Para todos los productos: Compatibilidad software

Para todos los productos: Compra y licencia

Para todos los productos: Antes de instalar

Para todos los productos: Primeros pasos

Para todos los productos: Configuración

Para todos los productos: Desinstalación

Para todos los productos: Errores

Para todos los productos: Pago Seguro

Para todos los productos: Diagnóstico e informes

Para todos los productos: Sobre My Kaspersky

Para todos los productos: Windows

Para todos los productos: macOS

Para todos los productos: Para dispositivos móviles

Para todos los productos: Safety 101

Herramienta Kaspersky RakhniDecryptor para protegerse contra el ransowmare Trojan‑Ransom.Win32.Rakhni

Volver a la sección "Safety 101"

Última actualización: 11 de marzo de 2022 ID: 10556

¿Desea evitar infecciones? Instalar Kaspersky Internet Security

Además de la protección antivirus, Kaspersky Internet Security protege las conexiones de redes, las cámaras web, los pagos en línea y también a los niños de información no deseada. Tiene la capacidad de bloquear banners publicitarios, evitar la recopilación de datos, buscar e instalar actualizaciones, y eliminar aplicaciones que no se usan.

Comprar otras aplicaciones de Kaspersky

Comprar

Utilice la herramienta Kaspersky RakhniDecryptor si sus archivos fueron cifrados por una de las siguientes aplicaciones:

Trojan-Ransom.Win32.Ragnarok;
Trojan-Ransom.Win32.Fonix;
Trojan-Ransom.Win32.Rakhni;
Trojan-Ransom.Win32.Agent.iih;
Trojan-Ransom.Win32.Autoit;
Trojan-Ransom.Win32.Aura;
Trojan-Ransom.AndroidOS.Pletor;
Trojan-Ransom.Win32.Rotor;
Trojan-Ransom.Win32.Lamer;
Trojan-Ransom.Win32.Cryptokluchen;
Trojan-Ransom.Win32.Democry;
Trojan-Ransom.Win32.GandCrypt versiones 4 и 5;1
Trojan-Ransom.Win32.Bitman versiones 3 y 4;
Trojan-Ransom.Win32.Libra;
Trojan-Ransom.MSIL.Lobzik;
Trojan-Ransom.MSIL.Lortok;
Trojan-Ransom.MSIL.Yatron;
Trojan-Ransom.Win32.Chimera;
Trojan-Ransom.Win32.CryFile;
Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt);
Trojan-Ransom.Win32.Nemchig;
Trojan-Ransom.Win32.Mircop;
Trojan-Ransom.Win32.Mor;
Trojan-Ransom.Win32.Crusis (Dharma);
Trojan-Ransom.Win32.AecHu;
Trojan-Ransom.Win32.Jaff;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u;
Trojan-Ransom.Win32.Cryakl CL 1.2.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.0.0;
Trojan-Ransom.Win32.Cryakl CL 1.3.1.0.
Trojan-Ransom.Win32.Maze
Trojan-Ransom.Win32.Sekhmet
Trojan-Ransom.Win32.Egregor

Cómo saber si Kaspersky RakhniDecryptor descifrará el archivo

La herramienta RakhniDecryptor.zip descifra archivos cuya extensión haya cambiado según las siguientes pautas:

Trojan-Ransom.Win32.Ragnarok:
- <nombre_del_archivo>.<ID>.thor
- <nombre_del_archivo>.<ID>.odin
- <nombre_del_archivo>.<ID>.hela
Para el descifrado, la utilidad solicita el archivo !!Read_Me.<ID>.html.
Trojan-Ransom.Win32.Fonix:
- <nombre_del_archivo>.<extensión_original>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <nombre_del_archivo>.<extensión_original>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
Trojan-Ransom.Win32.Rakhni:
- <nombre_del_archivo>.<extensión_original>.<locked>
- <nombre_del_archivo>.<extensión_original>.<kraken>
- <nombre_del_archivo>.<extensión_original>.<darkness>
- <nombre_del_archivo>.<extensión_original>.<oshit>
- <nombre_del_archivo>.<extensión_original>.<nochance>
- <nombre_del_archivo>.<extensión_original>.<oplata@qq_com>
- <nombre_del_archivo>.<extensión_original>.<relock@qq_com>
- <nombre_del_archivo>.<extensión_original>.<crypto>
- <nombre_del_archivo>.<extensión_original>.<helpdecrypt@ukr.net>
- <nombre_del_archivo>.<extensión_original>.p***a@qq_com
- <nombre_del_archivo>.<extensión_original>.<dyatel@qq_com>
- <nombre_del_archivo>.<extensión_original>.<nalog@qq_com>
- <nombre_del_archivo>.<extensión_original>.<chifrator@gmail_com>
- <nombre_del_archivo>.<extensión_original>.<gruzin@qq_com>
- <nombre_del_archivo>.<extensión_original>.<troyancoder@gmail_com>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id373>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id371>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id372>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id374>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id375>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id376>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id392>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id357>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id356>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id358>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id359>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id360>
- <nombre_del_archivo>.<extensión_original>.<coderksu@gmail_com_id20>

