Utilitaire Kaspersky RakhniDecryptor pour déchiffrer les fichiers chiffrés par le ransomware Trojan-Ransom.Win32.Rakhni

Utilisez l'utilitaire Kaspersky RakhniDecryptor si vos fichiers sont chiffrés par les ransomwares suivants :

Trojan-Ransom.Win32.Rakhni
Trojan-Ransom.Win32.Agent.iih
Trojan-Ransom.Win32.Autoit
Trojan-Ransom.Win32.Aura
Trojan-Ransom.AndroidOS.Pletor
Trojan-Ransom.Win32.Rotor
Trojan-Ransom.Win32.Lamer
Trojan-Ransom.Win32.Cryptokluchen
Trojan-Ransom.Win32.Democry
Trojan-Ransom.Win32.GandCrypt versions 4 et 5
Trojan-Ransom.Win32.Bitman versions 3 et 4
Trojan-Ransom.Win32.Libra
Trojan-Ransom.MSIL.Lobzik
Trojan-Ransom.MSIL.Lortok
Trojan-Ransom.MSIL.Yatron
Trojan-Ransom.Win32.Chimera
Trojan-Ransom.Win32.CryFile
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
Trojan-Ransom.Win32.Nemchig
Trojan-Ransom.Win32.Mircop
Trojan-Ransom.Win32.Mor
Trojan-Ransom.Win32.Crusis (Dharma)
Trojan-Ransom.Win32.AecHu
Trojan-Ransom.Win32.Jaff
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0

Comment déterminer si RakhniDecryptor déchiffrera le fichier

L'utilitaire Kaspresky RakhniDecryptor déchiffrera les fichiers dont les extensions ont été modifiées selon les modèles suivants :

Trojan-Ransom.Win32.Rakhni :
- <nom_du_fichier>.<extension_originale>.locked
- <nom_du_fichier>.<extension_originale>.kraken
- <nom_du_fichier>.<extension_originale>.darkness
- <nom_du_fichier>.<extension_originale>.oshit
- <nom_du_fichier>.<extension_originale>.nochance
- <nom_du_fichier>.<extension_originale>.oplata@qq_com
- <nom_du_fichier>.<extension_originale>.relock@qq_com
- <nom_du_fichier>.<extension_originale>.crypto
- <nom_du_fichier>.<extension_originale>.helpdecrypt@ukr.net
- <nom_du_fichier>.<extension_originale>.p***a@qq_com
- <nom_du_fichier>.<extension_originale>.dyatel@qq_com
- <nom_du_fichier>.<extension_originale>.nalog@qq_com
- <nom_du_fichier>.<extension_originale>.chifrator@gmail_com
- <nom_du_fichier>.<extension_originale>.gruzin@qq_com
- <nom_du_fichier>.<extension_originale>.troyancoder@gmail_com
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id373
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id371
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id372
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id374
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id375
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id376
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id392
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id357
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id356
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id358
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id359
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id360
- <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id20

Trojan-Ransom.Win32.Rakhni crée le fichier exit.hhr.oshit qui contient le mot de passe sous forme chiffrée pour les fichiers de l'utilisateur. Si ce fichier existe sur l'ordinateur, le déchiffrement sera effectué beaucoup plus vite. Si le fichier exit.hhr.oshit a été supprimé, restaurez-le à l'aide des utilitaires de récupération de fichiers supprimés. Une fois le fichier récupéré, placez-le dans le dossier %APPDATA% et relancez l'analyse avec l'utilitaire. Le fichier exit.hhr.oshit se trouve à l'emplacement suivant : C:\Users<nom d'utilisateur>\AppData\Roaming

