Tool zur Entschlüsselung der von Trojan-Ransom.Win32.Rannoh betroffenen Dateien
Möchten Sie Infektionen in Zukunft vermeiden? Installieren Sie die neuesten Kaspersky-Apps.
Um das kostenfreie Tool Kaspersky RannohDecryptor zur Entschlüsselung von Dateien, die durch Trojan-Ransom.Win32.Rannoh verschlüsselt wurden, herunterzuladen, klicken Sie auf Herunterladen.
Das Tool RannohDecryptor ermöglicht die Entschlüsselung von Dateien, die von Ransomware zur Dateiverschlüsselung verschlüsselt wurden.
- Trojan-Ransom.Win32.Rannoh
- Trojan-Ransom.Win32.AutoIt
- Trojan-Ransom.Win32.Cryakl
- Trojan-Ransom.Win32.CryptXXX Version 1, 2 und 3
- Trojan-Ransom.Win32.Crybola
- Trojan-Ransom.Win32.Polyglot
- Trojan-Ransom.Win32.Fury
- Trojan-Ransom.Win32.Yanluowang
Infizierte Dateien werden nach folgenden Mustern verschlüsselt:
| Ransomware | Wie Dateien verschlüsselt werden |
|---|---|
| Trojan-Ransom.Win32.Rannoh | Namen und Erweiterungen werden wie folgt geändert: locked-<ursprünglicher Name>.<4 zufällige Buchstaben>. |
| Trojan-Ransom.Win32.AutoIt | Erweiterungen werden wie folgt geändert: <ursprünglicher Name>@<E-Mail-Domain>_.<zufällige Zeichen>. z. B. ioblomov@india.com_.rzwdtdic |
| Trojan-Ransom.Win32.Cryakl | Ans Ende der Dateiinhalte wird das Tag {CRYPTENDBLACKDC} angehängt. |
| Trojan-Ransom.Win32.CryptXXX | Erweiterungen werden wie folgt geändert:
|
| Trojan-Ransom.Win32.Crybola | Erweiterungen werden wie folgt geändert: <ursprünglicher Name>.ebola |
| Trojan-Ransom.Win32.Yanluowang | Erweiterungen werden wie folgt geändert: <ursprünglicher Name>.yanluowang |
Sonstige Verschlüsselungsprogramme ändern keine Dateierweiterungen.
Bei der Entschlüsselung von durch Trojan-Ransom.Win32.CryptXXX verschlüsselten Dateien bitte beachten Sie die Funktionsbesonderheiten von RannohDecryptor:
- Im von diesem Verschlüsselungsprogramm befallenen System scannt das Tool eine begrenzte Anzahl an Dateiformaten:
- 1cd, 7z, ai, avi, bz2, cab, cdr, cdw, cdx, cf, chm, dbf, djvu, doc, docm, docx, dt, dwg, epf, eps, erf, ert, fla, flac, flv, gif, gz, html, iso, jpeg, jpg, ldf, md, mdb, mdf, mov, mp3, mp4, mxl, nef, ods, odt, ogg, pdf, php, png, ppt, pptm, pptx, ps1, psd, pst, qbb, rar, rcf, rtf, sdf, sldasm, slddrw, tib, tif, tiff, vhd, vhdx, vsd, wav, xls, xlsm, xlsx, xlt, zip.
- Die Wiederherstellung des Schlüssels zur Entschlüsselung von Dateien, die durch Trojan-Ransom.Win32.CryptXXX Version 2 verschlüsselt wurden, kann lange dauern. In diesem Fall zeigt das Tool die folgende Warnmeldung an:
.png "Warnmeldung.")
So desinfizieren Sie das betroffene System
- Laden Sie die Datei RannohDecryptor.zip herunter.
- Führen Sie die Datei RannohDecryptor.exe auf dem Infizierten Computer aus.
- Lesen Sie aufmerksam den Endbenutzer-Lizenzvertrag von Kaspersky. Klicken Sie auf Accept, wenn Sie mit all seinen Punkten einverstanden sind.
- Wenn Sie möchten, dass das Tool verschlüsselte Dateien nach deren Entschlüsselung automatisch löscht, gehen Sie wie folgt vor:
- Klicken Sie auf Change Parameters im Hauptfenster.
Aktivieren Sie das Kontrollkästchen Delete crypted files after decryption.
- Im Hauptfenster klicken Sie auf Start scan.
- Geben Sie den Pfad zur verschlüsselten Datei an.
- Zur Entschlüsselung von Dateien, die von einigen Typen der Ransomware verschlüsselt wurden, fordert das Tool eine ursprüngliche (nicht verschlüsselte) Kopie einer verschlüsselten Datei an. Sie können eine solche Kopie Ihr im E-Mail-Postfach, auf einem externen Datenträger, auf anderen Ihren Geräten und Cloud-Speichern finden. Klicken Sie auf Continue und geben Sie den Pfad zur Kopie einer ursprünglichen Datei.
Wenn Dateien von Trojan-Ransom.Win32.CryptXXX verschlüsselt wurden, geben Sie die den Pfad zu den größten Dateien an. Aufgrund der Besonderheiten dieses Verschlüsselungsprogramms können nur genau so großen oder kleinere Dateien entschlüsselt werden.
- Warten Sie, bis die Suche und Entschlüsselung verschlüsselter Dateien abgeschlossen worden ist.
Wenn Dateien von Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot oder Trojan-Ransom.Win32.Fury verschlüsselt wurden, speichert das Tool die Dateien in dem ursprünglichen Ordner mit der folgenden Erweiterung .decryptedKLR.ursprüngliche_Erweiterung. Wenn Sie die Option Delete crypted files after decryption gewählt haben, speichert das Tool die Dateien unter ursprünglichen Namen.
Wenn Dateien von Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX, Trojan-Ransom.Win32.Crybola oder Trojan-Ransom.Win32.Yanluowang verschlüsselt wurden, speichert das Tool im ursprünglichen Ordner mit ursprünglichen Erweiterungen.
Standardmäßig erstellt das Tool einen Bericht im Stammordner des Laufwerks, in dem das Betriebssystem installiert ist. Der Bericht sieht wie folgt aus: Name_des_Tools.Version_Datum_Zeitpunkt_log.txt. Z. B. C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
Befehl für den Start des Tools über die Eingabeaufforderung
| Befehlsname | Bedeutung | Beispiel |
|---|---|---|
| -l <Dateiname> | Bericht über die Ausführung des Tools in einer Datei speichern | RannohDecryptor.exe -l C:\Users\Administrator\Downloads\log.txt |
Vorgehensweise, wenn das Problem weiterhin besteht
Wenn das Tool RannohDecryptor die Dateien nicht entschlüsseln werden konnte, laden Sie die folgende Tools herunter und führen Sie sie aus: XoristDecryptor oder RectorDecryptor.
Um Infektionen in Zukunft zu vermeiden, installieren Sie die neuesten Kaspersky-Apps.