Trojan-Ransom.Win32.Rakhni crea el archivo exit.hhr.oshit que contiene la contraseña encriptada de los archivos del usuario. Si este archivo se guardado en el equipo encriptado, los archivos se descifrarán mucho más pronto. Si el archivo exit.hhr.oshit se ha eliminado, es posible recuperarlo a través de aplicaciones de recuperación. Luego se debe desplazarlo a %APPDATA% y volver a ejecutar el análisis por la herramienta. El archivo exit.hhr.oshit se ubica en: C:\Users<nombre_del_usuario>\AppData\Roaming

Trojan-Ransom.Win32.Mor: <nombre_del_usuario>.<extensión_original>_crypt.
Trojan-Ransom.Win32.Autoit: <nombre_del_usuario>.<extensión_original>.<_crypt@india.com_.letras>.
Trojan-Ransom.MSIL.Lortok:
- <nombre_del_archivo>.<extensión_original>.<cry>
- <nombre_del_archivo>.<extensión_original>.<AES256>
Trojan-Ransom.AndroidOS.Pletor: <nombre_del_archivo>.<extensión_original>.enc
Trojan-Ransom.Win32.Agent.iih: <nombre_del_archivo>.<extensión_original>+<hb15>
Trojan-Ransom.Win32.CryFile: <nombre_del_archivo>.<extensión_original>.encrypted
Trojan-Ransom.Win32.Democry:
- <nombre_del_archivo>.<extensión_original>+<._fecha-hora_$correo@dominio$.777>
- <nombre_del_archivo>.<extensión_original>+<._fecha-hora_$correo@dominio$.legion>
Trojan-Ransom.Win32.GandCrypt:
- versión 4: <nombre_del_archivo>.<extensión_original>.KRAB
- versión 5: <nombre_del_archivo>.<extensión_original>.<cadena_de_caracteres_aleatoria>
Trojan-Ransom.Win32.Bitman versión 3:
- <nombre_del_archivo>.<xxx>
- <nombre_del_archivo>.<ttt>
- <nombre_del_archivo>.<micro>
- <nombre_del_archivo>.<mp3>
Trojan-Ransom.Win32.Bitman versión 4: <nombre_del_archivo>.<extensión_original> (el nombre y la extensión del archivo no se modifican)
Trojan-Ransom.Win32.Libra:
- <nombre_del_archivo>.encrypted
- <nombre_del_archivo>.locked
- <nombre_del_archivo>.SecureCrypted
Trojan-Ransom.MSIL.Lobzik:
- <nombre_del_archivo>.fun
- <nombre_del_archivo>.gws
- <nombre_del_archivo>.btc
- <nombre_del_archivo>.AFD
- <nombre_del_archivo>.porno
- <nombre_del_archivo>.pornoransom
- <nombre_del_archivo>.epic
- <nombre_del_archivo>.encrypted
- <nombre_del_archivo>.J
- <nombre_del_archivo>.payransom
- <nombre_del_archivo>.paybtcs
- <nombre_del_archivo>.paymds
- <nombre_del_archivo>.paymrss
- <nombre_del_archivo>.paymrts
- <nombre_del_archivo>.paymst
- <nombre_del_archivo>.paymts
- <nombre_del_archivo>.gefickt
- <nombre_del_archivo>.uk-dealer@sigaint.org
Trojan-Ransom.Win32.Mircop: <Lock>.<nombre_del_archivo>.<extensión_original>
Trojan-Ransom.Win32.Crusis (Dharma):
- <nombre_del_archivo>.ID<…>.<mail>@<server>.<domain>.xtbl
- <nombre_del_archivo>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.xtbl
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.wallet
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.dhrama
- <nombre_del_archivo>.id-<…>.<mail>@<server>.<domain>.onion
- <nombre_del_archivo>.<mail>@<server>.<domain>.wallet
- <nombre_del_archivo>.<mail>@<server>.<domain>.dhrama
- <nombre_del_archivo>.<mail>@<server>.<domain>.onion
Ejemplos de correos electrónicos maliciosos:
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
Trojan-Ransom.Win32.Nemchig: <nombre_del_archivo>.<extensión_original>.safefiles32@mail.ru
Trojan-Ransom.Win32.Lamer:
- <nombre_del_archivo>.<extensión_original>.bloked
- <nombre_del_archivo>.<extensión_original>.cripaaaa
- <nombre_del_archivo>.<extensión_original>.smit
- <nombre_del_archivo>.<extensión_original>.fajlovnet
- <nombre_del_archivo>.<extensión_original>.filesfucked
- <nombre_del_archivo>.<extensión_original>.criptx
- <nombre_del_archivo>.<extensión_original>.gopaymeb
- <nombre_del_archivo>.<extensión_original>.cripted
- <nombre_del_archivo>.<extensión_original>.bnmntftfmn
- <nombre_del_archivo>.<extensión_original>.criptiks
- <nombre_del_archivo>.<extensión_original>.cripttt
- <nombre_del_archivo>.<extensión_original>.hithere
- <nombre_del_archivo>.<extensión_original>.aga
Trojan-Ransom.Win32.Cryptokluchen:
- <nombre_del_archivo>.<extensión_original>.AMBA
- <nombre_del_archivo>.<extensión_original>.PLAGUE17
- <nombre_del_archivo>.<extensión_original>.ktldll
Trojan-Ransom.Win32.Rotor:
- <nombre_del_archivo>.<extensión_original>..-.DIRECTORAT1C@GMAIL.COM.roto
- <nombre_del_archivo>.<extensión_original>..-.CRYPTSb@GMAIL.COM.roto
- <nombre_del_archivo>.<extensión_original>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <nombre_del_archivo>.<extensión_original>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <nombre_del_archivo>.<extensión_original>.!___prosschiff@gmail.com_.crypt
- <nombre_del_archivo>.<extensión_original>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <nombre_del_archivo>.<extensión_original>.!_________pkigxdaq@bk.ru_______.crypt
- <nombre_del_archivo>.<extensión_original>.!____moskali1993@mail.ru___.crypt
- <nombre_del_archivo>.<extensión_original>.!==helpsend369@gmail.com==.crypt
- <nombre_del_archivo>.<extensión_original>.!-==kronstar21@gmail.com=--.crypt

