Herramienta Kaspersky RakhniDecryptor para protegerse contra el ransowmare Trojan‑Ransom.Win32.Rakhni
Última actualización: 11 de marzo de 2022
ID: 10556
¿Desea evitar infecciones? Instalar Kaspersky Internet Security
Además de la protección antivirus, Kaspersky Internet Security protege las conexiones de redes, las cámaras web, los pagos en línea y también a los niños de información no deseada. Tiene la capacidad de bloquear banners publicitarios, evitar la recopilación de datos, buscar e instalar actualizaciones, y eliminar aplicaciones que no se usan.
Utilice la herramienta Kaspersky RakhniDecryptor si sus archivos fueron cifrados por una de las siguientes aplicaciones:
- Trojan-Ransom.Win32.Ragnarok;
- Trojan-Ransom.Win32.Fonix;
- Trojan-Ransom.Win32.Rakhni;
- Trojan-Ransom.Win32.Agent.iih;
- Trojan-Ransom.Win32.Autoit;
- Trojan-Ransom.Win32.Aura;
- Trojan-Ransom.AndroidOS.Pletor;
- Trojan-Ransom.Win32.Rotor;
- Trojan-Ransom.Win32.Lamer;
- Trojan-Ransom.Win32.Cryptokluchen;
- Trojan-Ransom.Win32.Democry;
- Trojan-Ransom.Win32.GandCrypt versiones 4 и 5;1
- Trojan-Ransom.Win32.Bitman versiones 3 y 4;
- Trojan-Ransom.Win32.Libra;
- Trojan-Ransom.MSIL.Lobzik;
- Trojan-Ransom.MSIL.Lortok;
- Trojan-Ransom.MSIL.Yatron;
- Trojan-Ransom.Win32.Chimera;
- Trojan-Ransom.Win32.CryFile;
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt);
- Trojan-Ransom.Win32.Nemchig;
- Trojan-Ransom.Win32.Mircop;
- Trojan-Ransom.Win32.Mor;
- Trojan-Ransom.Win32.Crusis (Dharma);
- Trojan-Ransom.Win32.AecHu;
- Trojan-Ransom.Win32.Jaff;
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
Cómo saber si Kaspersky RakhniDecryptor descifrará el archivo
La herramienta RakhniDecryptor.zip descifra archivos cuya extensión haya cambiado según las siguientes pautas:
- Trojan-Ransom.Win32.Ragnarok:
- <nombre_del_archivo>.<ID>.thor
- <nombre_del_archivo>.<ID>.odin
- <nombre_del_archivo>.<ID>.hela
Para el descifrado, la utilidad solicita el archivo !!Read_Me.<ID>.html.
- Trojan-Ransom.Win32.Fonix:
- <nombre_del_archivo>.<extensión_original>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <nombre_del_archivo>.<extensión_original>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <nombre_del_archivo>.<extensión_original>.<locked>
- <nombre_del_archivo>.<extensión_original>.<kraken>
- <nombre_del_archivo>.<extensión_original>.<darkness>
- <nombre_del_archivo>.<extensión_original>.<oshit>
- <nombre_del_archivo>.<extensión_original>.<nochance>
- <nombre_del_archivo>.<extensión_original>.<oplata@qq_com>
- <nombre_del_archivo>.<extensión_original>.<relock@qq_com>
- <nombre_del_archivo>.<extensión_original>.<crypto>
- <nombre_del_archivo>.<extensión_original>.<helpdecrypt@ukr.net>
- <nombre_del_archivo>.<extensión_original>.p***a@qq_com
- <nombre_del_archivo>.<extensión_original>.<dyatel@qq_com>
- <nombre_del_archivo>.<extensión_original>.<nalog@qq_com>
- <nombre_del_archivo>.<extensión_original>.<chifrator@gmail_com>
- <nombre_del_archivo>.<extensión_original>.<gruzin@qq_com>
- <nombre_del_archivo>.<extensión_original>.<troyancoder@gmail_com>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id373>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id371>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id372>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id374>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id375>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id376>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id392>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id357>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id356>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id358>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id359>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id360>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id20>
Trojan-Ransom.Win32.Rakhni crea el archivo exit.hhr.oshit que contiene la contraseña encriptada de los archivos del usuario. Si este archivo se guardado en el equipo encriptado, los archivos se descifrarán mucho más pronto. Si el archivo exit.hhr.oshit se ha eliminado, es posible recuperarlo a través de aplicaciones de recuperación. Luego se debe desplazarlo a %APPDATA% y volver a ejecutar el análisis por la herramienta. El archivo exit.hhr.oshit se ubica en: C:\Users<nombre_del_usuario>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <nombre_del_usuario>.<extensión_original>_crypt.
- Trojan-Ransom.Win32.Autoit: <nombre_del_usuario>.<extensión_original>.<_crypt@india.com_.letras>.
