La herramienta RakhniDecryptor.zip descifra archivos cuya extensión haya cambiado según las siguientes pautas:

• Trojan-Ransom.Win32.Fonix:
  • <nombre_del_archivo>.<extensión_original>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
  • <nombre_del_archivo>.<extensión_original>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
• Trojan-Ransom.Win32.Rakhni:
  • <nombre_del_archivo>.<extensión_original>.<locked>
  • <nombre_del_archivo>.<extensión_original>.<kraken>
  • <nombre_del_archivo>.<extensión_original>.<darkness>
  • <nombre_del_archivo>.<extensión_original>.<oshit>
  • <nombre_del_archivo>.<extensión_original>.<nochance>
  • <nombre_del_archivo>.<extensión_original>.<oplata@qq_com>
  • <nombre_del_archivo>.<extensión_original>.<relock@qq_com>
  • <nombre_del_archivo>.<extensión_original>.<crypto>
  • <nombre_del_archivo>.<extensión_original>.<helpdecrypt@ukr.net>
  • <nombre_del_archivo>.<extensión_original>.p***a@qq_com
  • <nombre_del_archivo>.<extensión_original>.<dyatel@qq_com>
  • <nombre_del_archivo>.<extensión_original>.<nalog@qq_com>
  • <nombre_del_archivo>.<extensión_original>.<chifrator@gmail_com>
  • <nombre_del_archivo>.<extensión_original>.<gruzin@qq_com>
  • <nombre_del_archivo>.<extensión_original>.<troyancoder@gmail_com>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id373>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id371>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id372>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id374>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id375>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id376>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id392>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id357>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id356>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id358>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id359>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id360>
  • <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id20>

• Trojan-Ransom.Win32.Mor: <nombre_del_usuario>.<extensión_original>_crypt.
• Trojan-Ransom.Win32.Autoit: <nombre_del_usuario>.<extensión_original>.<_crypt@india.com_.letras>.
• Trojan-Ransom.MSIL.Lortok:
  • <nombre_del_archivo>.<extensión_original>.<cry>
  • <nombre_del_archivo>.<extensión_original>.<AES256>
• Trojan-Ransom.AndroidOS.Pletor: <nombre_del_archivo>.<extensión_original>.enc
• Trojan-Ransom.Win32.Agent.iih: <nombre_del_archivo>.<extensión_original>+<hb15>
• Trojan-Ransom.Win32.CryFile: <nombre_del_archivo>.<extensión_original>.encrypted
• Trojan-Ransom.Win32.Democry:
  • <nombre_del_archivo>.<extensión_original>+<._fecha-hora_$correo@dominio$.777>
  • <nombre_del_archivo>.<extensión_original>+<._fecha-hora_$correo@dominio$.legion>
• Trojan-Ransom.Win32.GandCrypt:
  • versión 4: <nombre_del_archivo>.<extensión_original>.KRAB
  • versión 5: <nombre_del_archivo>.<extensión_original>.<cadena_de_caracteres_aleatoria>
• Trojan-Ransom.Win32.Bitman versión 3:
  • <nombre_del_archivo>.<xxx>
  • <nombre_del_archivo>.<ttt>
  • <nombre_del_archivo>.<micro>
  • <nombre_del_archivo>.<mp3>
• Trojan-Ransom.Win32.Bitman versión 4: <nombre_del_archivo>.<extensión_original> (el nombre y la extensión del archivo no se modifican)
• Trojan-Ransom.Win32.Libra:
  • <nombre_del_archivo>.encrypted
  • <nombre_del_archivo>.locked
  • <nombre_del_archivo>.SecureCrypted
• Trojan-Ransom.MSIL.Lobzik:
  • <nombre_del_archivo>.fun
  • <nombre_del_archivo>.gws
  • <nombre_del_archivo>.btc
  • <nombre_del_archivo>.AFD
  • <nombre_del_archivo>.porno
  • <nombre_del_archivo>.pornoransom
  • <nombre_del_archivo>.epic
  • <nombre_del_archivo>.encrypted
  • <nombre_del_archivo>.J
  • <nombre_del_archivo>.payransom
  • <nombre_del_archivo>.paybtcs
  • <nombre_del_archivo>.paymds
  • <nombre_del_archivo>.paymrss
  • <nombre_del_archivo>.paymrts
  • <nombre_del_archivo>.paymst
  • <nombre_del_archivo>.paymts
  • <nombre_del_archivo>.gefickt
  • <nombre_del_archivo>.uk-dealer@sigaint.org
• Trojan-Ransom.Win32.Mircop: <Lock>.<nombre_del_archivo>.<extensión_original>
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <nombre_del_archivo>.ID<…>.<mail>@<server>.<domain>.xtbl
  • <nombre_del_archivo>.ID<…>.<mail>@<server>.<domain>.CrySiS
  • <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.xtbl
  • <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.wallet
  • <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.dhrama
  • <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.onion
  • <nombre_del_archivo>.<mail>@<server>.<domain>.wallet
  • <nombre_del_archivo>.<mail>@<server>.<domain>.dhrama
  • <nombre_del_archivo>.<mail>@<server>.<domain>.onion

• Ejemplos de correos electrónicos maliciosos:

