Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

RannohDecryptor doesn't work with CryptXXX 3 files

Greater
 Поделиться

Рекомендуемые сообщения

Greater

Greater

Опубликовано
Опубликовано

Good night:

I have tried RannohDecryptor with some files encrypted by CryptXXX 3.0(crypz) and its ransom note and it says "Cannot decrypt this file"

What can I do?

Thank you.

Sandor

Sandor

Опубликовано
Опубликовано

Hello,

 

Please download Autologger, unpack it and run.

At the end of its job you'll get an archive, called CollectionLog-yyyy.mm.dd-hh.mm where yyyy.mm.dd-hh.mm - running time and date (for example CollectionLog-2016.12.21-21.04.zip)

 

Attach it to your next post.

Greater

Greater

Опубликовано
  • Автор
Опубликовано

Hello,

 

Please download Autologger, unpack it and run.

At the end of its job you'll get an archive, called CollectionLog-yyyy.mm.dd-hh.mm where yyyy.mm.dd-hh.mm - running time and date (for example CollectionLog-2016.12.21-21.04.zip)

 

Attach it to your next post.

I don't know what happens. I opened it as admin and the window dissapear while it analyzes. Antivirus is off.There is no log.

 

By the way, I forgot to tell you that I have tried to decrypt them from my computer. The user sent me her files  from her infected computer and I tried to decrypt them on my computer.

Sandor

Sandor

Опубликовано
Опубликовано

The user sent me her files

In that case log is needed from PC where infection was.

and the window dissapear while it analyzes

Did you extract it from archive before run?
Greater

Greater

Опубликовано
  • Автор
Опубликовано

 

The user sent me her files

In that case log is needed from PC where infection was.

and the window dissapear while it analyzes

Did you extract it from archive before run?

 

ok,I will talk with her.

Yes, I extracted it.

Thanks.

thyrex

thyrex

Опубликовано
Опубликовано

Sometimes RannohDecryptor cann't decrypt files after Cryptxxx v3. It's normal situation.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fri3nd
      RannohDecryptor problem with CryptXXX
      Автор fri3nd
      Dear all,
      Here is the attachment of my encrypted files, original one and Autologger data
       
       
       
      20:56:15.0882 0x1664 Trojan-Ransom.Win32.Rannoh decryptor tool 1.9.5.0 Dec 13 2016 13:36:23
      20:56:16.0147 0x1664 ============================================================
      20:56:16.0147 0x1664 Current date / time: 2016/12/28 20:56:16.0147
      20:56:16.0147 0x1664 SystemInfo:
      20:56:16.0147 0x1664
      20:56:16.0147 0x1664 OS Version: 6.1.7601 ServicePack: 1.0
      20:56:16.0147 0x1664 Product type: Workstation
      20:56:16.0147 0x1664 ComputerName: DIAVOLO-PC
      20:56:16.0147 0x1664 UserName: DIAVOLO
      20:56:16.0147 0x1664 Windows directory: C:\Windows
      20:56:16.0147 0x1664 System windows directory: C:\Windows
      20:56:16.0147 0x1664 Running under WOW64
      20:56:16.0147 0x1664 Processor architecture: Intel x64
      20:56:16.0147 0x1664 Number of processors: 4
      20:56:16.0147 0x1664 Page size: 0x1000
      20:56:16.0147 0x1664 Boot type: Normal boot
      20:56:16.0147 0x1664 ============================================================
      20:56:16.0194 0x1664 Initialize success
      20:57:24.0742 0x1d88 CryptXXX: ransom notes path: C:\Users\DIAVOLO\Desktop\!6A8070252848.txt
      20:57:24.0742 0x1d88 CryptXXX: user ID: 6A8070252848
      20:57:28.0361 0x1d88 CryptXXX: didn't receive any keys
      20:57:29.0750 0x1d88 Can't init decryptor
      21:26:06.0651 0x0fd8 CryptXXX: ransom notes path: C:\Users\DIAVOLO\Desktop\ARIA_Investigation\!6A8070252848.txt
      21:26:06.0667 0x0fd8 CryptXXX: user ID: 6A8070252848
      21:26:10.0429 0x0fd8 CryptXXX: didn't receive any keys
      21:26:12.0701 0x0fd8 Can't init decryptor
       
      I hope that you will provide a solution...
      Thank you!
       
