Trojan‑Ransom.Win32.Rakhni によって暗号化されたファイルを復号化するためのツール(RakhniDecryptor)
ファイルが次のランサムウェアによって暗号化された場合には、Kaspersky RakhniDecryptor ツールを使用します:
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Agent.iih
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt ver. 4 and 5
- Trojan-Ransom.Win32.Bitman ver. 3 and 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0.u
- Trojan-Ransom.Win32.Cryakl CL 1.2.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.0.0
- Trojan-Ransom.Win32.Cryakl CL 1.3.1.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
RakhniDecryptor でファイルを復号化できるか確認する
RakhniDecryptor は、以下のパターンに従って変更されたファイルを復号化できます:
- Trojan-Ransom.Win32.Conti:
- <file_name>.KREMLIN
- <file_name>.RUSSIA
- <file_name>.PUTIN
- Trojan-Ransom.Win32.Ragnarok:
- <file_name>.<ID>.thor
- <file_name>.<ID>.odin
- <file_name>.<ID>.hela
復号化のために、ユーティリティーは !!Read_Me.<ID>.html タイプのファイルを要求します。
- Trojan-Ransom.Win32.Fonix:
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].XINOF
- <file_name>.<original_file_extension>.Email=[<mail>@<server>.<domain>]ID=[<id>].FONIX
- Trojan-Ransom.Win32.Rakhni:
- <file_name>.<original_file_extension>.locked
- <file_name>.<original_file_extension>.kraken
- <file_name>.<original_file_extension>.darkness
- <file_name>.<original_file_extension>.oshit
- <file_name>.<original_file_extension>.nochance
- <file_name>.<original_file_extension>.oplata@qq_com
- <file_name>.<original_file_extension>.relock@qq_com
- <file_name>.<original_file_extension>.crypto
- <file_name>.<original_file_extension>.helpdecrypt@ukr.net
- <file_name>.<original_file_extension>.p***a@qq_com
- <file_name>.<original_file_extension>.dyatel@qq_com
- <file_name>.<original_file_extension>.nalog@qq_com
- <file_name>.<original_file_extension>.chifrator@gmail_com
- <file_name>.<original_file_extension>.gruzin@qq_com
- <file_name>.<original_file_extension>.troyancoder@gmail_com
- <file_name>.<original_file_extension>.coderksu@gmail_com_id373
- <file_name>.<original_file_extension>.coderksu@gmail_com_id371
- <file_name>.<original_file_extension>.coderksu@gmail_com_id372
- <file_name>.<original_file_extension>.coderksu@gmail_com_id374
- <file_name>.<original_file_extension>.coderksu@gmail_com_id375
- <file_name>.<original_file_extension>.coderksu@gmail_com_id376
- <file_name>.<original_file_extension>.coderksu@gmail_com_id392
- <file_name>.<original_file_extension>.coderksu@gmail_com_id357
- <file_name>.<original_file_extension>.coderksu@gmail_com_id356
- <file_name>.<original_file_extension>.coderksu@gmail_com_id358
- <file_name>.<original_file_extension>.coderksu@gmail_com_id359
- <file_name>.<original_file_extension>.coderksu@gmail_com_id360
- <file_name>.<original_file_extension>.coderksu@gmail_com_id20
- Trojan-Ransom.Win32.Mor: <file_name>.<original_file_extension>_crypt
- Trojan-Ransom.Win32.Autoit: <file_name>.<original_file_extension>.<_crypt@india.com_.letters>
- Trojan-Ransom.MSIL.Lortok:
- <file_name>.<original_file_extension>.cry
- <file_name>.<original_file_extension>.AES256
- Trojan-Ransom.MSIL.Yatron: <file_name>.<original_file_extension>.Yatron
- Trojan-Ransom.AndroidOS.Pletor: <file_name>.<original_file_extension>.enc
- Trojan-Ransom.Win32.Agent.iih: <file_name>.<original_file_extension>+<hb15>
- Trojan-Ransom.Win32.CryFile: <file_name>.<original_file_extension>.encrypted
- Trojan-Ransom.Win32.Democry:
- <file_name>.<original_file_extension>+<._data-time_$email@domain$.777>
- <file_name>.<original_file_extension>+<._data-time_$email@domain$.legion>
- Trojan-Ransom.Win32.GandCrypt:
- version 4: <ile_name>.<original_file_extension>.KRAB
- version 5: <ile_name>.<original_file_extension>.<line_of_random_characters>
- Trojan-Ransom.Win32.Bitman ver. 3:
- <file_name>.xxx
- <file_name>.ttt
- <file_name>.micro
- <file_name>.mp3
- Trojan-Ransom.Win32.Bitman ver. 4: <file_name>.<original_file_extension> (File name and its extension don't change).
