Utilitaire RannohDecryptor pour déchiffrer les fichiers après l'infection par Trojan-Ransom.Win32.Rannoh
Vous souhaitez éviter les infections ? Installez Kaspersky Internet Security.
Pour télécharger l'utilitaire gratuit Kaspersky RannohDecryptor qui permet de déchiffrer les fichiers après l'infection par Trojan-Ransom.Win32.Rannoh cliquez sur Télécharger.
L’utilitaire RannohDecryptor sert à déchiffrer les fichiers chiffrés par les ransomwares suivants :
- Trojan-Ransom.Win32.Rannoh,
- Trojan-Ransom.Win32.AutoIt,
- Trojan-Ransom.Win32.Cryakl,
- Trojan-Ransom.Win32.CryptXXX versions 1, 2 et 3,
- Trojan-Ransom.Win32.Crybola,
- Trojan-Ransom.Win32.Polyglot,
- Trojan-Ransom.Win32.Fury,
- Trojan-Ransom.Win32.Yanluowang.
En infectant le système, ces programmes malveillants modifient les noms et les extensions des fichiers selon le modèle suivant :
| Ransomware | Comment le fichier est modifié |
|---|---|
| Trojan-Ransom.Win32.Rannoh | Les noms et les extensions des fichiers sont modifiés selon le modèle suivant : locked-<nom_d'origine>.<4 caractères_aléatoires> |
| Trojan-Ransom.Win32.AutoIt | Les extensions des fichiers sont modifiés selon le modèle suivant : <nom_d'origine>@<domaine_de_messagerie>_.<caractères_aléatoires>. Par exemple, IMG_0987@india.com_.RZWDTDIC |
| Trojan-Ransom.Win32.Cryakl | L'étiquette {CRYPTENDBLACKDC} est ajoutée à la fin du contenu des fichiers. |
| Trojan-Ransom.Win32.CryptXXX | Les extensions des fichiers sont modifiées selon les modèles suivants :
|
| Trojan-Ransom.Win32.Crybola | Les extensions des fichiers sont modifiées selon le modèle suivant : <nom_d'origine>.ebola |
| Trojan-Ransom.Win32.Yanluowang | Les extensions des fichiers sont modifiées selon le modèle suivant : <nom_d'origine>.yanluowang |
Les autres ransomwares ne modifient pas les extensions des fichiers.
Si vous souhaitez déchiffrer les fichiers chiffrés par Trojan-Ransom.Win32.CryptXXX, veillez tenir compte de ce qui suit :
- Le nombre des formats des fichiers chiffrés par ce ransomware qui peuvent être réparés à l’aide de l’utilitaire est limité :
- 1cd, 7z, ai, avi, bz2, cab, cdr, cdw, cdx, cf, chm, dbf, djvu, doc, docm, docx, dt, dwg, epf, eps, erf, ert, fla, flac, flv, gif, gz, html, iso, jpeg, jpg, ldf, md, mdb, mdf, mov, mp3, mp4, mxl, nef, ods, odt, ogg, pdf, php, png, ppt, pptm, pptx, ps1, psd, pst, qbb, rar, rcf, rtf, sdf, sldasm, slddrw, tib, tif, tiff, vhd, vhdx, vsd, wav, xls, xlsm, xlsx, xlt, zip.
- La restauration de la clé de déchiffrement pour les fichiers chiffrés par Trojan-Ransom.Win32.CryptXXX version 2 peut prendre longtemps. Dans ce cas, l’utilitaire affiche un avertissement :
Comment réparer un système infecté
- Téléchargez le fichier RectorDecryptor.zip.
- Exécutez le fichier RannohDecryptor.exe sur l'ordinateur infecté.
- Prenez connaissance du contrat de licence. Cliquez sur Accept si vous en accepter toutes les conditions.
- Si vous souhaitez que l’utilitaire supprime automatiquement les fichiers chiffrés après leur déchiffrement :
- Cliquez sur le lien Change parameters dans la fenêtre pricnipale.
-
Cochez la case Delete crypted files after decryption.
- Dans la fenêtre de Kaspersky CoinVaultDecryptor cliquez sur Start scan.
- Spécifiez le chemin d'accès au fichier chiffré.
- Pour déchiffrer les fichiers chiffrés par certains chevaux de Troie l'utilitaire vous invitera à indiquer une copie non chiffrée du fichier. Vous pouvez essayer de récupérer une copie du fichier d’origine dans votre boîte de messagerie, sur un disque amovible ou dans stockage cloud. Cliquez sur Continue et spécifiez le chemin d’accès à une copie du fichier d’origine.
Si les fichiers ont été chiffrés par Trojan-Ransom.Win32.CryptXXX, spécifiez les fichiers de la plus grande taille. Dû à des particularités de ce ransomware, seuls les fichiers dont la taille est identique ou plus petite pourront être déchiffrés.
- Patientez jusqu'à ce que la recherche et le déchiffrement des fichiers cryptés soient terminés.
Les fichiers seront déchiffrés.
Si les fichiers ont été chiffrés par Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.Polyglot ou Trojan-Ransom.Win32.Fury, l'utilitaire enregistrera les fichiers dans leur emplacement d'origine avec l'extension .decryptedKLR.<extension_d'origine>. Si vous sélectionnez l'option Delete crypted files after decryption, les fichiers déchiffrés seront enregistrés avec leur ancien nom.
Si les fichiers ont été chiffrés pqr Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Cryakl, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.CryptXXX,Trojan-Ransom.Win32.Crybola ou Trojan-Ransom.Win32.Yanluowang, l'utilitaire enregistrera les fichiers dans leur emplacement d'origine avec leur ancien nom.
Par défaut, le rapport de l'utilitaire est enregistré dans la racine du disque sur lequel le système d'exploitation est installé. Le nom du rapport possède le format suivant : <Nom de l'utilitaire>.<Version>_<Date>_<Heure>_log.txt. Par exemple : C:\RannohDecryptor.1.8.0.1_01.12.2015_11.15.43_log.txt
Paramètres pour l’exécution de l'utilitaire en ligne de commande
| Paramètre | Description | Exemple |
|---|---|---|
| -l <nom du fichier> | Enregistrer le rapport de l’utilitaire dans un fichier. | RannohDecryptor.exe -l C:\Users\Administrator\Downloads\log.txt |
Que faire si l'utilitaire n'a pas aidé
Si l'utilitaire RannohDecryptor n'a pas aidé à déchiffrer les fichiers, téléchargez et lancez l'utilitaire XoristDecryptor ou RectorDecryptor.
Pour éviter les infections, installez l'application Kaspersky Internet Security.