- Trojan-Ransom.MSIL.Lortok:
- <nombre_del_archivo>.<extensión_original>.<cry>
- <nombre_del_archivo>.<extensión_original>.<AES256>
- Trojan-Ransom.AndroidOS.Pletor: <nombre_del_archivo>.<extensión_original>.enc
- Trojan-Ransom.Win32.Agent.iih: <nombre_del_archivo>.<extensión_original>+<hb15>
- Trojan-Ransom.Win32.CryFile: <nombre_del_archivo>.<extensión_original>.encrypted
- Trojan-Ransom.Win32.Democry:
- <nombre_del_archivo>.<extensión_original>+<._fecha-hora_$correo@dominio$.777>
- <nombre_del_archivo>.<extensión_original>+<._fecha-hora_$correo@dominio$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- versión 4: <nombre_del_archivo>.<extensión_original>.KRAB
- versión 5: <nombre_del_archivo>.<extensión_original>.<cadena_de_caracteres_aleatoria>
- Trojan-Ransom.Win32.Bitman versión 3:
- <nombre_del_archivo>.<xxx>
- <nombre_del_archivo>.<ttt>
- <nombre_del_archivo>.<micro>
- <nombre_del_archivo>.<mp3>
- Trojan-Ransom.Win32.Bitman versión 4: <nombre_del_archivo>.<extensión_original> (el nombre y la extensión del archivo no se modifican)
- Trojan-Ransom.Win32.Libra:
- <nombre_del_archivo>.encrypted
- <nombre_del_archivo>.locked
- <nombre_del_archivo>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <nombre_del_archivo>.fun
- <nombre_del_archivo>.gws
- <nombre_del_archivo>.btc
- <nombre_del_archivo>.AFD
- <nombre_del_archivo>.porno
- <nombre_del_archivo>.pornoransom
- <nombre_del_archivo>.epic
- <nombre_del_archivo>.encrypted
- <nombre_del_archivo>.J
- <nombre_del_archivo>.payransom
- <nombre_del_archivo>.paybtcs
- <nombre_del_archivo>.paymds
- <nombre_del_archivo>.paymrss
- <nombre_del_archivo>.paymrts
- <nombre_del_archivo>.paymst
- <nombre_del_archivo>.paymts
- <nombre_del_archivo>.gefickt
- <nombre_del_archivo>.uk-dealer@sigaint.org
- Trojan-Ransom.Win32.Mircop: <Lock>.<nombre_del_archivo>.<extensión_original>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <nombre_del_archivo>.ID<…>.<mail>@<server>.<domain>.xtbl
- <nombre_del_archivo>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.xtbl
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.wallet
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.onion
- <nombre_del_archivo>.<mail>@<server>.<domain>.wallet
- <nombre_del_archivo>.<mail>@<server>.<domain>.dhrama
- <nombre_del_archivo>.<mail>@<server>.<domain>.onion
-
Ejemplos de correos electrónicos maliciosos:
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
- Trojan-Ransom.Win32.Nemchig: <nombre_del_archivo>.<extensión_original>.safefiles32@mail.ru
- Trojan-Ransom.Win32.Lamer:
- <nombre_del_archivo>.<extensión_original>.bloked
- <nombre_del_archivo>.<extensión_original>.cripaaaa
- <nombre_del_archivo>.<extensión_original>.smit
- <nombre_del_archivo>.<extensión_original>.fajlovnet
- <nombre_del_archivo>.<extensión_original>.filesfucked
- <nombre_del_archivo>.<extensión_original>.criptx
- <nombre_del_archivo>.<extensión_original>.gopaymeb
- <nombre_del_archivo>.<extensión_original>.cripted
- <nombre_del_archivo>.<extensión_original>.bnmntftfmn
- <nombre_del_archivo>.<extensión_original>.criptiks
- <nombre_del_archivo>.<extensión_original>.cripttt
- <nombre_del_archivo>.<extensión_original>.hithere
- <nombre_del_archivo>.<extensión_original>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <nombre_del_archivo>.<extensión_original>.AMBA
- <nombre_del_archivo>.<extensión_original>.PLAGUE17
- <nombre_del_archivo>.<extensión_original>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <nombre_del_archivo>.<extensión_original>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nombre_del_archivo>.<extensión_original>..-.CRYPTSb@GMAIL.COM.roto
- <nombre_del_archivo>.<extensión_original>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nombre_del_archivo>.<extensión_original>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nombre_del_archivo>.<extensión_original>.!___prosschiff@gmail.com_.crypt
- <nombre_del_archivo>.<extensión_original>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nombre_del_archivo>.<extensión_original>.!_________pkigxdaq@bk.ru_______.crypt
- <nombre_del_archivo>.<extensión_original>.!____moskali1993@mail.ru___.crypt
- <nombre_del_archivo>.<extensión_original>.!==helpsend369@gmail.com==.crypt
- <nombre_del_archivo>.<extensión_original>.!-==kronstar21@gmail.com=--.crypt
Si el archivo está cifrado con la extensión CRYPT, el descifrado puede tardar mucho. Por ejemplo, la búsqueda de contraseña en un equipo con el procesador Intel Core i5-2400 puede tardar acerca de 120 días.