  • webmafia@asia.com
  • braker@plague.life
  • crannbest@foxmail.com
  • amagnus@india.com
  • stopper@india.com
  • bitcoin143@india.com
  • worm01@india.com
  • funa@india.com
  • pay4help@india.com
  • lavandos@dr.com
  • mkgoro@india.com
• Trojan-Ransom.Win32.Nemchig: <nombre_del_archivo>.<extensión_original>.safefiles32@mail.ru
• Trojan-Ransom.Win32.Lamer:
  • <nombre_del_archivo>.<extensión_original>.bloked
  • <nombre_del_archivo>.<extensión_original>.cripaaaa
  • <nombre_del_archivo>.<extensión_original>.smit
  • <nombre_del_archivo>.<extensión_original>.fajlovnet
  • <nombre_del_archivo>.<extensión_original>.filesfucked
  • <nombre_del_archivo>.<extensión_original>.criptx
  • <nombre_del_archivo>.<extensión_original>.gopaymeb
  • <nombre_del_archivo>.<extensión_original>.cripted
  • <nombre_del_archivo>.<extensión_original>.bnmntftfmn
  • <nombre_del_archivo>.<extensión_original>.criptiks
  • <nombre_del_archivo>.<extensión_original>.cripttt
  • <nombre_del_archivo>.<extensión_original>.hithere
  • <nombre_del_archivo>.<extensión_original>.aga
• Trojan-Ransom.Win32.Cryptokluchen:
  • <nombre_del_archivo>.<extensión_original>.AMBA
  • <nombre_del_archivo>.<extensión_original>.PLAGUE17
  • <nombre_del_archivo>.<extensión_original>.ktldll
• Trojan-Ransom.Win32.Rotor:
  • <nombre_del_archivo>.<extensión_original>..-.DIRECTORAT1C@GMAIL.COM.roto
  • <nombre_del_archivo>.<extensión_original>..-.CRYPTSb@GMAIL.COM.roto
  • <nombre_del_archivo>.<extensión_original>..-.DIRECTORAT1C8@GMAIL.COM.roto
  • <nombre_del_archivo>.<extensión_original>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
  • <nombre_del_archivo>.<extensión_original>.!___prosschiff@gmail.com_.crypt
  • <nombre_del_archivo>.<extensión_original>.!_______GASWAGEN123@GMAIL.COM____.crypt
  • <nombre_del_archivo>.<extensión_original>.!_________pkigxdaq@bk.ru_______.crypt
  • <nombre_del_archivo>.<extensión_original>.!____moskali1993@mail.ru___.crypt
  • <nombre_del_archivo>.<extensión_original>.!==helpsend369@gmail.com==.crypt
  • <nombre_del_archivo>.<extensión_original>.!-==kronstar21@gmail.com=--.crypt

• Trojan-Ransom.Win32.Chimera:
  • <nombre_del_archivo>.<extensión_original>.crypt
  • <nombre_del_archivo>.<extensión_original>.4 caracteres aleatorios
• Trojan-Ransom.Win32.AecHu:
  • <nombre_del_archivo>.aes256
  • <nombre_del_archivo>.aes_ni
  • <nombre_del_archivo>.aes_ni_gov
  • <nombre_del_archivo>.aes_ni_0day
  • <nombre_del_archivo>.lock
  • <nombre_del_archivo>.decrypr_helper@freemail_hu
  • <nombre_del_archivo>.decrypr_helper@india.com
  • <nombre_del_archivo>.~xdata
• Trojan-Ransom.Win32.Jaff:
  • <nombre_del_archivo>.jaff
  • <nombre_del_archivo>.wlu
  • <nombre_del_archivo>.sVn

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<extensión_aleatoria>

• Versión de aplicación maliciosa	Dirección del correo electrónico de malintencionados
  CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
  CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
  CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
  CL 1.3.0.0	cryptolocker@aol.com
  CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Para más información sobre las tecnologías que utiliza Kaspersky Lab para combatir malware (ransomware incluido), consulte esta página.

1. Descargue el archivo comprimido RakhniDecryptor.zip y descomprímalo. Para saber cómo hacerlo, consulte este artículo.
2. Vaya a la carpeta con los archivos descomprimidos.
3. Ejecute el archivo RakhniDecryptor.exe.
4. Haga clic en Change parameters.

5. Seleccione los objetos que analiza: discos duros, discos extraíbles o discos de red.
6. Establezca la casilla Delete crypted files after decryption. En este caso, la herramienta va a eliminar copias de archivos cifrados con extensiones LOCKED, KRAKEN, DARKNESS, etc.
7. Haga clic en OK.

8. Haga clic en Start scan.

9. Seleccione un archivo cifrado y haga clic en Abrir.

10. Lea la advertencia y haga clic en ОК.

Los archivos se descifrarán.

El archivo puede ser cifrado con la extensión CRYPT más que una vez. Por ejemplo, el archivo test.doc fue cifrado dos veces, la primera capa la herramienta RakhniDecryptor la descifra descifra en el archivo test.1.doc.layerDecryptedKLR. En el informe sobre los resultados del descifrado aparecerá la nota: «Decryption success: disco:\ruta\test.doc_crypt → disco:\ruta\test.1.doc.layerDecryptedKLR». Es necesario descifrar este archivo una vez más a través de la misma herramienta. Si el descifrado se lleva a cabo correctamente, el archivo se guardará con el nombre original test.doc.

Para hacer más cómodo y acelerar el proceso de descifrado de archivos, Kaspersky RakhniDecryptor soporta los siguientes parámetros de la línea de comandos.

Si ha detectado un archivo sospechoso que puede infectar el equipo o cifrar archivos, envíe el archivo para un análisis al correo electrónico newvirus@kaspersky.com. Para ello, comprima el archivo sospechoso en un archivo ZIP o RAR. Si no sabe cómo hacerlo, consulte este artículo.

Si el problema persiste, comuníquese con el servicio de soporte técnico de Kaspersky. Para eso, debe seleccionar un tema y completar el formulario.