1. 前言

  AESNI，也被称为XData。据称，在 2016年12月8日, bnk/Filecoder. AESNI 出现第一个版本，而于2017年5月17日至5月22日，在乌克兰广泛传播。本文介绍了两种解密AES_NI工具的使用方法。

2. 特征

  后缀可能以locked、kraken或darkness结尾

3. 工具使用说明

工具一：rakhnidecryptor

  重要！确保先删除系统中的恶意软件，否则它会反复锁定系统或加密文件。任何可靠的杀毒软件都可以帮你做到这一点。

  注意：Rakhni 创建的 exit.hhr.oshit 文件包含用户文件的加密密码。如果该文件仍在电脑上，使用 RakhniDecryptor 工具解密会更快。如果文件已被删除，则可以使用文件恢复工具恢复。文件恢复后，将其放入 %APPDATA% 并再次使用该实用程序运行扫描。exit.hhr.oshit 文件的路径如下：

• Windows XP: C:\Documents and Settings<username>\Application Data
• Windows 7/8: C:\Users<username>\AppData\Roaming

  解密文件，请执行以下操作：

  1.在受感染的电脑上运行 RakhniDecryptor.exe 文件。

  2.在 Kaspersky RakhniDecryptor 窗口点击 "更改参数 "（“Change parameters”）链接

  3.在 "设置"（“Settings”）窗口中选择要扫描的对象（硬盘驱动器(hard drives)/移动硬盘(removable drives)/网络驱动器(network drives））。

  4.选择复选框“在解密后删除加密文件”("Delete crypted files after decryption")，程序将在解密后删除带有.locked、.kraken 和 .darkness 扩展名的原始文件副本。

  5.点击“ОК”.

  6.在Kaspersky RakhniDecryptor窗口点击 "开始扫描"("Start scan")按钮。

  7.在 "指定加密文件的路径"("Specify the path to one of encrypted files")窗口中，选择需要恢复的文件，然后单击 "打开"("Open")。

  8.程序将开始恢复密码。请注意 "警告!"("Warning!")窗口信息。

  9.等待程序完成文件解密。（不要退出程序或关闭计算机）

工具二：Avast_decryptor_aes_ni

  1.下载工具二，随后：

• 双击“运行”立即启动应用程序
• 将其保存到桌面，稍后通过双击桌面上的 avast_decryptor_aes_ni.exe 图标运行它。

  2.如果出现 "Windows 保护了您的电脑 "("Windows protected your PC")对话框，请单击 "更多信息"("More info")，然后单击 "运行"。

  3.在 “欢迎”("Welcome ")页面上单击 “下一步”("Next")。

  4.使用可用按钮找到要解密的文件，然后单击“下一步”("Next")：

  5.根据喜好勾选以下选项，然后单击 "解密"("Decrypt")：

• 备份加密文件(Backup encrypted files)：创建加密文件的备份。

  6.解密完成后，单击 "显示日志"("Show Log")查看已完成解密的概览，或单击 "关闭"("Close")退出指南。