La herramienta RakhniDecryptor.zip descifra archivos cuya extensión haya cambiado según las siguientes pautas:
Trojan-Ransom.Win32.Rakhni crea el archivo exit.hhr.oshit que contiene la contraseña encriptada de los archivos del usuario. Si este archivo se guardado en el equipo encriptado, los archivos se descifrarán mucho más pronto. Si el archivo exit.hhr.oshit se ha eliminado, es posible recuperarlo a través de aplicaciones de recuperación. Luego se debe desplazarlo a %APPDATA% y volver a ejecutar el análisis por la herramienta. El archivo exit.hhr.oshit se ubica en: C:\Users<nombre_del_usuario>\AppData\Roaming
Si el archivo está cifrado con la extensión CRYPT, el descifrado puede tardar mucho. Por ejemplo, la búsqueda de contraseña en un equipo con el procesador Intel Core i5-2400 puede tardar acerca de 120 días.
- Trojan-Ransom.Win32.Chimera:
- <nombre_del_archivo>.<extensión_original>.crypt
- <nombre_del_archivo>.<extensión_original>.4 caracteres aleatorios
- Trojan-Ransom.Win32.AecHu:
- <nombre_del_archivo>.aes256
- <nombre_del_archivo>.aes_ni
- <nombre_del_archivo>.aes_ni_gov
- <nombre_del_archivo>.aes_ni_0day
- <nombre_del_archivo>.lock
- <nombre_del_archivo>.decrypr_helper@freemail_hu
- <nombre_del_archivo>.decrypr_helper@india.com
- <nombre_del_archivo>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <nombre_del_archivo>.jaff
- <nombre_del_archivo>.wlu
- <nombre_del_archivo>.sVn
- Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<random_extension>
- Trojan-Ransom.Win32.Maze: <file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Sekhmet: <file_name>.<original_file_extension>.<random_extension>
- Trojan-Ransom.Win32.Egregor: <file_name>.<original_file_extension>.<random_extension>
Si el archivo se ha cifrado con Trojan-Ransom.Win32.Maze, Trojan-Ransom.Win32.Sekhmet o Trojan-Ransom.Win32.Egregor, la utilidad solicitará el archivo con las reclamaciones de ransomware. Sin este archivo, es imposible descifrar. Este archivo puede llamarse DECRYPT-FILES.txt, RECOVER-FILES.txt o DECRYPT-FILES.html.
Versión de aplicación maliciosa |
Dirección del correo electrónico de malintencionados |
CL 1.0.0.0
|
cryptolocker@aol.com
iizomer@aol.com
seven_Legion2@aol.com
oduvansh@aol.com
ivanivanov34@aol.com
trojanencoder@aol.com
load180@aol.com
moshiax@aol.com
vpupkin3@aol.com
watnik91@aol.com
|
CL 1.0.0.0.u
|
cryptolocker@aol.com_graf1
cryptolocker@aol.com_mod
byaki_buki@aol.com_mod2
|
CL 1.2.0.0
|
oduvansh@aol.com
cryptolocker@aol.com
|
CL 1.3.0.0
|
cryptolocker@aol.com
|
CL 1.3.1.0
|
byaki_buki@aol.com
byaki_buki@aol.com_grafdrkula@gmail.com
vpupkin3@aol.com
|
Para más información sobre las tecnologías que utiliza Kaspersky Lab para combatir malware (ransomware incluido), consulte esta página.