Si el archivo está cifrado con la extensión CRYPT, el descifrado puede tardar mucho. Por ejemplo, la búsqueda de contraseña en un equipo con el procesador Intel Core i5-2400 puede tardar acerca de 120 días.

Trojan-Ransom.Win32.Chimera:
- <nombre_del_archivo>.<extensión_original>.crypt
- <nombre_del_archivo>.<extensión_original>.4 caracteres aleatorios
Trojan-Ransom.Win32.AecHu:
- <nombre_del_archivo>.aes256
- <nombre_del_archivo>.aes_ni
- <nombre_del_archivo>.aes_ni_gov
- <nombre_del_archivo>.aes_ni_0day
- <nombre_del_archivo>.lock
- <nombre_del_archivo>.decrypr_helper@freemail_hu
- <nombre_del_archivo>.decrypr_helper@india.com
- <nombre_del_archivo>.~xdata
Trojan-Ransom.Win32.Jaff:
- <nombre_del_archivo>.jaff
- <nombre_del_archivo>.wlu
- <nombre_del_archivo>.sVn
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<random_extension>
Trojan-Ransom.Win32.Maze: <file_name>.<original_file_extension>.<random_extension>
Trojan-Ransom.Win32.Sekhmet: <file_name>.<original_file_extension>.<random_extension>
Trojan-Ransom.Win32.Egregor: <file_name>.<original_file_extension>.<random_extension>

Si el archivo se ha cifrado con Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet o Trojan-Ransom.Win32.Egregor, la utilidad solicitará el archivo con las reclamaciones de ransomware. Sin este archivo, es imposible descifrar. Este archivo puede llamarse DECRYPT-FILES.txt, RECOVER-FILES.txt o DECRYPT-FILES.html.

