädlichen Verschlüsselungsprogrammen verschlüsselt sind:
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt Version 4 und 5
- Trojan-Ransom.Win32.Bitman Version 3 und 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
So prüfen Sie, ob Kaspersky RakhniDecryptor Dateien entschlüsseln kann
Das Hilfsprogramm Kaspersky RakhniDecryptor.zip entschlüsselt Dateien, deren Erweiterungen wie folgt geändert wurden:
- Trojan-Ransom.Win32.Conti:
- <file_name>.KREMLIN
- <file_name>.RUSSIA
- <file_name>.PUTIN
- Trojan-Ransom.Win32.Ragnarok:
- <Dateiname>.<ID>.thor
- <Dateiname>.<ID>.odin
- <Dateiname>.<ID>.hela
-
Bei der Entschlüsselung erfragt das Tool eine Datei mit Anforderungen vom Typ !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <Dateiname>.<ursprüngliche_Erweiterung>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <Dateiname>.<ursprüngliche_Erweiterung>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <Dateiname>.<ursprüngliche_Erweiterung>.locked
- <Dateiname>.<ursprüngliche_Erweiterung>.kraken
- <Dateiname>.<ursprüngliche_Erweiterung>.darkness
- <Dateiname>.<ursprüngliche_Erweiterung>.oshit
- <Dateiname>.<ursprüngliche_Erweiterung>.nochance
- <Dateiname>.<ursprüngliche_Erweiterung>.oplata@qq_com
- <Dateiname>.<ursprüngliche_Erweiterung>.relock@qq_com
- <Dateiname>.<ursprüngliche_Erweiterung>.crypto
- <Dateiname>.<ursprüngliche_Erweiterung>.helpdecrypt@ukr.net
- <Dateiname>.<ursprüngliche_Erweiterung>.p***a@qq_com
- <Dateiname>.<ursprüngliche_Erweiterung>.dyatel@qq_com
- <Dateiname>.<ursprüngliche_Erweiterung>.nalog@qq_com
- <Dateiname>.<ursprüngliche_Erweiterung>.chifrator@gmail_com
- <Dateiname>.<ursprüngliche_Erweiterung>.gruzin@qq_com
- <Dateiname>.<ursprüngliche_Erweiterung>.troyancoder@gmail_com
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id373
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id371
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id372
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id374
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id375
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id376
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id392
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id357
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id356
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id358
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id359
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id360
- <Dateiname>.<ursprüngliche_Erweiterung>.coderksu@gmail_com_id20
Trojan-Ransom.Win32.Rakhni erstellt die Datei exit.hhr.oshit, in der das verschlüsselte Kennwort für die Dateien des Benutzers enthalten ist. Wenn diese Datei auf dem betroffenen Computer erhalten geblieben ist, können Dateien schneller entschlüsselt werden. Wenn die Datei exit.hhr.oshit gelöscht wurde, stellen Sie sie mithilfe von Programmen zur Wiederherstellung gelöschter Dateien wieder her und dann verschieben Sie sie in den Ordner %APPDATA% untersuchen Sie sie erneut durch das Hilfsprogramm. Die Datei „exit.hhr.oshit“ können Sie über den folgenden Pfad finden: C:\Users<Benutzername>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <Dateiname>.<ursprüngliche_Erweiterung>_crypt
- Trojan-Ransom.Win32.Autoit: <Dateiname>.<ursprüngliche_Erweiterung>.<_crypt@india.com_.Buchstaben>
- Trojan-Ransom.MSIL.Lortok:
- <Dateiname>.<ursprüngliche_Erweiterung>.cry
- <Dateiname>.<ursprüngliche_Erweiterung>.AES256
- Trojan-Ransom.MSIL.Yatron: <Dateiname>.<ursprüngliche_Erweiterung>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <Dateiname>.<ursprüngliche_Erweiterung>.enc
- Trojan-Ransom.Win32.Agent.iih: <Dateiname>.<ursprüngliche_Erweiterung>+<hb15>
- Trojan-Ransom.Win32.CryFile: <Dateiname>.<ursprüngliche_Erweiterung>.encrypted
