L'utilitaire Kaspresky RakhniDecryptor déchiffrera les fichiers dont les extensions ont été modifiées selon les modèles suivants :

• Trojan-Ransom.Win32.Fonix :
  • <nom_du_fichier>.<extension_originale>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
  • <nom_du_fichier>.<extension_originale>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
• Trojan-Ransom.Win32.Rakhni :
  • <nom_du_fichier>.<extension_originale>.locked
  • <nom_du_fichier>.<extension_originale>.kraken
  • <nom_du_fichier>.<extension_originale>.darkness
  • <nom_du_fichier>.<extension_originale>.oshit
  • <nom_du_fichier>.<extension_originale>.nochance
  • <nom_du_fichier>.<extension_originale>.oplata@qq_com
  • <nom_du_fichier>.<extension_originale>.relock@qq_com
  • <nom_du_fichier>.<extension_originale>.crypto
  • <nom_du_fichier>.<extension_originale>.helpdecrypt@ukr.net
  • <nom_du_fichier>.<extension_originale>.p***a@qq_com
  • <nom_du_fichier>.<extension_originale>.dyatel@qq_com
  • <nom_du_fichier>.<extension_originale>.nalog@qq_com
  • <nom_du_fichier>.<extension_originale>.chifrator@gmail_com
  • <nom_du_fichier>.<extension_originale>.gruzin@qq_com
  • <nom_du_fichier>.<extension_originale>.troyancoder@gmail_com
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id373
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id371
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id372
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id374
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id375
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id376
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id392
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id357
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id356
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id358
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id359
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id360
  • <nom_du_fichier>.<extension_originale>.coderksu@gmail_com_id20

• Trojan-Ransom.Win32.Mor : <nom_du_fichier>.<extension_originale>_crypt
• Trojan-Ransom.Win32.Autoit : <nom_du_fichier>.<extension_originale>.<_crypt@india.com_.lettres>
• Trojan-Ransom.MSIL.Lortok :
  • <nom_du_fichier>.<extension_originale>.cry
  • <nom_du_fichier>.<extension_originale>.AES256
• Trojan-Ransom.MSIL.Yatron : <nom_du_fichier>.<extension_originale>.Yatron
• Trojan-Ransom.AndroidOS.Pletor : <nom_du_fichier>.<extension_originale>.enc
• Trojan-Ransom.Win32.Agent.iih : <nom_du_fichier>.<extension_originale>+hb15.
• Trojan-Ransom.Win32.CryFile : <nom_du_fichier>.<extension_originale>.encrypted
• Trojan-Ransom.Win32.Democry :
  • <nom_du_fichier>.<extension_originale>+<.date-heure$courrier@domaine$.777>
  • <nom_du_fichier>.<extension_originale>+<._date-heure_$courrier@domaine$.legion>
• TTrojan-Ransom.Win32.GandCrypt :
  • version 4 : <nom_du_fichier>.<extension_originale>.KRAB
  • version 5 : <nom_du_fichier>.<extension_originale>.<caractères aléatoires>
• Trojan-Ransom.Win32.Bitman version 3 :
  • <nom_du_fichier>.xxx
  • <nom_du_fichier>.ttt
  • <nom_du_fichier>.micro
  • <nom_du_fichier>.mp3
• Trojan-Ransom.Win32.Bitman version 4 : <nom_du_fichier>.<extension_originale> (le nom et l'extension originaux du fichier ne sont pas modifiés)
• Trojan-Ransom.Win32.Libra :
  • <nom_du_fichier>.encrypted
  • <nom_du_fichier>.locked
  • <nom_du_fichier>.SecureCrypted
• Trojan-Ransom.MSIL.Lobzik :
  • <nom_du_fichier>.fun
  • <nom_du_fichier>.gws
  • <nom_du_fichier>.btc
  • <nom_du_fichier>.AFD
  • <nom_du_fichier>.porno
  • <nom_du_fichier>.pornoransom
  • <nom_du_fichier>.epic
  • <nom_du_fichier>.encrypted
  • <nom_du_fichier>.J
  • <nom_du_fichier>.payransom
  • <nom_du_fichier>.paybtcs
  • <nom_du_fichier>.paymds
  • <nom_du_fichier>.paymrss
  • <nom_du_fichier>.paymrts
  • <nom_du_fichier>.paymst
  • <nom_du_fichier>.paymts
  • <nom_du_fichier>.gefickt
  • <nom_du_fichier>.uk-dealer@sigaint.org
• Trojan-Ransom.Win32.Mircop : <Lock>.<nom_du_fichier>.<extension_originale>
• Trojan-Ransom.Win32.Crusis (Dharma) :
  • <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.xtbl
  • <nom_du_fichier>.ID<…>.<mail>@<server>.<domain>.CrySiS
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.xtbl
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.wallet
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
  • <nom_du_fichier>.id-<…>.<mail>@<server>.<domain>.dhrama
  • <nom_du_fichier>.<mail>@<server>.<domain>.wallet
  • <nom_du_fichier>.<mail>@<server>.<domain>.dhrama
  • <nom_du_fichier>.<mail>@<server>.<domain>.onion

• Exemples de certaines adresses qui diffusent ce malware :