- Trojan-Ransom.Win32.Libra:
- <file_name>.encrypted
- <file_name>.locked
- <file_name>.SecureCrypted
- Trojan-Ransom.MSIL.Lobzik:
- <file_name>.fun
- <file_name>.gws
- <file_name>.btc
- <file_name>.AFD
- <file_name>.porno
- <file_name>.pornoransom
- <file_name>.epic
- <file_name>.encrypted
- <file_name>.J
- <file_name>.payransom
- <file_name>.paybtcs
- <file_name>.paymds
- <file_name>.paymrss
- <file_name>.paymrts
- <file_name>.paymst
- <file_name>.paymts
- <file_name>.gefickt
- <file_name>.uk-dealer@sigaint.org
- Trojan-Ransom.Win32.Mircop: <Lock>.<file_name>.<original_file_extension>
- Trojan-Ransom.Win32.Crusis (Dharma):
- <file_name>.ID<…>.<mail>@<server>.<domain>.xtbl
- <file_name>.ID<…>.<mail>@<server>.<domain>.CrySiS
- <file_name>.id-<…>.<mail>@<server>.<domain>.xtbl
- <file_name>.id-<…>.<mail>@<server>.<domain>.wallet
- <file_name>.id-<…>.<mail>@<server>.<domain>.dhrama
- <file_name>.id-<…>.<mail>@<server>.<domain>.onion
- <file_name>.<mail>@<server>.<domain>.wallet
- <file_name>.<mail>@<server>.<domain>.dhrama
- <file_name>.<mail>@<server>.<domain>.onion
-
Examples of some e-mail addresses used to spread malware:
- webmafia@asia.com
- braker@plague.life
- crannbest@foxmail.com
- amagnus@india.com
- stopper@india.com
- bitcoin143@india.com
- worm01@india.com
- funa@india.com
- pay4help@india.com
- lavandos@dr.com
- mkgoro@india.com
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt) (File name and its extension don't change).
- Trojan-Ransom.Win32.Nemchig: <file_name>.<original_file_extension>.safefiles32@mail.ru
- Trojan-Ransom.Win32.Lamer:
- <file_name>.<original_file_extension>.bloked
- <file_name>.<original_file_extension>.cripaaaa
- <file_name>.<original_file_extension>.smit
- <file_name>.<original_file_extension>.fajlovnet
- <file_name>.<original_file_extension>.filesfucked
- <file_name>.<original_file_extension>.criptx
- <file_name>.<original_file_extension>.gopaymeb
- <file_name>.<original_file_extension>.cripted
- <file_name>.<original_file_extension>.bnmntftfmn
- <file_name>.<original_file_extension>.criptiks
- <file_name>.<original_file_extension>.cripttt
- <file_name>.<original_file_extension>.hithere
- <file_name>.<original_file_extension>.aga
- Trojan-Ransom.Win32.Cryptokluchen:
- <file_name>.<original_file_extension>.AMBA
- <file_name>.<original_file_extension>.PLAGUE17
- <file_name>.<original_file_extension>.ktldll
- Trojan-Ransom.Win32.Rotor:
- <file_name>.<original_file_extension>..-.DIRECTORAT1C@GMAIL.COM.roto
- <file_name>.<original_file_extension>..-.CRYPTSb@GMAIL.COM.roto
- <file_name>.<original_file_extension>..-.DIRECTORAT1C8@GMAIL.COM.roto
- <file_name>.<original_file_extension>.!______________DESKRYPTEDN81@GMAIL.COM.crypt
- <file_name>.<original_file_extension>.!___prosschiff@gmail.com_.crypt
- <file_name>.<original_file_extension>.!_______GASWAGEN123@GMAIL.COM____.crypt
- <file_name>.<original_file_extension>.!_________pkigxdaq@bk.ru_______.crypt
- <file_name>.<original_file_extension>.!____moskali1993@mail.ru___.crypt
