【工具分享】Agent.iih勒索病毒解密工具

01

/ 特征 /

加密后，文件名及后缀名变为 <文件名> . <原始文件扩展名> + <hb15>

02

/ 工具使用说明 /

重要！确保先删除系统中的恶意软件，否则它会反复锁定系统或加密文件。任何可靠的杀毒软件都可以帮你做到这一点。

注意：Rakhni 创建的 exit.hhr.oshit 文件包含用户文件的加密密码。如果该文件仍在电脑上，使用 RakhniDecryptor 工具解密会更快。如果文件已被删除，则可以使用文件恢复工具恢复。文件恢复后，将其放入 %APPDATA% 并再次使用该程序运行扫描。exit.hhr.oshit 文件的路径如下：

• Windows XP: C:\Documents and Settings\<username>\Application Data

• Windows 7/8: C:\Users\<username>\AppData\Roaming

解密文件，请执行以下操作：

1.在受感染的电脑上运行 RakhniDecryptor.exe 文件。

2.在 Kaspersky RakhniDecryptor 窗口点击 "更改参数 "（“Change parameters”）链接

3.在 "设置"（“Settings”）窗口中选择要扫描的对象（硬盘驱动器(hard drives)/移动硬盘(removable  drives)/网络驱动器(network drives））。

4.选择复选框“在解密后删除加密文件”("Delete crypted files after decryption")，程序将在解密后删除带有.locked、.kraken 和 .darkness 扩展名的原始文件副本。

5.点击“ОК”.

6.在Kaspersky RakhniDecryptor窗口点击 "开始扫描"("Start scan")按钮。

7.在 "指定加密文件的路径"("Specify the path to one of encrypted files")窗口中，选择需要恢复的文件，然后单击 "打开"("Open")。

8.程序将开始恢复密码。请注意 "警告!"("Warning!")窗口信息。

9.等待程序完成文件解密。（不要退出程序或关闭计算机）

03

/ 工具下载地址 /

solar应急响应团队公众号

回复关键字【Agent.iih】获取下载链接