L'utilitaire Kaspresky RakhniDecryptor déchiffrera les fichiers dont les extensions ont été modifiées selon les modèles suivants :
Trojan-Ransom.Win32.Rakhni crée le fichier exit.hhr.oshit qui contient le mot de passe sous forme chiffrée pour les fichiers de l'utilisateur. Si ce fichier existe sur l'ordinateur, le déchiffrement sera effectué beaucoup plus vite. Si le fichier exit.hhr.oshit a été supprimé, restaurez-le à l'aide des utilitaires de récupération de fichiers supprimés. Une fois le fichier récupéré, placez-le dans le dossier %APPDATA% et relancez l'analyse avec l'utilitaire. Le fichier exit.hhr.oshit se trouve à l'emplacement suivant : C:\Users<nom d'utilisateur>\AppData\Roaming
Si le fichier est chiffré avec l'extension CRYPT, le déchiffrement peut prendre longtemps. Par exemple, sur les ordinateurs avec le processeur Intel Core i5-2400, la recherche du mot de passe peut prendre jusqu'à 120 jours.
- Trojan-Ransom.Win32.Chimera :
- <nom_du_fichier>.<extension_originale>.crypt
- <nom_du_fichier>.<extension_originale>.4 caractères aléatoires
- Trojan-Ransom.Win32.AecHu
- <nom_du_fichier>.aes256
- <nom_du_fichier>.aes_ni
- <nom_du_fichier>.aes_ni_gov
- <nom_du_fichier>.aes_ni_0day
- <nom_du_fichier>.lock
- <nom_du_fichier>.decrypr_helper@freemail_hu
- <nom_du_fichier>.decrypr_helper@india.com
- <nom_du_fichier>.~xdata
- Trojan-Ransom.Win32.Jaff :
- <nom_du_fichier>.jaff
- <nom_du_fichier>.wlu
- <nom_du_fichier>.sVn
- Trojan-Ransom.Win32.Cryakl : email-<...>.ver-<...>.id-<...>.randomname-<...>.<extension_aléatoire>
- Trojan-Ransom.Win32.Maze: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
- Trojan-Ransom.Win32.Sekhmet: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
- Trojan-Ransom.Win32.Egregor: <nom_du_fichier>.<extension_originale>.<extension_aléatoire>
Si le fichier est chiffré par Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet ou Trojan-Ransom.Win32.Egregor, l'utilitaire vous invitera à spécifier le fichier avec les reclamations créé par le programme malveillant. Sans ce fichier il est impossible de déchiffrer les fichiers. Les noms possibles de ce fichier sont DECRYPT-FILES.txt, RECOVER-FILES.txt et DECRYPT-FILES.html.
Version du programme malveillant |
Adresse email des personnes malveillantes |
CL 1.0.0.0
|
cryptolocker@aol.com
iizomer@aol.com
seven_Legion2@aol.com
oduvansh@aol.com
ivanivanov34@aol.com
trojanencoder@aol.com
load180@aol.com
moshiax@aol.com
vpupkin3@aol.com
watnik91@aol.com
|
CL 1.0.0.0.u
|
cryptolocker@aol.com_graf1
cryptolocker@aol.com_mod
byaki_buki@aol.com_mod2
|
CL 1.2.0.0
|
oduvansh@aol.com
cryptolocker@aol.com
|
CL 1.3.0.0
|
cryptolocker@aol.com
|
CL 1.3.1.0
|
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com
|
Pour en savoir plus les technologies de protection contre les programmes malveillants, y compris les ransomwares, sur la page de TechnoWiki (en anglais).