Перейти к содержанию

RannohDecryptor problem with CryptXXX


Рекомендуемые сообщения

Dear all,

Here is the attachment of my encrypted files, original one and Autologger data

 

 

 

20:56:15.0882 0x1664 Trojan-Ransom.Win32.Rannoh decryptor tool 1.9.5.0 Dec 13 2016 13:36:23

20:56:16.0147 0x1664 ============================================================

20:56:16.0147 0x1664 Current date / time: 2016/12/28 20:56:16.0147

20:56:16.0147 0x1664 SystemInfo:

20:56:16.0147 0x1664

20:56:16.0147 0x1664 OS Version: 6.1.7601 ServicePack: 1.0

20:56:16.0147 0x1664 Product type: Workstation

20:56:16.0147 0x1664 ComputerName: DIAVOLO-PC

20:56:16.0147 0x1664 UserName: DIAVOLO

20:56:16.0147 0x1664 Windows directory: C:\Windows

20:56:16.0147 0x1664 System windows directory: C:\Windows

20:56:16.0147 0x1664 Running under WOW64

20:56:16.0147 0x1664 Processor architecture: Intel x64

20:56:16.0147 0x1664 Number of processors: 4

20:56:16.0147 0x1664 Page size: 0x1000

20:56:16.0147 0x1664 Boot type: Normal boot

20:56:16.0147 0x1664 ============================================================

20:56:16.0194 0x1664 Initialize success

20:57:24.0742 0x1d88 CryptXXX: ransom notes path: C:\Users\DIAVOLO\Desktop\!6A8070252848.txt

20:57:24.0742 0x1d88 CryptXXX: user ID: 6A8070252848

20:57:28.0361 0x1d88 CryptXXX: didn't receive any keys

20:57:29.0750 0x1d88 Can't init decryptor

21:26:06.0651 0x0fd8 CryptXXX: ransom notes path: C:\Users\DIAVOLO\Desktop\ARIA_Investigation\!6A8070252848.txt

21:26:06.0667 0x0fd8 CryptXXX: user ID: 6A8070252848

21:26:10.0429 0x0fd8 CryptXXX: didn't receive any keys

21:26:12.0701 0x0fd8 Can't init decryptor

 

I hope that you will provide a solution...

Thank you!

 

ForKaspersky.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tetis
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • SorZol
      От SorZol
      I am writing to you today regarding a recent MedusaLocker attack on my personal computer on December [date] 2023.

      Unfortunately, the attack resulted in the encryption of a significant number of my files.
      However, during the incident, an unusual turn of events occurred. My laptop froze midway through the encryption process, causing the attacker to leave some files behind. Among these files, I was able to identify and run the encryption executable (within a controlled virtual machine environment, of course). This allowed me to extract the public key associated with the attack.

      Furthermore, through an additional, unexpected development, I also managed to obtain the corresponding private key. While this presents a potential opportunity for decryption, there exists a hurdle: both the public and private keys are encoded in Base64 format, rather than the standard XML format with Exponent and Modulus components.

      Recognizing the expertise and capabilities of your team in the field of ransomware decryption, I am reaching out with a proposal for collaboration. I am eager to share my unique experience and the acquired keys with your experts in the hope of finding a way to decrypt my files and potentially aid others affected by the same attacker or public key.

      I understand the inherent challenges and complexities involved in this endeavor. However, I believe that combining my firsthand experience with your technical know-how could lead to a breakthrough. I am open to discussing various collaboration models that would mutually benefit both parties.
      Thank you for considering my request. I am available at your convenience to discuss this further and provide any additional information you may require.
    • Iddinz
      От Iddinz
      Hi... Is there anyone can help me with this kind of Ransomware with extension .3R9qG8i3Z. Please guide me how to decrypt my file that been infected with this virus.. 
       
          ~~~ PC Locker 3.0 by Mr.Robot~~~
      >>>> Your data are stolen and encrypted
          To get your files back you will have to pay a one-time fee of $45 in bitcoin or monero.

      >>>> You need contact us and decrypt one file for free on these platforms with your personal DECRYPTION ID
          Contact the following account on telegram
          @mr_robot_unlock
          or paste this link in your browser
          https://t.me/mr_robot_unlock
          
          
      >>>> Your personal DECRYPTION ID: 4B75BFA39AA770FCE8B6C4C67E83BE3F
      >>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
      >>>> Warning! If you do not pay the ransom you will not receive you files NO EXCEPTIONS!
      >>>> Warning! Any attempt to negotiate or you don't want to pay is INSTANT BLOCK!
      >>>> Advertisement
          
          Would you like to earn thousands of dollars $$$ ?
          We sell mentorship for stealers, DDOS and ransomware.
          We only work with professionals and people with money DO NOT WASTE OUR TIME.
       
      Example of file name which been infected...
      1. Agihan Tudung 2023.xlsx.3R9qG8i3Z
      2. Cadangan Kekerapan Kontena.pdf.3R9qG8i3Z
    • Алексей Симферополь
      От Алексей Симферополь
      Добрый день. 
      На компьютере был обнаружен антивирус старой версии и при выяснении причин отказа обновления через задачу обновления было обнаружено, что не обновляется Агент Администрирования Kaspersky Security center 11.0.0.1131.
       
       При переустановке вручную, этой версии или более новой выходила ошибка какая указана в теме и на принтскрине. Так же были фатальные строки в логах;
         $klnagent-2023-12-25-10-22-13
      Executing op: CustomActionSchedule(Action=RegisterNagentMsi,ActionType=17409,Source=BinaryData,Target=RegisterNagentMsi,CustomActionData=....
      Invoking remote custom action. DLL: C:\Windows\Installer\MSIA566.tmp, Entrypoint: RegisterNagentMsi
      Ошибка 25002. В процессе установки произошла ошибка: Parameter with name "86" not exist..
        $klssinstlib
      KLERR: #1, Error was caught in RemoveNagentBasesCA, e:\bs\1529\14716\sources\cs adminkit\development2\inst_libs\nag_inst\nag_inst_msi.cpp@3116. Error params: (1186/0x0 ("Object not found"), "KLSTD", e:\bs\1529\14716\sources\cs adminkit\development2\inst_libs\common\msi_utils.cpp@125)
          Error loc: ''.)
       
        Решение было найдено через трассировку - в реестре, не смотря, что на диске отсутствовали файлы, их по неудачной установке откатывал установщик агента, в реестре установщик не откатывал и не 
      удалял ветви реестра, что относятся к системному разделу для установленных продуктов. Нужно поискать "ID ED1C2D7E-5C7A-48D8-A697-57D1C080ABA7" в реестре, в ветви HKLM\software\Classes\Installer и удалить его
      а так же связанный  раздел uninstall, который тоже находится по поиску. 
      После удаления все обновлённые версии агент+антивирус установились в обычном режиме. 

    • eng.gvx
      От eng.gvx
      How i can Decrypt my files infected with ransomware extension .zouu
×
×
  • Создать...