- <file_name>.<original_file_extension>.!==helpsend369@gmail.com==.crypt
- <file_name>.<original_file_extension>.!-==kronstar21@gmail.com=--.crypt
- Trojan-Ransom.Win32.Chimera:
- <file_name>.<original_file_extension>.crypt
- <file_name>.<original_file_extension>.<4 random tokens>
- Trojan-Ransom.Win32.AecHu:
- <file_name>.aes256
- <file_name>.aes_ni
- <file_name>.aes_ni_gov
- <file_name>.aes_ni_0day
- <file_name>.lock
- <file_name>.decrypr_helper@freemail_hu
- <file_name>.decrypr_helper@india.com
- <file_name>.~xdata
- Trojan-Ransom.Win32.Jaff:
- <file_name>.jaff
- <file_name>.wlu
- <file_name>.sVn
-
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<randomextension>
- Trojan-Ransom.Win32.Maze: <file_name>.<original_file_extension>.<randomextension>
- Trojan-Ransom.Win32.Sekhmet: <file_name>.<original_file_extension>.<randomextension>
- Trojan-Ransom.Win32.Egregor: <file_name>.<original_file_extension>.<randomextension>
Malware version | Email address |
---|---|
CL 1.0.0.0 |
cryptolocker@aol.com iizomer@aol.com seven_Legion2@aol.com oduvansh@aol.com ivanivanov34@aol.com trojanencoder@aol.com load180@aol.com moshiax@aol.com vpupkin3@aol.com watnik91@aol.com |
1.0.0.0.u |
cryptolocker@aol.com_graf1 cryptolocker@aol.com_mod byaki_buki@aol.com_mod2 |
CL 1.2.0.0 |
oduvansh@aol.com cryptolocker@aol.com |
CL 1.3.0.0 |
cryptolocker@aol.com |
CL 1.3.1.0 |
byaki_buki@aol.com byaki_buki@aol.com_grafdrkula@gmail.com vpupkin3@aol.com |
カスペルスキーがマルウェア保護に使用するテクノロジーの詳細については、こちらのページ をご参照ください。
RakhniDecryptor でファイルを復号化する
- ファイル RakhniDecryptor.zip をダウンロードして解凍します。
一般的には、ダウンロードした zip ファイルをファイルをダブルクリックして開き、中に含まれているファイルを展開したい場所(デスクトップなどのわかりやすい場所)にドラッグ & ドロップすることで、解凍できます。
- RakhniDecryptor.exe をダブルクリックして実行します。使用許諾契約書が表示されます。よくお読みいただき、同意される場合は [ Accept ] をクリックします。
- [ Change parameters ] をクリックします。
- 以下の順で操作します。
- スキャンする場所(ハードドライブ / リムーバブルドライブ / ネットワークドライブ)を選択します。
- [ Delete crypted files after decryption ] のチェックボックスを オン または オフ にします(オン にすると、復号化が完了後、暗号化されたファイルが削除されます)。
- [ OK ] をクリックします。
- [ Start scan ] をクリックします。
- 暗号化されたファイルを選択し、[ 開く] をクリックします。
- 以下の警告画面が表示されるので、[ OK ] をクリックします。
ファイルの復号化が完了するまでお待ちください。
拡張子 CRYPT で暗号化されているファイルは、複数回暗号化されている場合があります。たとえば、ファイル test.doc が 2 回暗号化されていた場合、RakhniDecryptor は 最初の階層のファイルを test.1.doc.layerDecryptedKLR として復号化します。RakhniDecryptor のパフォーマンスレポートには、復号化が成功したことを示すメッセージ «Decryption success: disk:\path\test.doc_crypt -> dish:\path\test.1.doc.layerDecryptedKLR» が記録されますが、もう一度 RakhniDecryptor を実行して復号化する必要があります。復号化に成功すると、ファイルは 元のファイル名 test.doc で復号化されます。
コマンドラインからの操作
以下のパラメーターをサポートしています:
コマンド名 | 詳細 | 使用例 |
---|---|---|
–threads | パスワードクラッキングを実行するスレッド数を指定する場合に使用します。指定しない場合、スレッドの数はコアの数と等しくなります。 | RakhniDecryptor.exe –threads 6 |
–start <number> –end <number> |
–start は、特定の値からパスワードクラッキングを再開します。最小値は 0 です。 –end は、特定の値でパスワードクラッキングを停止します。最大値は 1 000 000 です。 両方指定すると、2 つの値の間の範囲でパスワードクラッキングを行います。 |
RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
-l <file name woth full path to it> | パフォーマンスレポートを保存する場所を指定します。 | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
/h | コマンドラインオプションのヘルプを表示します。 | RakhniDecryptor.exe -h |