- Trojan-Ransom.Win32.Chimera:
- <nombre_del_archivo>.<extensión_original>.crypt
- <nombre_del_archivo>.<extensión_original>.4 caracteres aleatorios
- Trojan-Ransom.Win32.AecHu:
- <nombre_del_archivo>.aes256
- <nombre_del_archivo>.aes_ni
- <nombre_del_archivo>.aes_ni_gov
- <nombre_del_archivo>.aes_ni_0day
- <nombre_del_archivo>.lock
- <nombre_del_archivo>.decrypr_helper@freemail_hu
- <nombre_del_archivo>.decrypr_helper@india.com
- <nombre_del_archivo>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <nombre_del_archivo>.jaff
- <nombre_del_archivo>.wlu
- <nombre_del_archivo>.sVn
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<random_extension>
- Trojan-Ransom.Win32.Maze: <file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Sekhmet: <file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Egregor: <file_name>.<original_file_extension>.<random_extension>
Si el archivo se ha cifrado con Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet o Trojan-Ransom.Win32.Egregor, la utilidad solicitará el archivo con las reclamaciones de ransomware. Sin este archivo, es imposible descifrar. Este archivo puede llamarse DECRYPT-FILES.txt, RECOVER-FILES.txt o DECRYPT-FILES.html.
| Versión de aplicación maliciosa | Dirección del correo electrónico de malintencionados |
|---|---|
|
CL 1.0.0.0 |
cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com |
|
CL 1.0.0.0.u |
cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2 |
|
CL 1.2.0.0 |
oduvansh@aol.com cryptolocker@aol.com |
|
CL 1.3.0.0 |
cryptolocker@aol.com |
|
CL 1.3.1.0 |
byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com |
Para más información sobre las tecnologías que utiliza Kaspersky Lab para combatir malware (ransomware incluido), consulte esta página.
Cómo descifrar archivos con la herramienta Kaspersky RakhniDecryptor
- Descargue el archivo comprimido RakhniDecryptor.zip y descomprímalo. Para saber cómo hacerlo, consulte este artículo.
- Vaya a la carpeta con los archivos descomprimidos.
- Ejecute el archivo RakhniDecryptor.exe.
- Lea atentamente el Acuerdo de licencia y haga clic en Aceptar (Accept) si está de acuerdo con todos los términos.
- Haga clic en el enlace Cambiar parámetros (Change parameters).
- Seleccione los objetos que analiza: discos duros, discos extraíbles o discos de red.
- Establezca la casilla Delete crypted files after decryption. En este caso, la herramienta va a eliminar copias de archivos cifrados con extensiones LOCKED, KRAKEN, DARKNESS, etc.
- Haga clic en OK.
- Haga clic en Start scan.
- Seleccione un archivo cifrado y haga clic en Abrir (Open).
- Lea la advertencia y haga clic en ОК.
Los archivos se descifrarán.
El archivo puede ser cifrado con la extensión CRYPT más que una vez. Por ejemplo, el archivo test.doc fue cifrado dos veces, la primera capa la herramienta RakhniDecryptor la descifra descifra en el archivo test.1.doc.layerDecryptedKLR. En el informe sobre los resultados del descifrado aparecerá la nota: «Decryption success: disco:\ruta\test.doc_crypt → disco:\ruta\test.1.doc.layerDecryptedKLR». Es necesario descifrar este archivo una vez más a través de la misma herramienta. Si el descifrado se lleva a cabo correctamente, el archivo se guardará con el nombre original test.doc.
Parámetros para ejecutar la herramienta desde la línea de comandos
Para hacer más cómodo y acelerar el proceso de descifrado de archivos, Kaspersky RakhniDecryptor soporta los siguientes parámetros de la línea de comandos.
| Nombre del comando | Valor | Ejemplo |
|---|---|---|
| –threads | Ejecución de la utilidad en busca de la contraseña pertinente por 6 hilos. Si el número de hilos no está especificado, corresponderá a la cantidad de núcleos del procesador del equipo. | RakhniDecryptor.exe –threads 6 |
| –start <número> –end <número> | Reanudación de la búsqueda de contraseña desde cierto punto. Número mínimo: 0. Suspensión de la búsqueda en cierto punto. Número máximo: 1.000.000. Buscar la contraseña en el intervalo entre dos puntos. | RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <nombre del archivo con su ruta completa> | La ruta al archivo en que debe estar el informe sobre el funcionamiento de la herramienta. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| -h | Demostración del informe sobre los parámetros disponibles de la línea de comandos | RakhniDecryptor.exe -h |
Qué hacer si un archivo sospechoso apareció en el equipo
Si ha detectado un archivo sospechoso que puede infectar el equipo o cifrar archivos, envíe el archivo para un análisis al correo electrónico newvirus@kaspersky.com. Para ello, comprima el archivo sospechoso en un archivo ZIP o RAR. Si no sabe cómo hacerlo, consulte este artículo.
Qué hacer si la herramienta no ha sido de ayuda
Si el problema persiste, comuníquese con el servicio de soporte técnico de Kaspersky. Para eso, debe seleccionar un tema y completar el formulario.