Trojan-Ransom.Win32.Mor : <nom_du_fichier>.<extension_originale>_crypt
Trojan-Ransom.Win32.Autoit : <nom_du_fichier>.<extension_originale>.<_crypt@india.com_.lettres>
Trojan-Ransom.MSIL.Lortok :
- <nom_du_fichier>.<extension_originale>.cry
- <nom_du_fichier>.<extension_originale>.AES256
Trojan-Ransom.MSIL.Yatron : <nom_du_fichier>.<extension_originale>.Yatron
Trojan-Ransom.AndroidOS.Pletor : <nom_du_fichier>.<extension_originale>.enc
Trojan-Ransom.Win32.Agent.iih : <nom_du_fichier>.<extension_originale>+hb15.
Trojan-Ransom.Win32.CryFile : <nom_du_fichier>.<extension_originale>.encrypted
Trojan-Ransom.Win32.Democry :
- <nom_du_fichier>.<extension_originale>+<.date-heure$courrier@domaine$.777>
- <nom_du_fichier>.<extension_originale>+<._date-heure_$courrier@domaine$.legion>
TTrojan-Ransom.Win32.GandCrypt :
- version 4 : <nom_du_fichier>.<extension_originale>.KRAB
- version 5 : <nom_du_fichier>.<extension_originale>.<caractères aléatoires>
Trojan-Ransom.Win32.Bitman version 3 :
- <nom_du_fichier>.xxx
- <nom_du_fichier>.ttt
- <nom_du_fichier>.micro
- <nom_du_fichier>.mp3
Trojan-Ransom.Win32.Bitman version 4 : <nom_du_fichier>.<extension_originale> (le nom et l'extension originaux du fichier ne sont pas modifiés)
Trojan-Ransom.Win32.Libra :
- <nom_du_fichier>.encrypted
- <nom_du_fichier>.locked
- <nom_du_fichier>.SecureCrypted
Trojan-Ransom.MSIL.Lobzik :
- <nom_du_fichier>.fun
- <nom_du_fichier>.gws
- <nom_du_fichier>.btc
- <nom_du_fichier>.AFD
- <nom_du_fichier>.porno
- <nom_du_fichier>.pornoransom
- <nom_du_fichier>.epic
- <nom_du_fichier>.encrypted
- <nom_du_fichier>.J
- <nom_du_fichier>.payransom
- <nom_du_fichier>.paybtcs
- <nom_du_fichier>.paymds
- <nom_du_fichier>.paymrss
- <nom_du_fichier>.paymrts
- <nom_du_fichier>.paymst
- <nom_du_fichier>.paymts
- <nom_du_fichier>.gefickt
- <nom_du_fichier>.uk-dealer@sigaint.org
Trojan-Ransom.Win32.Mircop : <Lock>.<nom_du_fichier>.<extension_originale>
Trojan-Ransom.Win32.Crusis (Dharma) :
- <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.xtbl
- <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.xtbl
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.wallet
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.<mail>@<server>.<domain>.wallet
- <nom_du_fichier>.<mail>@<server>.<domain>.dhrama
- <nom_du_fichier>.<mail>@<server>.<domain>.onion
Exemples de certaines adresses qui diffusent ce malware :
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) : ce ransomware ne modifie pas l'extension des fichiers.
Trojan-Ransom.Win32.Nemchig : <nom_du_fichier>.<extension_originale>.safefiles32@mail.ru
Trojan-Ransom.Win32.Lamer :
- <nom_du_fichier>.<extension_originale>.bloked
- <nom_du_fichier>.<extension_originale>.cripaaaa
- <nom_du_fichier>.<extension_originale>.smit
- <nom_du_fichier>.<extension_originale>.fajlovnet
- <nom_du_fichier>.<extension_originale>.filesfucked
- <nom_du_fichier>.<extension_originale>.criptx
- <nom_du_fichier>.<extension_originale>.gopaymeb
- <nom_du_fichier>.<extension_originale>.cripted
- <nom_du_fichier>.<extension_originale>.bnmntftfmn
- <nom_du_fichier>.<extension_originale>.criptiks
- <nom_du_fichier>.<extension_originale>.cripttt
- <nom_du_fichier>.<extension_originale>.hithere
- <nom_du_fichier>.<extension_originale>.aga
Trojan-Ransom.Win32.Cryptokluchen :
- <nom_du_fichier>.<extension_originale>.AMBA
- <nom_du_fichier>.<extension_originale>.PLAGUE17
- <nom_du_fichier>.<extension_originale>.ktldll
Trojan-Ransom.Win32.Rotor :
- <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>..-.CRYPTSb@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nom_du_fichier>.<extension_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nom_du_fichier>.<extension_originale>.!___prosschiff@gmail.com_.crypt
- <nom_du_fichier>.<extension_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nom_du_fichier>.<extension_originale>.!_________pkigxdaq@bk.ru_______.crypt
- <nom_du_fichier>.<extension_originale>.!____moskali1993@mail.ru___.crypt
- <nom_du_fichier>.<extension_originale>.!==helpsend369@gmail.com==.crypt
- <nom_du_fichier>.<extension_originale>.!-==kronstar21@gmail.com=--.crypt

