Articles généraux: Réponses aux questions fréquemment posées

Réponses aux questions fréquemment posées

Articles généraux : Compatibilité logicielle

Articles généraux : Achat et licence

Articles généraux : Avant l'installation

Articles généraux : Premiers pas

Articles généraux : Configuration

Articles généraux : Désinstallation

Articles généraux : Erreurs

Articles généraux : Protection bancaire

Articles généraux : Diagnostiс et rapports

Articles généraux : FAQ sur My Kaspersky

Articles généraux : Windows

Articles généraux : macOS

Articles généraux : Fin du support

Articles généraux : Outils de désinfection

Utilitaire Kaspersky RakhniDecryptor pour déchiffrer les fichiers chiffrés par le ransomware Trojan-Ransom.Win32.Rakhni

Retour vers la section "Outils de désinfection"

Dernière mise à jour : 17 févr. 2022 Article ID : 10556

Vous voulez éviter les infections ? Installez Kaspersky Internet Security

En plus de la protection contre les programmes malveillants, Kaspersky Internet Security offre la protection des enfants contre les menaces en ligne et protège votre connexion Internet, empêche l'espionnage via la webcam, sécurise vos paiements en ligne. Elle vous permet également de bloquer les bannières publicitaires et d'interdire la collecte des données et elle aide à installer à temps opportun les mises à jour pour vos logiciels et désinstaller les applications non utilisées.

Acheter d'autres applications de Kaspersky

Acheter

Utilisez l'utilitaire Kaspersky RakhniDecryptor si vos fichiers sont chiffrés par les ransomwares suivants :

Trojan-Ransom.Win32.Ragnarok
Trojan-Ransom.Win32.Fonix
Trojan-Ransom.Win32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Ransom.Win32.Autoit
Trojan-Ransom.Win32.Aura
Trojan-Ransom.AndroidOS.Pletor
Trojan-Ransom.Win32.Rotor
Trojan-Ransom.Win32.Lamer
Trojan-Ransom.Win32.Cryptokluchen
Trojan-Ransom.Win32.Democry
Trojan-Ransom.Win32.GandCrypt versions 4 et 5
Trojan-Ransom.Win32.Bitman versions 3 et 4
Trojan-Ransom.Win32.Libra
Trojan-Ransom.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojan-Ransom.MSIL.Yatron
Trojan-Ransom.Win32.Chimera
Trojan-Ransom.Win32.CryFile
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
Trojan-Ransom.Win32.Nemchig
Trojan-Ransom.Win32.Mircop
Trojan-Ransom.Win32.Mor
Trojan-Ransom.Win32.Crusis (Dharma)
Trojan-Ransom.Win32.AecHu
Trojan-Ransom.Win32.Jaff
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
Trojan-Ransom.Win32.Maze
Trojan-Ransom.Win32.Sekhmet
Trojan-Ransom.Win32.Egregor

Comment déterminer si RakhniDecryptor déchiffrera le fichier

L'utilitaire Kaspresky RakhniDecryptor déchiffrera les fichiers dont les extensions ont été modifiées selon les modèles suivants :

Trojan-Ransom.Win32.Ragnarok:
- <nom_du_fichier>.<ID>.thor,
- <nom_du_fichier>.<ID>.odin,
- <nom_du_fichier>.<ID>.hela.
L'utilitaire demandera le fichier avec les exigences de l'escroc qui possède le format suivant : !!Read_Me.<ID>.html.
Trojan-Ransom.Win32.Fonix :
- <nom_du_fichier>.<extension_originale>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <nom_du_fichier>.<extension_originale>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
Trojan-Ransom.Win32.Rakhni :
- <nom_du_fichier>.<extension_originale>.locked
- <nom_du_fichier>.<extension_originale>.kraken
- <nom_du_fichier>.<extension_originale>.darkness
- <nom_du_fichier>.<extension_originale>.oshit
- <nom_du_fichier>.<extension_originale>.nochance
- <nom_du_fichier>.<extension_originale>.oplata@qq_com
- <nom_du_fichier>.<extension_originale>.relock@qq_com
- <nom_du_fichier>.<extension_originale>.crypto
- <nom_du_fichier>.<extension_originale>.helpdecrypt@ukr.net
- <nom_du_fichier>.<extension_originale>.p***a@qq_com
- <nom_du_fichier>.<extension_originale>.dyatel@qq_com
- <nom_du_fichier>.<extension_originale>.nalog@qq_com
- <nom_du_fichier>.<extension_originale>.chifrator@gmail_com
- <nom_du_fichier>.<extension_originale>.gruzin@qq_com
- <nom_du_fichier>.<extension_originale>.troyancoder@gmail_com
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id373
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id371
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id372
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id374
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id375
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id376
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id392
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id357
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id356
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id358
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id359
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id360
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id20

