当电脑文件被“阎罗王”锁住：一份解密工具使用指南

如果你的电脑文件突然被加上奇怪的扩展名无法打开，屏幕上还出现了勒索信息，那很可能是遭遇了勒索病毒。近期，一种名为“阎罗王”（Yanluowang）的勒索软件受到关注。幸运的是，安全公司卡巴斯基提供了一款名为“RannohDecryptor”的免费解密工具，能够帮助受害者恢复被包括“阎罗王”在内的多种勒索病毒加密的文件。本文将基于官方信息，为你梳理这款工具的基本情况和使用要点。

工具能解密的勒索病毒类型

RannohDecryptor 并非万能，它专门针对一系列特定的勒索软件家族。根据卡巴斯基的信息，这款工具主要可以解密由以下病毒加密的文件： - 木马-Ransom.Win32.Rannoh - Trojan-Ransom.Win32.AutoIt - 木马勒索.Win32.Cryakl - Trojan-Ransom.Win32.CryptXXX（版本1、2、3） - 木马勒索.Win32.Crybola - Trojan-Ransom.Win32.Polyglot - 木马-Ransom.Win32.Fury - Trojan-Ransom.Win32.Yanluowang（即“阎罗王”）

如果你的文件是被这些病毒加密的，那么尝试使用此工具进行解密是可行的第一步。

如何识别文件是否被感染

不同的勒索病毒在加密文件后，会留下不同的“标记”。了解这些特征有助于你判断自己遭遇的是否是上述病毒之一。我的理解是，这些标记主要体现在文件名的变化上： - “阎罗王”（Yanluowang）：会在原文件名后添加 .yanluowang 扩展名。 - 其他病毒：有的会将文件扩展名改为类似 .crypt、.crypz 或 .ebola 的格式；有的则会在文件名末尾添加特定标签，如 {CRYPTENDBLACKDC}；还有的会按照特定模板重命名，例如在原文件名后添加随机字符。

需要注意的是，也有个别勒索软件不会更改文件扩展名，这会让识别变得困难。因此，结合系统异常表现（如出现勒索提示）来判断更为重要。

使用解密工具前的准备与步骤

使用 RannohDecryptor 工具的过程相对直接，但有几个关键点需要注意： 1. 下载与启动：从可信来源（如卡巴斯基官方网站）下载工具，并在受感染的电脑上直接运行。 2. 参数设置：工具运行后，你可以选择是否让它在解密成功后自动删除原始的加密文件。这可以在“更改参数”中设置。 3. 开始扫描与解密：点击“开始扫描”后，工具会尝试寻找并解密文件。过程中，它可能会向你索要某个加密文件的原始未加密副本。这个副本需要你从其他未被感染的存储位置（如邮件附件、U盘、其他电脑或云盘）提供。这对于某些病毒的解密是必要的。 4. 特殊情况：如果文件是被 Trojan-Ransom.Win32.CryptXXX 加密的，工具在解密时对文件格式和大小有限制。它主要扫描常见格式（如文档、图片、压缩包等），并且“恢复解密密钥可能需要很长时间”。

解密后的结果与注意事项

解密过程结束后，文件恢复的情况因病毒类型而异： - 对于大多数病毒（包括“阎罗王”），解密后的文件会以原始名称和扩展名，保存在原来的位置。 - 对于 Trojan-Ransom.Win32.Cryakl 等少数病毒，解密文件的扩展名会暂时变为 .decryptedKLR.原始扩展名。如果你设置了自动删除加密文件，工具最终会将其恢复为原始名称。

工具运行后会自动生成日志文件，记录解密过程，方便你追溯结果。整个过程中，请保持耐心，并确保不要轻易支付赎金，优先尝试使用此类官方提供的免费解密工具。

```excel_export_meta {"belongs_channel_1":"网络安全","summary":"本文介绍了卡巴斯基提供的RannohDecryptor解密工具，该工具可用于恢复被‘阎罗