L'utilitaire Kaspresky RakhniDecryptor déchiffrera les fichiers dont les extensions ont été modifiées selon les modèles suivants :

• Trojan-Ransom.Win32.Rakhni :
  • <nom_du_fichier>.<extension_originale>.locked
  • <nom_du_fichier>.<extension_originale>.kraken
  • <nom_du_fichier>.<extension_originale>.darkness
  • <nom_du_fichier>.<extension_originale>.oshit
  • <nom_du_fichier>.<extension_originale>.nochance
  • <nom_du_fichier>.<extension_originale>.oplata@qq_com
  • <nom_du_fichier>.<extension_originale>.relock@qq_com
  • <nom_du_fichier>.<extension_originale>.crypto
  • <nom_du_fichier>.<extension_originale>.helpdecrypt@ukr.net
  • <nom_du_fichier>.<extension_originale>.p***a@qq_com
  • <nom_du_fichier>.<extension_originale>.dyatel@qq_com
  • <nom_du_fichier>.<extension_originale>.nalog@qq_com
  • <nom_du_fichier>.<extension_originale>.chifrator@gmail_com
  • <nom_du_fichier>.<extension_originale>.gruzin@qq_com
  • <nom_du_fichier>.<extension_originale>.troyancoder@gmail_com
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id373
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id371
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id372
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id374
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id375
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id376
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id392
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id357
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id356
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id358
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id359
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id360
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id20

• Trojan-Ransom.Win32.Mor : <nom_du_fichier>.<extension_originale>_crypt
• Trojan-Ransom.Win32.Autoit : <nom_du_fichier>.<extension_originale>.<_crypt@india.com_.lettres>
• Trojan-Ransom.MSIL.Lortok :
  • <nom_du_fichier>.<extension_originale>.cry
  • <nom_du_fichier>.<extension_originale>.AES256
• Trojan-Ransom.AndroidOS.Pletor : <nom_du_fichier>.<extension_originale>.enc
• Trojan-Ransom.Win32.Agent.iih : <nom_du_fichier>.<extension_originale>+hb15.
• Trojan-Ransom.Win32.CryFile : <nom_du_fichier>.<extension_originale>.encrypted
• Trojan-Ransom.Win32.Democry :
  • <nom_du_fichier>.<extension_originale>+<.date-heure$courrier@domaine$.777>
  • <nom_du_fichier>.<extension_originale>+<._date-heure_$courrier@domaine$.legion>
• Trojan-Ransom.Win32.Bitman version 3 :
  • <nom_du_fichier>.xxx
  • <nom_du_fichier>.ttt
  • <nom_du_fichier>.micro
  • <nom_du_fichier>.mp3
• Trojan-Ransom.Win32.Bitman version 4 : <nom_du_fichier>.<extension_originale> (le nom et l'extension originaux du fichier ne sont pas modifiés)
• Trojan-Ransom.Win32.Libra :
  • <nom_du_fichier>.encrypted
  • <nom_du_fichier>.locked
  • <nom_du_fichier>.SecureCrypted
• Trojan-Ransom.MSIL.Lobzik :
  • <nom_du_fichier>.fun
  • <nom_du_fichier>.gws
  • <nom_du_fichier>.btc
  • <nom_du_fichier>.AFD
  • <nom_du_fichier>.porno
  • <nom_du_fichier>.pornoransom
  • <nom_du_fichier>.epic
  • <nom_du_fichier>.encrypted
  • <nom_du_fichier>.J
  • <nom_du_fichier>.payransom
  • <nom_du_fichier>.paybtcs
  • <nom_du_fichier>.paymds
  • <nom_du_fichier>.paymrss
  • <nom_du_fichier>.paymrts
  • <nom_du_fichier>.paymst
  • <nom_du_fichier>.paymts
  • <nom_du_fichier>.gefickt
  • <nom_du_fichier>.uk-dealer@sigaint.org
• Trojan-Ransom.Win32.Mircop : <Lock>.<nom_du_fichier>.<extension_originale>
• Trojan-Ransom.Win32.Crusis (Dharma) :
  • <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.xtbl
  • <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.CrySiS
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.xtbl
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.wallet
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
  • <nom_du_fichier>.<mail>@<server>.<domain>.wallet
  • <nom_du_fichier>.<mail>@<server>.<domain>.dhrama
  • <nom_du_fichier>.<mail>@<server>.<domain>.onion

• Exemples de certaines adresses qui diffusent ce malware :