Trojan-Ransom.Win32.Rakhni crée le fichier exit.hhr.oshit qui contient le mot de passe sous forme chiffrée pour les fichiers de l'utilisateur. Si ce fichier existe sur l'ordinateur, le déchiffrement sera effectué beaucoup plus vite. Si le fichier exit.hhr.oshit a été supprimé, restaurez-le à l'aide des utilitaires de récupération de fichiers supprimés. Une fois le fichier récupéré, placez-le dans le dossier %APPDATA% et relancez l'analyse avec l'utilitaire. Le fichier exit.hhr.oshit se trouve à l'emplacement suivant : C:\Users<nom d'utilisateur>\AppData\Roaming

Trojan-Ransom.Win32.Mor : <nom_du_fichier>.<extension_originale>_crypt
Trojan-Ransom.Win32.Autoit : <nom_du_fichier>.<extension_originale>.<_crypt@india.com_.lettres>
Trojan-Ransom.MSIL.Lortok :
- <nom_du_fichier>.<extension_originale>.cry
- <nom_du_fichier>.<extension_originale>.AES256
Trojan-Ransom.MSIL.Yatron : <nom_du_fichier>.<extension_originale>.Yatron
Trojan-Ransom.AndroidOS.Pletor : <nom_du_fichier>.<extension_originale>.enc
Trojan-Ransom.Win32.Agent.iih : <nom_du_fichier>.<extension_originale>+hb15.
Trojan-Ransom.Win32.CryFile : <nom_du_fichier>.<extension_originale>.encrypted
Trojan-Ransom.Win32.Democry :
- <nom_du_fichier>.<extension_originale>+<.date-heure$courrier@domaine$.777>
- <nom_du_fichier>.<extension_originale>+<._date-heure_$courrier@domaine$.legion>
TTrojan-Ransom.Win32.GandCrypt :
- version 4 : <nom_du_fichier>.<extension_originale>.KRAB
- version 5 : <nom_du_fichier>.<extension_originale>.<caractères aléatoires>
Trojan-Ransom.Win32.Bitman version 3 :
- <nom_du_fichier>.xxx
- <nom_du_fichier>.ttt
- <nom_du_fichier>.micro
- <nom_du_fichier>.mp3
Trojan-Ransom.Win32.Bitman version 4 : <nom_du_fichier>.<extension_originale> (le nom et l'extension originaux du fichier ne sont pas modifiés)
Trojan-Ransom.Win32.Libra :
- <nom_du_fichier>.encrypted
- <nom_du_fichier>.locked
- <nom_du_fichier>.SecureCrypted
Trojan-Ransom.MSIL.Lobzik :
- <nom_du_fichier>.fun
- <nom_du_fichier>.gws
- <nom_du_fichier>.btc
- <nom_du_fichier>.AFD
- <nom_du_fichier>.porno
- <nom_du_fichier>.pornoransom
- <nom_du_fichier>.epic
- <nom_du_fichier>.encrypted
- <nom_du_fichier>.J
- <nom_du_fichier>.payransom
- <nom_du_fichier>.paybtcs
- <nom_du_fichier>.paymds
- <nom_du_fichier>.paymrss
- <nom_du_fichier>.paymrts
- <nom_du_fichier>.paymst
- <nom_du_fichier>.paymts
- <nom_du_fichier>.gefickt
- <nom_du_fichier>.uk-dealer@sigaint.org
Trojan-Ransom.Win32.Mircop : <Lock>.<nom_du_fichier>.<extension_originale>
Trojan-Ransom.Win32.Crusis (Dharma) :
- <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.xtbl
- <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.xtbl
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.wallet
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.<mail>@<server>.<domain>.wallet
- <nom_du_fichier>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.<mail>@<server>.<domain>.onion
Exemples de certaines adresses qui diffusent ce malware :
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) : ce ransomware ne modifie pas l'extension des fichiers.
Trojan-Ransom.Win32.Nemchig : <nom_du_fichier>.<extension_originale>.safefiles32@mail.ru
Trojan-Ransom.Win32.Lamer :
- <nom_du_fichier>.<extension_originale>.bloked
- <nom_du_fichier>.<extension_originale>.cripaaaa
- <nom_du_fichier>.<extension_originale>.smit
- <nom_du_fichier>.<extension_originale>.fajlovnet
- <nom_du_fichier>.<extension_originale>.filesfucked
- <nom_du_fichier>.<extension_originale>.criptx
- <nom_du_fichier>.<extension_originale>.gopaymeb
- <nom_du_fichier>.<extension_originale>.cripted
- <nom_du_fichier>.<extension_originale>.bnmntftfmn
- <nom_du_fichier>.<extension_originale>.criptiks
- <nom_du_fichier>.<extension_originale>.cripttt
- <nom_du_fichier>.<extension_originale>.hithere
- <nom_du_fichier>.<extension_originale>.aga
Trojan-Ransom.Win32.Cryptokluchen :
- <nom_du_fichier>.<extension_originale>.AMBA
- <nom_du_fichier>.<extension_originale>.PLAGUE17
- <nom_du_fichier>.<extension_originale>.ktldll
Trojan-Ransom.Win32.Rotor :
- <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>..-.CRYPTSb@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nom_du_fichier>.<extension_originale>.!___prosschiff@gmail.com_.crypt
- <nom_du_fichier>.<extension_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nom_du_fichier>.<extension_originale>.!_________pkigxdaq@bk.ru_______.crypt
- <nom_du_fichier>.<extension_originale>.!____moskali1993@mail.ru___.crypt
- <nom_du_fichier>.<extension_originale>.!==helpsend369@gmail.com==.crypt
- <nom_du_fichier>.<extension_originale>.!-==kronstar21@gmail.com=--.crypt