- Trojan-Ransom.Win32.Democry:
- <Dateiname>.<ursprüngliche_Erweiterung>.<Datum_Uhrzeit_$E-Mail@Domain$.777>
- <Dateiname>.<ursprüngliche_Erweiterung>.<Datum_Uhrzeit_$E-Mail@Domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- Version 4: <Dateiname>.<ursprüngliche_Erweiterung>.KRAB
- версия 5: <Dateiname>.<ursprüngliche_Erweiterung><zufällige_Zeichen>
- Trojan-Ransom.Win32.Bitman 3:
- <Dateiname>.xxx
- <Dateiname>.ttt
- <Dateiname>.micro
- <Dateiname>.mp3
- Trojan-Ransom.Win32.Bitman Version 4: <Dateiname>.<ursprüngliche_Erweiterung> (Der Name und die Erweiterung der Datei werden nicht geändert)
- Trojan-Ransom.Win32.Libra:
- <Dateiname>.encrypted
- <Dateiname>.locked
- <Dateiname>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <Dateiname>.fun
- <Dateiname>.gws
- <Dateiname>.btc
- <Dateiname>.AFD
- <Dateiname>.porno
- <Dateiname>.pornoransom
- <Dateiname>.epic
- <Dateiname>.encrypted
- <Dateiname>.J
- <Dateiname>.payransom
- <Dateiname>.paybtcs
- <Dateiname>.paymds
- <Dateiname>.paymrss
- <Dateiname>.paymrts
- <Dateiname>.paymst
- <Dateiname>.paymts
- <Dateiname>.gefickt
- <Dateiname>.uk-dealer@sigaint.org
- Trojan-Ransom.Win32.Mircop: <Lock>.<Dateiname>.<ursprüngliche_Erweiterung>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <Dateiname>.ID<…>.<mail>@<server>.<domain>.xtbl
- <Dateiname>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <Dateiname>.id-<…>.<mail>@<server>.<domain>.xtbl
- <Dateiname>.id-<…>.<mail>@<server>.<domain>.wallet
- <Dateiname>.id-<…>.<mail>@<server>.<domain>.dhrama
- <Dateiname>.id-<…>.<mail>@<server>.<domain>.onion
- <Dateiname>.<mail>@<server>.<domain>.wallet
- <Dateiname>.<mail>@<server>.<domain>.dhrama
- <Dateiname>.<mail>@<server>.<domain>.onion
-
Beispiele für einige der schädlicher Absenderadressen:
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt): Dateinamen bleiben unverändert
- Trojan-Ransom.Win32.Nemchig: <Dateiname>.<ursprüngliche_Erweiterung>.safefiles32@mail.ru
- Trojan-Ransom.Win32.Lamer:
- <Dateiname>.<ursprüngliche_Erweiterung>.bloked
- <Dateiname>.<ursprüngliche_Erweiterung>.cripaaaa
- <Dateiname>.<ursprüngliche_Erweiterung>.smit
- <Dateiname>.<ursprüngliche_Erweiterung>.fajlovnet
- <Dateiname>.<ursprüngliche_Erweiterung>.filesfucked
- <Dateiname>.<ursprüngliche_Erweiterung>.criptx
- <Dateiname>.<ursprüngliche_Erweiterung>.gopaymeb
- <Dateiname>.<ursprüngliche_Erweiterung>.cripted
- <Dateiname>.<ursprüngliche_Erweiterung>.bnmntftfmn
- <Dateiname>.<ursprüngliche_Erweiterung>.criptiks
- <Dateiname>.<ursprüngliche_Erweiterung>.cripttt
- <Dateiname>.<ursprüngliche_Erweiterung>.hithere
- <Dateiname>.<ursprüngliche_Erweiterung>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <Dateiname>.<ursprüngliche_Erweiterung>.AMBA
- <Dateiname>.<ursprüngliche_Erweiterung>.PLAGUE17
- <Dateiname>.<ursprüngliche_Erweiterung>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <Dateiname>.<ursprüngliche_Erweiterung>..-.DIRECTORAT1C@GMAIL.COM.roto
- <Dateiname>.<ursprüngliche_Erweiterung>..-.CRYPTSb@GMAIL.COM.roto
- <Dateiname>.<ursprüngliche_Erweiterung>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <Dateiname>.<ursprüngliche_Erweiterung>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.!___prosschiff@gmail.com_.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.!_________pkigxdaq@bk.ru_______.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.!____moskali1993@mail.ru___.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.!==helpsend369@gmail.com==.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.!-==kronstar21@gmail.com=--.crypt
Wenn Dateien mit der Erweiterung CRYPT verschlüsselt sind, kann die Entschlüsselung lange dauern. Z. B. auf dem Prozessor Intel Core i5-2400 kann sie ca. 120 Tage dauern.