  • webmafia@asia.com
  • braker@plague.life
  • crannbest@foxmail.com
  • amagnus@india.com
  • stopper@india.com
  • bitcoin143@india.com
  • worm01@india.com
  • funa@india.com
  • pay4help@india.com
  • lavandos@dr.com
  • mkgoro@india.com
• Trojan-Ransom.Win32.Nemchig : <nom_du_fichier>.<extension_originale>.safefiles32@mail.ru
• Trojan-Ransom.Win32.Lamer :
  • <nom_du_fichier>.<extension_originale>.bloked
  • <nom_du_fichier>.<extension_originale>.cripaaaa
  • <nom_du_fichier>.<extension_originale>.smit
  • <nom_du_fichier>.<extension_originale>.fajlovnet
  • <nom_du_fichier>.<extension_originale>.filesfucked
  • <nom_du_fichier>.<extension_originale>.criptx
  • <nom_du_fichier>.<extension_originale>.gopaymeb
  • <nom_du_fichier>.<extension_originale>.cripted
  • <nom_du_fichier>.<extension_originale>.bnmntftfmn
  • <nom_du_fichier>.<extension_originale>.criptiks
  • <nom_du_fichier>.<extension_originale>.cripttt
  • <nom_du_fichier>.<extension_originale>.hithere
  • <nom_du_fichier>.<extension_originale>.aga
• Trojan-Ransom.Win32.Cryptokluchen :
  • <nom_du_fichier>.<extension_originale>.AMBA
  • <nom_du_fichier>.<extension_originale>.PLAGUE17
  • <nom_du_fichier>.<extension_originale>.ktldll
• Trojan-Ransom.Win32.Rotor :
  • <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
  • <nom_du_fichier>.<extension_originale>..-.CRYPTSb@GMAIL.COM.roto
  • <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
  • <nom_du_fichier>.<extension_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
  • <nom_du_fichier>.<extension_originale>.!___prosschiff@gmail.com_.crypt
  • <nom_du_fichier>.<extension_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
  • <nom_du_fichier>.<extension_originale>.!_________pkigxdaq@bk.ru_______.crypt
  • <nom_du_fichier>.<extension_originale>.!____moskali1993@mail.ru___.crypt
  • <nom_du_fichier>.<extension_originale>.!==helpsend369@gmail.com==.crypt
  • <nom_du_fichier>.<extension_originale>.!-==kronstar21@gmail.com=--.crypt

• Trojan-Ransom.Win32.Chimera :
  • <nom_du_fichier>.<extension_originale>.crypt
  • <nom_du_fichier>.<extension_originale>.4 caractères aléatoires
• Trojan-Ransom.Win32.AecHu
  • <nom_du_fichier>.aes256
  • <nom_du_fichier>.aes_ni
  • <nom_du_fichier>.aes_ni_gov
  • <nom_du_fichier>.aes_ni_0day
  • <nom_du_fichier>.lock
  • <nom_du_fichier>.decrypr_helper@freemail_hu
  • <nom_du_fichier>.decrypr_helper@india.com
  • <nom_du_fichier>.~xdata
• Trojan-Ransom.Win32.Jaff :
  • <nom_du_fichier>.jaff
  • <nom_du_fichier>.wlu
  • <nom_du_fichier>.sVn

• Trojan-Ransom.Win32.Cryakl : email-<...>.ver-<...>.id-<...>.randomname-<...>.<extension_aléatoire>

• Version du programme malveillant	Adresse email des personnes malveillantes
  CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
  CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
  CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
  CL 1.3.0.0	cryptolocker@aol.com
  CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Pour en savoir plus les technologies de protection contre les programmes malveillants, y compris les ransomwares, sur la page de TechnoWiki (en anglais).

1. Téléchargez et décompressez l'archive RakhniDecryptor.zip. Pour les instructions, consultez cet article.
2. Ouvrez le dossier de l'archive contenant les fichiers exécutables de l'utilitaire.
3. Exécutez le fichier RakhniDecryptor.exe.
4. Cliquez sur Change parameters.

5. Sélectionnez des objets à analyser (Objects to scan : hard drives (disques durs), removable drives (disques amovibles), network drives (disques réseau)).
6. Cochez la case Delete crypted files after decryption. L'utilitaire supprimera les copies des fichiers chiffrés avec les extensions LOCKED, KRAKEN, DARKNESS etc.
7. Cliquez sur OK.

8. Cliquez sur Start scan.

9. Sélectionnez un fichier chiffré et cliquez sur Ouvrir.

10. Prenez connaissance de l'avertissement et cliquez sur OK.

Les fichiers seront déchiffrés.

Le fichier peut être chiffré avec l'extension CRYPT plus d'une fois. Par exemple, si le fichier test.doc a été chiffré deux fois, l'utilitaire va déchiffrer la première couche vers test.1.doc.layerDecryptedKLR. Le texte suivant apparaîtra dans le rapport de l'utilitaire : « Decryption success: disque:\chemin_d'accès\test.doc_crypt -> disque:\chemin_d'accès\test.1.doc.layerDecryptedKLR ». Le fichier obtenu doit être déchiffré avec l'utilitaire encore une fois. Déchiffrement réussi, le fichier sera enregistré sous le nom original test.doc.

Vous pouvez également exécuter Kaspersky RakhniDecryptor en ligne de commande ce qui permet d'accélerer le processus de déchiffrement des fichiers :