Si le fichier est chiffré avec l'extension CRYPT, le déchiffrement peut prendre longtemps. Par exemple, sur les ordinateurs avec le processeur Intel Core i5-2400, la recherche du mot de passe peut prendre jusqu'à 120 jours.

Trojan-Ransom.Win32.Chimera :
- <nom_du_fichier>.<extension_originale>.crypt
- <nom_du_fichier>.<extension_originale>.4 caractères aléatoires
Trojan-Ransom.Win32.AecHu
- <nom_du_fichier>.aes256
- <nom_du_fichier>.aes_ni
- <nom_du_fichier>.aes_ni_gov
- <nom_du_fichier>.aes_ni_0day
- <nom_du_fichier>.lock
- <nom_du_fichier>.decrypr_helper@freemail_hu
- <nom_du_fichier>.decrypr_helper@india.com
- <nom_du_fichier>.~xdata
Trojan-Ransom.Win32.Jaff :
- <nom_du_fichier>.jaff
- <nom_du_fichier>.wlu
- <nom_du_fichier>.sVn
Trojan-Ransom.Win32.Cryakl : email-<...>.ver-<...>.id-<...>.randomname-<...>.<extension_aléatoire>
Trojan-Ransom.Win32.Maze: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
Trojan-Ransom.Win32.Sekhmet: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
Trojan-Ransom.Win32.Egregor: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>

Si le fichier est chiffré par Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet ou Trojan-Ransom.Win32.Egregor, l'utilitaire vous invitera à spécifier le fichier avec les reclamations créé par le programme malveillant. Sans ce fichier il est impossible de déchiffrer les fichiers. Les noms possibles de ce fichier sont DECRYPT-FILES.txt, RECOVER-FILES.txt et DECRYPT-FILES.html.

Version du programme malveillant	Adresse email des personnes malveillantes
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Pour en savoir plus les technologies de protection contre les programmes malveillants, y compris les ransomwares, sur la page de TechnoWiki (en anglais).