      ForKaspersky.rar
    • Greater
      I can't decrypt images infected by CryptXXX with RannohDecryptor
      Автор Greater
      Good afternoon:
      I have some files encrypted by CryptXXX 1.0 (I checked it on ID-Ransomware website) and when I use RannohDecryptor it can decrypt most of files except images. Here you have a log:
       
      7:23:50.0466 0x5024  Trojan-Ransom.Win32.Rannoh decryptor tool 1.9.6.1 Jan 25 2017 20:07:00 17:23:52.0473 0x5024  ============================================================ 17:23:52.0473 0x5024  Current date / time: 2017/08/30 17:23:52.0473 17:23:52.0473 0x5024  SystemInfo: 17:23:52.0474 0x5024   17:23:52.0474 0x5024  OS Version: 6.2.9200 ServicePack: 0.0 17:23:52.0474 0x5024  Product type: Workstation 17:23:52.0474 0x5024  ComputerName: LAPTOP-9TUCH60U 17:23:52.0474 0x5024  UserName: win10 17:23:52.0474 0x5024  Windows directory: C:\WINDOWS 17:23:52.0474 0x5024  System windows directory: C:\WINDOWS 17:23:52.0474 0x5024  Running under WOW64 17:23:52.0474 0x5024  Processor architecture: Intel x64 17:23:52.0474 0x5024  Number of processors: 4 17:23:52.0474 0x5024  Page size: 0x1000 17:23:52.0474 0x5024  Boot type: Normal boot 17:23:52.0474 0x5024  ============================================================ 17:23:52.0648 0x5024  Initialize success 17:24:59.0357 0x4bd8  ProcessDriveEnumEx: Drive C:\ type 3:0 17:24:59.0463 0x4bd8  Processing file: \\?\C:\0\German\00 022.jpg.crypt 17:24:59.0463 0x4bd8  Cannot decrypt file: \\?\C:\0\German\00 022.jpg.crypt, size too large. 17:24:59.0463 0x4bd8  Cannot decrypt: \\?\C:\0\German\00 022.jpg.crypt 17:24:59.0465 0x4bd8  Processing file: \\?\C:\0\German\EXCEL PROPUESTA AVANTE.xls.crypt 17:24:59.0468 0x4bd8  Decrypted successfully: \\?\C:\0\German\EXCEL PROPUESTA AVANTE.xls.crypt 17:25:07.0296 0x4bd8  ProcessDriveEnumEx: Drive D:\ type 3:0 17:25:07.0296 0x4bd8   17:25:07.0296 0x4bd8  Statistic: 17:25:07.0296 0x4bd8  Processed: 1089 17:25:07.0296 0x4bd8  Suspicious: 0 17:25:07.0296 0x4bd8  Found: 2 17:25:07.0296 0x4bd8  Decrypted: 1 17:25:07.0296 0x4bd8  ================================================================================ 17:25:07.0296 0x4bd8  Scan finished 17:25:07.0296 0x4bd8  ================================================================================ 17:32:03.0187 0x0ba8  Deinitialize success       Size too large??? The image is only 180 KB...(?) Please, can anybody help me? Thank you.
    • razum-2008
      Расшифровка файлов после вируса (.crypted000007)
      Автор razum-2008
      Доброго всем.
      На диске D зашифрованы все документы и фотки. Файлы имеют страшное название типа
      +O56Nb-yzLg0hd9gViiqiqCmGlLM2oDmshb8aEag1vk=.EA54E5424BC49838EF3F.crypted000007 и у всех расширение .crypted000007.
      Вот здесь https://www.kaspersky.ru/blog/cryptxxx-ransomware/11736/нашел прогу которая может расшифровать, но ей надо дать зашифрованный вариант и нешифрованный оригинал одного и того же файла.
      Перерыл весь комп, вроде нахожу одинаковые по логике файлы, но их размеры отличаются на копейки байт и rannohdecryptor.exe отказывается расшифровывать.
      Во вложении логи.
      Подскажите, что можно сделать с данной проблемой?
      CollectionLog-2018.07.29-22.32.zip
    • VladRVS
      CryptXXX/Шифровальщик *.crypt
      Автор VladRVS
      тема снова стала актуальной т.к. не было решения кроме как пойти на поводу у вымогателей - https://forum.kasperskyclub.ru/index.php?showtopic=56252
      Нашел решение - Найдено лекарство от нового CryptXXX https://blog.kaspersky.ru/cryptxxx-decryption-20/11896/
      Утилиту скачал https://support.kaspersky.ru/viruses/disinfection/8547#block3
      Столкнулся с ошибкой, с которой сталкивался предыдущий пользователь
      grieveВоспользоваться RannohDecryptor не получилось, т.к. зашифрованный файл отличается размером от оригинала.
       
      не понимаю данной ошибки..как файлы могут быть одинаковыми по размеру если в оригинал подвергался изменению шифровальщиком?!!! Размер файлов отличается 1кб.
       
      Нашелся файл, нормального размера для дешифровки. И тут на тебе, утилита ошибку такую выдает...
       


×
×
  • Создать...