Herramienta para descifrar archivos después de la infección por Trojan-Ransom.Win32.Rannoh
¿Desea evitar las infecciones? Instale Kaspersky Internet Security.
Kaspersky RannohDecryptor es una herramienta gratuita para descifrar archivos afectados
por Trojan-Ransom.Win32.Rannoh. Para descargar RannohDecryptor, haga clic en Descargar.
La herramienta RannohDecryptor está destinada a desinfectar archivos infectados por:
- Trojan-Ransom.Win32.Rannoh
- Trojan-Ransom.Win32.AutoIt
- Trojan-Ransom.Win32.Cryakl
- Trojan-Ransom.Win32.CryptXXX versiones 1-3
- Trojan-Ransom.Win32.Crybola
- Trojan-Ransom.Win32.Polyglot
- Trojan-Ransom.Win32.Fury
- Trojan-Ransom.Win32.Yanluowang.
Si su equipo está infectado por un programa malicioso, todos los archivos se van a cifrar de la siguiente manera:
| Ransomware | Cómo se cifrarán los archivos |
|---|---|
| Trojan-Ransom.Win32.Rannoh | Los nombres y las extensiones se modificarán según la pauta: locked-<nombre_original>.<cuatro letras arbitrarias>. |
| Trojan-Ransom.Win32.AutoIt | La extensión se modifica según la pauta <nombre_original>@<domonio_de_correo>_.<conjunto_de_caracteres>. Por ejemplo, ioblomov@india.com_.RZWDTDIC. |
| Trojan-Ransom.Win32.Cryakl | Se agrega la etiqueta {CRYPTENDBLACKDC} al final del contenido del archivo. |
| Trojan-Ransom.Win32.CryptXXX | La extensión se modifica según la pauta:
|
| Trojan-Ransom.Win32.Crybola | Las extensiones se cambiarán de acuerdo con la plantilla <original_name>.ebola. |
| Trojan-Ransom.Win32.Yanluowang | Las extensiones se cambiarán de acuerdo con la plantilla <original_name>.yanluowang. |
El otro ransomware no cambia las extensiones de archivo.
Si desea descifrar archivos afectados por Trojan-Ransom.Win32.CryptXXX, tenga en cuenta lo siguiente:
- La utilidad RannohDecryptor escanea un número limitado de formatos de archivo:
- 1cd, 7z, ai, avi, bz2, cab, cdr, cdw, cdx, cf, chm, dbf, djvu, doc, docm, docx, dt, dwg, epf, eps, erf, ert, fla, flac, flv, gif, gz, html, iso, jpeg, jpg, ldf, md, mdb, mdf, mov, mp3, mp4, mxl, nef, ods, odt, ogg, pdf, php, png, ppt, pptm, pptx, ps1, psd, pst, qbb, rar, rcf, rtf, sdf, sldasm, slddrw, tib, tif, tiff, vhd, vhdx, vsd, wav, xls, xlsm, xlsx, xlt, zip.
- Si el usuario selecciona un archivo infectado por CryptXXX v2, la recuperación de la llave puede tardar mucho tiempo. En este caso, la herramienta muestra la notificación:
Cómo desinfectar el equipo
- Descargue el archivo RannohDecryptor.zip.
- Ejecute el archivo RannohDecryptor.exe en el equipo infectado.
- Lea detenidamente el Contrato de licencia de usuario final. Si está de acuerdo con todos los términos, haga clic en Accept.
- Si desea que la utilidad elimine automáticamente los archivos descifrados, haga lo siguiente:
- En la ventana principal, haga clic en Change parameters.
-
Seleccione la casilla de verificación Delete crypted files after decryption.
- En la ventana principal, haga clic en Start Scan.
- Especifique la ruta al archivo cifrado y no cifrado.
- Para descifrar algunos archivos, la utilidad solicitará la copia original (no cifrada) de un archivo cifrado. Puede encontrar una copia de este tipo en su correo, en una unidad extraíble, en otros equipos o en el almacenamiento en la nube. Haga clic en Continue y especifique la ruta al archivo original.
Si el archivo está cifrado por Trojan-Ransom.Win32.CryptXXX, especifique los archivos más grandes. Se podrá descifrar solo los archivos del tamaño igual o menor.
- Espere a que finalice el análisis y descifrado de los arhivos cifrados.
Si un archivo fue cifrado por Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot o Trojan-Ransom.Win32.Fury, la herramienta guardará el archivo en la ubicación antigua con la extensión .decryptedKLR.extensión_original. Si ha elegido la opción Delete crypted files after decryption, en este caso el archivo descifrado se guardará bajo el nombre original.
Si un archivo fue cifrado por Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX, Trojan-Ransom.Win32.Crybola o Trojan-Ransom.Win32.Yanluowang, la herramienta guardará el archivo en su ubicación anterior con la extensión original
De forma predeterminada, el registro de utilidad se guarda en el disco del sistema (el que tiene el sistema operativo instalado). El nombre de archivo es de forma UtilityName.Version_Date_Time_log.txt. Por ejemplo, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt.
Claves adicionales para ejecutar la herramienta desde la línea de comandos
| Nombre de comando | Valor | Ejemplo |
|---|---|---|
| -l <nombre_de_archivo> | Registrar el informe en un archivo. | RannohDecryptor.exe -l C:\Users\Administrator\Downloads\log.txt |
Qué hacer si la herramienta no es de ayuda
Si la herramienta RannohDecryptor no pudo descifrar archivos, descargue y ejecute las herramientas XoristDecryptor o RectorDecryptor.
Para evitar la infección en el futuro, descargue e instale Kaspersky Internet Security.