Comment déchiffrer les fichiers à l'aide de l'utilitaire Kaspersky RakhniDecryptor

Paramètres d'exécution de l'utilitaire en ligne de commandes

Vous pouvez également exécuter Kaspersky RakhniDecryptor en ligne de commande ce qui permet d'accélerer le processus de déchiffrement des fichiers :

Commande	Description	Exemple
–threads	Lancer l'utilitaire avec la recherche du mot de passe en plusieurs threads. Si le paramètre n'est pas spécifié, le nombre de threads correspond au nombre de cœurs de processeur.	RakhniDecryptor.exe –threads 6
–start <nombre> –end <nombre>	Recommencer la recherche du mot de passe à partir d'une valeur spécifique. La valeur minimale est 0. Arrêter la recherche du mot de passe à une valeur spécifique. La valeur maximale est 1 000 000. Rechercher le mot de passe dans une plage de valeurs.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 7000 RakhniDecryptor.exe –start 100 –end 50000
-l <chemin d'accès complet au fichier dans lequel le rapport sera enregistré>	Spécifier le chemin d'accès complet au fichier dans lequel le rapport de l'exécution de l'utilitaire sera enregistré.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Afficher l'aide sur les commandes disponibles.	RakhniDecryptor.exe -h

Si vous avez trouvé un fichier suspect sur l'ordinateur

Que faire si l'utilitaire n'a pas aidé

Ces informations vous ont-elles été utiles ?

Oui Non

Retour vers la section "Outils de désinfection"

Articles généraux: Réponses aux questions fréquemment posées

Articles généraux : Compatibilité logicielle

Articles généraux : Achat et licence

Articles généraux : Avant l'installation

Articles généraux : Premiers pas

Articles généraux : Configuration

Articles généraux : Désinstallation

Articles généraux : Erreurs

Articles généraux : Protection bancaire

Articles généraux : Diagnostiс et rapports

Articles généraux : FAQ sur My Kaspersky

Articles généraux : Windows

Articles généraux : macOS

Articles généraux : Fin du support

Articles généraux : Outils de désinfection

Utilitaire Kaspersky RakhniDecryptor pour déchiffrer les fichiers chiffrés par le ransomware Trojan-Ransom.Win32.Rakhni

Vous voulez éviter les infections ? Installez Kaspersky Internet Security

Comment déterminer si RakhniDecryptor déchiffrera le fichier

Comment déchiffrer les fichiers à l'aide de l'utilitaire Kaspersky RakhniDecryptor

Paramètres d'exécution de l'utilitaire en ligne de commandes

Si vous avez trouvé un fichier suspect sur l'ordinateur

Que faire si l'utilitaire n'a pas aidé

Dites-nous ce que nous pouvons faire pour améliorer l'article :

Merci pour vos commentaires !

Articles généraux: Réponses aux questions fréquemment posées

Articles généraux : Compatibilité logicielle

Articles généraux : Achat et licence

Articles généraux : Avant l'installation

Articles généraux : Premiers pas

Articles généraux : Configuration

Articles généraux : Désinstallation

Articles généraux : Erreurs

Articles généraux : Protection bancaire

Articles généraux : Diagnostiс et rapports

Articles généraux : FAQ sur My Kaspersky

Articles généraux : Windows

Articles généraux : macOS

Articles généraux : Fin du support

Articles généraux : Outils de désinfection

Utilitaire Kaspersky RakhniDecryptor pour déchiffrer les fichiers chiffrés par le ransomware Trojan-Ransom.Win32.Rakhni

Vous voulez éviter les infections ? Installez Kaspersky Internet Security

Comment déterminer si RakhniDecryptor déchiffrera le fichier

Comment déchiffrer les fichiers à l'aide de l'utilitaire Kaspersky RakhniDecryptor

Paramètres d'exécution de l'utilitaire en ligne de commandes

Si vous avez trouvé un fichier suspect sur l'ordinateur

Que faire si l'utilitaire n'a pas aidé

Vos commentaires sur le site du Support Technique

Merci !

Dites-nous ce que nous pouvons faire pour améliorer l'article :

Merci pour vos commentaires !