  • webmafia@asia.com
  • braker@plague.life
  • crannbest@foxmail.com
  • amagnus@india.com
  • stopper@india.com
  • bitcoin143@india.com
  • worm01@india.com
  • funa@india.com
  • pay4help@india.com
  • lavandos@dr.com
  • mkgoro@india.com
• Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) : ce ransomware ne modifie pas l'extension des fichiers.
• Trojan-Ransom.Win32.Nemchig : <nom_du_fichier>.<extension_originale>.safefiles32@mail.ru
• Trojan-Ransom.Win32.Lamer :
  • <nom_du_fichier>.<extension_originale>.bloked
  • <nom_du_fichier>.<extension_originale>.cripaaaa
  • <nom_du_fichier>.<extension_originale>.smit
  • <nom_du_fichier>.<extension_originale>.fajlovnet
  • <nom_du_fichier>.<extension_originale>.filesfucked
  • <nom_du_fichier>.<extension_originale>.criptx
  • <nom_du_fichier>.<extension_originale>.gopaymeb
  • <nom_du_fichier>.<extension_originale>.cripted
  • <nom_du_fichier>.<extension_originale>.bnmntftfmn
  • <nom_du_fichier>.<extension_originale>.criptiks
  • <nom_du_fichier>.<extension_originale>.cripttt
  • <nom_du_fichier>.<extension_originale>.hithere
  • <nom_du_fichier>.<extension_originale>.aga
• Trojan-Ransom.Win32.Cryptokluchen :
  • <nom_du_fichier>.<extension_originale>.AMBA
  • <nom_du_fichier>.<extension_originale>.PLAGUE17
  • <nom_du_fichier>.<extension_originale>.ktldll
• Trojan-Ransom.Win32.Rotor :
  • <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C@GMAIL.COM.roto
  • <nom_du_fichier>.<extension_originale>..-.CRYPTSb@GMAIL.COM.roto
  • <nom_du_fichier>.<extension_originale>..-.DIRECTORAT1C8@GMAIL.COM.roto
  • <nom_du_fichier>.<extension_originale>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
  • <nom_du_fichier>.<extension_originale>.!___prosschiff@gmail.com_.crypt
  • <nom_du_fichier>.<extension_originale>.!_______GASWAGEN123@GMAIL.COM____.crypt
  • <nom_du_fichier>.<extension_originale>.!_________pkigxdaq@bk.ru_______.crypt
  • <nom_du_fichier>.<extension_originale>.!____moskali1993@mail.ru___.crypt
  • <nom_du_fichier>.<extension_originale>.!==helpsend369@gmail.com==.crypt
  • <nom_du_fichier>.<extension_originale>.!-==kronstar21@gmail.com=--.crypt

• Trojan-Ransom.Win32.Chimera :
  • <nom_du_fichier>.<extension_originale>.crypt
  • <nom_du_fichier>.<extension_originale>.4 caractères aléatoires
• Trojan-Ransom.Win32.AecHu
  • <nom_du_fichier>.aes256
  • <nom_du_fichier>.aes_ni
  • <nom_du_fichier>.aes_ni_gov
  • <nom_du_fichier>.aes_ni_0day
  • <nom_du_fichier>.lock
  • <nom_du_fichier>.decrypr_helper@freemail_hu
  • <nom_du_fichier>.decrypr_helper@india.com
  • <nom_du_fichier>.~xdata
• Trojan-Ransom.Win32.Jaff :
  • <nom_du_fichier>.jaff
  • <nom_du_fichier>.wlu
  • <nom_du_fichier>.sVn

• Trojan-Ransom.Win32.Cryakl : email-<...>.ver-<...>.id-<...>.randomname-<...>.<extension_aléatoire>

• Version du programme malveillant	Adresse email des personnes malveillantes
  CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
  CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
  CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
  CL 1.3.0.0	cryptolocker@aol.com
  CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Pour en savoir plus les technologies de protection contre les programmes malveillants, y compris les ransomwares, sur la page de TechnoWiki (en anglais).

1. Téléchargez et décompressez l'archive RakhniDecryptor.zip. Pour les instructions, consultez cet article.
2. Ouvrez le dossier de l'archive contenant les fichiers exécutables de l'utilitaire.
3. Exécutez le fichier RakhniDecryptor.exe.
4. Cliquez sur Change parameters.

5. Sélectionnez des objets à analyser (Objects to scan : hard drives (disques durs), removable drives (disques amovibles), network drives (disques réseau)).
6. Cochez la case Delete crypted files after decryption. L'utilitaire supprimera les copies des fichiers chiffrés avec les extensions LOCKED, KRAKEN, DARKNESS etc.
7. Cliquez sur OK.

8. Cliquez sur Start scan.

9. Sélectionnez un fichier chiffré et cliquez sur Ouvrir.

10. Prenez connaissance de l'avertissement et cliquez sur OK.

Les fichiers seront déchiffrés.

Le fichier peut être chiffré avec l'extension CRYPT plus d'une fois. Par exemple, si le fichier test.doc a été chiffré deux fois, l'utilitaire va déchiffrer la première couche vers test.1.doc.layerDecryptedKLR. Le texte suivant apparaîtra dans le rapport de l'utilitaire : « Decryption success: disque:\chemin_d'accès\test.doc_crypt -> disque:\chemin_d'accès\test.1.doc.layerDecryptedKLR ». Le fichier obtenu doit être déchiffré avec l'utilitaire encore une fois. Déchiffrement réussi, le fichier sera enregistré sous le nom original test.doc.

Vous pouvez également exécuter Kaspersky RakhniDecryptor en ligne de commande ce qui permet d'accélerer le processus de déchiffrement des fichiers :

Si vous avez découvert un fichier suspect qui pourrait infecter l'ordinateur ou chiffrer les fichiers, envoyez les fichiers pour analyse à newvirus@kaspersky.com. Pour ce faire, ajoutez le fichier suspect dans une archive avec l'extension ZIP ou RAR. Pour les instructions, consultez cet article.

Si l'utilitaire n'a pas aidé à déchiffrer les fichiers, contactez le support technique de Kaspersky en sélectionnant le sujet de votre demande.