1. 前言

  Rakhni勒索病毒是勒索软件家族中的早期代表之一，最初在2013年被发现。与许多其他勒索软件不同，Rakhni在传播和功能设计上表现出较强的灵活性，它能够选择不同的攻击模式，包括加密勒索和挖矿行为。在入侵系统后，Rakhni会根据目标环境来选择加密或挖矿的策略。这种模式使其具有高度适应性，能够在不同类型的受害者中最大化其收益。Rakhni的存在标志着勒索病毒从单一的加密勒索向多功能恶意行为转变，展现了勒索软件不断演化、复杂化的趋势。

2. 特征

  Rakhni勒索病毒的特征主要体现在感染后的行为和文件加密方式上。首先，被Rakhni感染的系统通常会生成特定后缀的加密文件（例如“.locked”或其他定制化后缀），以区分加密文件。此外，病毒会生成一封勒索信，通常以“.txt”或“.html”格式保存，勒索信包含赎金支付的详细说明，通常要求使用比特币等加密货币支付。Rakhni还会更改桌面背景以提醒受害者系统已被加密，并引导他们查看勒索信。值得注意的是，如果Rakhni判断受害者设备适合挖矿，它会放弃加密而转为加密货币挖矿模式。这种基于环境的行为策略，使Rakhni能够灵活适应不同攻击目标，实现更高的攻击效果和经济收益。

  通过以上特征可以看出，Rakhni勒索病毒不仅表现出勒索软件的典型行为，还能够根据环境选择不同的恶意活动模式，这种多样性和灵活性使其在勒索病毒家族中占据了独特地位。

3. 工具使用说明

  重要！确保首先从系统中删除恶意软件，否则它会反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。

  注意：Rakhni 创建 exit.hhr.oshit 文件，其中包含用户文件的加密密码。如果此文件保留在计算机上，它将更快地使用 RakhniDecryptor 实用程序进行解密。如果文件已被删除，则可以使用文件恢复实用程序进行恢复。文件恢复后，将其放入 %APPDATA% 并再次使用该实用程序运行扫描。exit.hhr.oshit 文件具有以下路径：

     Windows XP：C：\文档和设置\应用程序数据

     Windows 7/8：C：\Users\AppData\Roaming

  1. 下载RakhniDecryptor.exe文件。

  2. 在受感染的计算机上运行 RakhniDecryptor.exe 文件。

  3. 在 Kaspersky RakhniDecryptor 窗口中，单击“更改参数”链接。

  4. 在“设置”窗口中，选择要扫描的对象（硬盘驱动器/可移动驱动器/网络驱动器）。

  5. 选中“解密后删除加密文件”复选框（该

  6. 程序将删除扩展名为 .locked、.kraken 和 .darkness 的原始文件的副本）。

  7. 单击 ОК。

  8. 在Kaspersky RakhniDecryptor中，单击“开始扫描”按钮。

  9. 在“指定其中一个加密文件的路径”中，选择需要还原的文件，然后单击“打开”。

  10. 该程序将开始恢复密码。请注意“警告！”窗口消息。

  11. 等到程序完成解密文件（不要退出程序或关闭计算机）。