- Trojan-Ransom.Win32.Chimera:
- <Dateiname>.<ursprüngliche_Erweiterung>.crypt
- <Dateiname>.<ursprüngliche_Erweiterung>.<4 zufällige Zeichen>
- Trojan-Ransom.Win32.AecHu:
- <Dateiname>.aes256
- <Dateiname>.aes_ni
- <Dateiname>.aes_ni_gov
- <Dateiname>.aes_ni_0day
- <Dateiname>.lock
- <Dateiname>.decrypr_helper@freemail_hu
- <Dateiname>.decrypr_helper@india.com
- <Dateiname>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <Dateiname>.jaff
- <Dateiname>.wlu
- <Dateiname>.sVn
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<zufällige_Erweiterung>
- Trojan-Ransom.Win32.Maze: <Dateiname>.<ursprüngliche_Erweiterung>.<zufällige_Erweiterung>
- Trojan-Ransom.Win32.Sekhmet: <Dateiname>.<ursprüngliche_Erweiterung>.<zufällige_Erweiterung>
- Trojan-Ransom.Win32.Egregor: <Dateiname>.<ursprüngliche_Erweiterung>.<zufällige_Erweiterung>
-
Versionen schädlicher Programme E-Mail-Adressen von Kriminellen CL 1.0.0.0
cryptolocker@aol.com
iizomer@aol.com
seven_Legion2@aol.com
oduvansh@aol.com
ivanivanov34@aol.com
trojanencoder@aol.com
load180@aol.com
moshiax@aol.com
vpupkin3@aol.com
watnik91@aol.com
CL 1.0.0.0.u
cryptolocker@aol.com_graf1
cryptolocker@aol.com_mod
byaki_buki@aol.com_mod2
CL 1.2.0.0
oduvansh@aol.com
cryptolocker@aol.com
CL 1.3.0.0
cryptolocker@aol.com
CL 1.3.1.0
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com
Erfahren Sie mehr über die Technologien, die Kaspersky zum Schutz vor schädlichen Programmen, darunter auch vor Ransomware, verwendet, auf der Seite TechnoWiki.
So entschlüsseln Sie Dateien mithilfe von Kaspersky RakhniDecryptor
- Laden Sie das Archiv RakhniDecryptor.zip herunter und entpacken Sie es. Die Anleitung ist im Artikel.
- Öffnen Sie den Ordner mit extrahierten Dateien.
- Öffnen Sie die Datei RakhniDecryptor.exe.
- Lesen Sie aufmerksam den Endbenutzer-Lizenzvertrag und klicken Sie auf Accept, wenn Sie mit allen Punkten einverstanden sind.
- Klicken Sie auf Change parameters.
- Wählen Sie die zu untersuchenden Objekte (Festplatten / Wechseldatenträger / Netzlaufwerke).
- Aktivieren Sie das Kontrollkästchen Delete crypted files after decryption. Dabei werden Kopien verschlüsselter Dateien mit zugewiesenen Erweiterungen LOCKED, KRAKEN, DARKNESS usw. löschen.
- Klicken Sie auf OK.
- Klicken Sie auf Start scan.
- Wählen Sie eine verschlüsselte Datei aus und klicken Sie auf Öffnen.
- Lesen Sie die Warnung und klicken Sie auf OK.
Dateien werden entschlüsselt.
Eine Datei mit der Erweiterung CRYPT kann mehrfach verschlüsselt werden. Wenn z. B. die Datei test.doc zweimal verschlüsselt ist, entschlüsselt das Hilfsprogramm RakhniDecryptor die erste Schicht in die Datei test.1.doc.layerDecryptedKLR. Im Bericht des Hilfsprogramms werden die folgenden Informationen angezeigt: Decryption success: Datenträger:\Pfad\test.doc_crypt → Datenträger:\Pfad\test.1.doc.layerDecryptedKLR. Diese entschlüsselte Datei muss noch einmal mit dem Hilfsprogramm entschlüsselt werden. Bei erfolgreicher Entschlüsselung wird die Datei unter dem ursprünglichen Namen test.doc gespeichert.
Einstellungen für den Start des Hilfsprogramms über die Eingabeaufforderung
Damit Dateien schneller entschlüsselt werden können, unterstützt Kaspersky RakhniDecryptor folgende Befehle für die Befehlszeile:
| Befehlsname | Bedeutung | Beispiel |
|---|---|---|
| –threads | Der Start des Hilfsprogramms zum Knacken des Kennworts in mehreren Threads. Wenn die Einstellung nicht angegeben ist, stimmt die Anzahl der Threads mit der Zahl der Prozessorkerne überein. | RakhniDecryptor.exe –threads 6 |
| –start <Zahl> –end <Zahl> | Wiederaufnahme der Suche nach dem Kennwort ab einem bestimmten Wert. Die minimal zulässige Zahl ist 0. Stoppen der Suche nach dem Kennwort nach einem bestimmten Wert. Die maximal zulässige Zahl ist 1 000 000. Die Suche nach dem Kennwort in einem bestimmten Bereich von Werten. | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <Dateiname und der vollständige Pfad zur Datei> | Angabe des Pfades zur Datei für die Speicherung des Berichts des Hilfsprogramms. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| -h | Anzeige der Hilfe zu verfügbaren Parametern der Eingabeaufforderung. | RakhniDecryptor.exe -h |
Vorgehensweise, wenn eine verdächtige Datei auf dem Computer gefunden wurde
Wenn Sie eine verdächtige Datei gefunden haben, deren Ausführung eine Infektion des Computers und Verschlüsselung von Dateien verursachen kann, senden Sie diese Datei zur Analyse an newvirus@kaspersky.com. Dazu hängen Sie ein ZIP- oder RAR-Archiv mit dieser Datei an. Die Anleitung ist im Artikel.
Vorgehensweise, wenn das Problem weiterhin besteht
Wenn das Problem weiterhin besteht, kontaktieren Sie den technischen Support und geben Sie das Thema Ihrer Anfrage an.