Versión de aplicación maliciosa	Dirección del correo electrónico de malintencionados
CL 1.0.0.0	cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com
CL 1.0.0.0.u	cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2
CL 1.2.0.0	oduvansh@aol.com cryptolocker@aol.com
CL 1.3.0.0	cryptolocker@aol.com
CL 1.3.1.0	byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com

Para más información sobre las tecnologías que utiliza Kaspersky Lab para combatir malware (ransomware incluido), consulte esta página.

Cómo descifrar archivos con la herramienta Kaspersky RakhniDecryptor

Parámetros para ejecutar la herramienta desde la línea de comandos

Para hacer más cómodo y acelerar el proceso de descifrado de archivos, Kaspersky RakhniDecryptor soporta los siguientes parámetros de la línea de comandos.

Nombre del comando	Valor	Ejemplo
–threads	Ejecución de la utilidad en busca de la contraseña pertinente por 6 hilos. Si el número de hilos no está especificado, corresponderá a la cantidad de núcleos del procesador del equipo.	RakhniDecryptor.exe –threads 6
–start <número> –end <número>	Reanudación de la búsqueda de contraseña desde cierto punto. Número mínimo: 0. Suspensión de la búsqueda en cierto punto. Número máximo: 1.000.000. Buscar la contraseña en el intervalo entre dos puntos.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000
-l <nombre del archivo con su ruta completa>	La ruta al archivo en que debe estar el informe sobre el funcionamiento de la herramienta.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Demostración del informe sobre los parámetros disponibles de la línea de comandos	RakhniDecryptor.exe -h

Qué hacer si un archivo sospechoso apareció en el equipo

Qué hacer si la herramienta no ha sido de ayuda

¿Le ha sido útil esta información?

Sí No

Volver a la sección "Safety 101"

Para todos los productos: Compatibilidad software

Para todos los productos: Compra y licencia

Para todos los productos: Antes de instalar

Para todos los productos: Primeros pasos

Para todos los productos: Configuración

Para todos los productos: Desinstalación

Para todos los productos: Errores

Para todos los productos: Pago Seguro

Para todos los productos: Diagnóstico e informes

Para todos los productos: Sobre My Kaspersky

Para todos los productos: Windows

Para todos los productos: macOS

Para todos los productos: Para dispositivos móviles

Para todos los productos: Safety 101

Herramienta Kaspersky RakhniDecryptor para protegerse contra el ransowmare Trojan‑Ransom.Win32.Rakhni

¿Desea evitar infecciones? Instalar Kaspersky Internet Security

Cómo saber si Kaspersky RakhniDecryptor descifrará el archivo

Cómo descifrar archivos con la herramienta Kaspersky RakhniDecryptor

Parámetros para ejecutar la herramienta desde la línea de comandos

Qué hacer si un archivo sospechoso apareció en el equipo

Qué hacer si la herramienta no ha sido de ayuda

¿Cómo podemos mejorar este artículo?

¡Gracias por su comentario!

Para todos los productos: Compatibilidad software

Para todos los productos: Compra y licencia

Para todos los productos: Antes de instalar

Para todos los productos: Primeros pasos

Para todos los productos: Configuración

Para todos los productos: Desinstalación

Para todos los productos: Errores

Para todos los productos: Pago Seguro

Para todos los productos: Diagnóstico e informes

Para todos los productos: Sobre My Kaspersky

Para todos los productos: Windows

Para todos los productos: macOS

Para todos los productos: Para dispositivos móviles

Para todos los productos: Safety 101

Herramienta Kaspersky RakhniDecryptor para protegerse contra el ransowmare Trojan‑Ransom.Win32.Rakhni

¿Desea evitar infecciones? Instalar Kaspersky Internet Security

Cómo saber si Kaspersky RakhniDecryptor descifrará el archivo

Cómo descifrar archivos con la herramienta Kaspersky RakhniDecryptor

Parámetros para ejecutar la herramienta desde la línea de comandos

Qué hacer si un archivo sospechoso apareció en el equipo

Qué hacer si la herramienta no ha sido de ayuda

Su comentario acerca del sitio

¡Gracias por su colaboración!

¿Cómo podemos mejorar este artículo?

¡Gracias por su comentario!