Si le fichier est chiffré avec l'extension CRYPT, le déchiffrement peut prendre longtemps. Par exemple, sur les ordinateurs avec le processeur Intel Core i5-2400, la recherche du mot de passe peut prendre jusqu'à 120 jours.

Trojan-Ransom.Win32.Chimera :
- <nom_du_fichier>.<extension_originale>.crypt
- <nom_du_fichier>.<extension_originale>.4 caractères aléatoires
Trojan-Ransom.Win32.AecHu
- <nom_du_fichier>.aes256
- <nom_du_fichier>.aes_ni
- <nom_du_fichier>.aes_ni_gov
- <nom_du_fichier>.aes_ni_0day
- <nom_du_fichier>.lock
- <nom_du_fichier>.decrypr_helper@freemail_hu
- <nom_du_fichier>.decrypr_helper@india.com
- <nom_du_fichier>.~xdata
Trojan-Ransom.Win32.Jaff :
- <nom_du_fichier>.jaff
- <nom_du_fichier>.wlu
- <nom_du_fichier>.sVn
Trojan-Ransom.Win32.Cryakl : email-<...>.ver-<...>.id-<...>.randomname-<...>.<extension_aléatoire>

Version du programme malveillant	Adresse email des personnes malveillantes
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Pour en savoir plus les technologies de protection contre les programmes malveillants, y compris les ransomwares, sur la page de TechnoWiki (en anglais).

Comment déchiffrer les fichiers à l'aide de l'utilitaire Kaspersky RakhniDecryptor

Paramètres d'exécution de l'utilitaire en ligne de commandes

Vous pouvez également exécuter Kaspersky RakhniDecryptor en ligne de commande ce qui permet d'accélerer le processus de déchiffrement des fichiers :

Commande	Description	Exemple
–threads	Lancer l'utilitaire avec la recherche du mot de passe en plusieurs threads. Si le paramètre n'est pas spécifié, le nombre de threads correspond au nombre de cœurs de processeur.	RakhniDecryptor.exe –threads 6
–start <nombre> –end <nombre>	Recommencer la recherche du mot de passe à partir d'une valeur spécifique. La valeur minimale est 0. Arrêter la recherche du mot de passe à une valeur spécifique. La valeur maximale est 1 000 000. Rechercher le mot de passe dans une plage de valeurs.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 7000 RakhniDecryptor.exe –start 100 –end 50000
-l <chemin d'accès complet au fichier dans lequel le rapport sera enregistré>	Spécifier le chemin d'accès complet au fichier dans lequel le rapport de l'exécution de l'utilitaire sera enregistré.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Afficher l'aide sur les commandes disponibles.	RakhniDecryptor.exe -h

Ces informations vous ont-elles été utiles ?

Oui Non

ABC de la sécurité : Info générale

ABC de la sécurité : Questions et réponses

ABC de la sécurité : Conseils de protection

ABC de la sécurité : Outils de désinfection