“阎罗王”敲诈勒索病毒解密工具+使用教程!

 

阎罗王敲诈勒索病毒解密工具,由卡巴斯基提供:【点击下载

 

具体的使用教程如下:【官方教程

RannohDecryptor 工具旨在解密由以下勒索软件加密的文件:

  • 木马-Ransom.Win32.Rannoh
  • Trojan-Ransom.Win32.AutoIt
  • 木马勒索.Win32.Cryakl
  • Trojan-Ransom.Win32.CryptXXX 版本 1、2 和 3
  • 木马勒索.Win32.Crybola
  • Trojan-Ransom.Win32.Polyglot
  • 木马-Ransom.Win32.Fury
  • Trojan-Ransom.Win32.Yanluowang

如果发生感染,计算机上的所有文件将更改如下:

勒索软件 文件将如何加密
木马-Ransom.Win32.Rannoh 文件名和扩展名将根据模板锁定-<original_name>.<four_random_letters> 更改。
Trojan-Ransom.Win32.AutoIt 扩展名将根据模板 <original_name>@<mail server>_.<random_set_of_characters> 进行更改。例如,ioblomov@india.com_.RZWDTDIC。
木马勒索.Win32.Cryakl 标签 {CRYPTENDBLACKDC} 被添加到文件名的末尾。
木马-Ransom.Win32.CryptXXX 扩展将根据模板进行更改:

  • <原始名称>.crypt
  • <原始名称>.crypz
  • <原始名称>.cryp1
木马勒索.Win32.Crybola 扩展名将根据模板 <original_name>.ebola 进行更改。
Trojan-Ransom.Win32.Yanluowang 扩展名将根据模板<original_name>.yanluowang进行更改。

另一个勒索软件不会更改文件扩展名。

如果要解密受 Trojan-Ransom.Win32.CryptXXX 影响的文件,请考虑以下几点: 

  • RannohDecryptor 实用程序扫描有限数量的文件格式:
  • 1cd、7z、ai、avi、bz2、cab、cdr、cdw、cdx、cf、chm、dbf、djvu、doc、docm、docx、dt、dwg、epf、eps、erf、ert、fla、flac、flv、 gif,gz,html,iso,jpeg,jpg,ldf,md,mdb,mdf,mov,mp3,mp4,mxl,nef,ods,odt,ogg,pdf,php,png,ppt,pptm,pptx,ps1, psd、pst、qbb、rar、rcf、rtf、sdf、sldasm、slddrw、tib、tif、tiff、vhd、vhdx、vsd、wav、xls、xlsm、xlsx、xlt、zip。
  • 恢复受 Trojan-Ransom.Win32.CryptXXX 版本 2 影响的文件的解密密钥可能需要很长时间。在这种情况下,该实用程序会显示警告:

密钥恢复可能需要很长时间警告

 

如何对系统进行消毒

  1. 下载RannohDecryptor.zip存档。
  2. 在受感染的计算机上运行 RannohDecryptor.exe。
  3. 仔细阅读最终用户许可协议。如果您同意所有条款,请单击接受
  4. 如果您希望实用程序自动删除解密的文件,请执行以下操作:
    1. 在主窗口中,单击更改参数
    2. 选中 解密后删除加密文件复选框。
    3. “阎罗王”敲诈勒索病毒解密工具+使用教程!
  5. 在主窗口中,单击开始扫描

“阎罗王”敲诈勒索病毒解密工具+使用教程!

  1. 指定加密文件的路径。 
  2. 要解密某些文件,该实用程序将请求一个加密文件的原始(未加密)副本。您可以在邮件、可移动驱动器、其他计算机或云存储中找到此类副本。单击继续并指定原始文件的路径。 

在 Kaspersky Rannoh Decryptor 中指定原始文件的路径

如果文件被 Trojan-Ransom.Win32.CryptXXX 加密,请注明最大的文件。只有这种大小或更小的文件才会被解密。

  1. 等到找到并解密加密文件。

如果文件被 Trojan-Ransom.Win32.Cryakl、Trojan-Ransom.Win32.Polyglot 或 Trojan-Ransom.Win32.Fury 加密,该工具会将文件保存在之前的位置,扩展名为 .decryptedKLR.original_extension。如果您选择了解密后删除加密文件复选框,该工具将使用原始名称保存解密文件。

如果文件被 Trojan-Ransom.Win32.Rannoh、Trojan-Ransom.Win32.Cryakl、Trojan-Ransom.Win32.AutoIt、Trojan-Ransom.Win32.CryptXXX、Trojan-Ransom.Win32.Crybola 或 Trojan-Ransom 加密。 Win32.Yanluowang,该工具会将文件以原始扩展名保存在其先前的位置。

默认情况下,工具日志保存在安装操作系统的系统盘上。日志文件名为:UtilityName.Version_Date_Time_log.txt。例如,C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

赞赏

微信赞赏支付宝赞赏