Перейти к содержанию

rakhnidecryptor не расшифровал файлы *.wallet

centnot
 Share

Рекомендуемые сообщения

centnot Новичок

centnot

Опубликовано
Опубликовано

Добрый день, 

 

1. Сегодня обнаружил, что вирус зашифровал файлы на сервере. 

 

Все файлы стали вида:

- logfile.txt.id-7CFBCC1A.[mk.cyrax@aol.com].wallet.

 

2. В корне диска появился файл с названием "INFORMATION how to mk.cyrax.txt".

All your files are now enccrypted.There is only one way to get it back.
If you dont receive a responce from the first email within 12 hours, please use this alternative email: mk.cyrax@aol.com or reserve MKCyrax@india.com

3. Выполнил KVRT.exe на сервере 

4. При перезапуске система спросила чем открыть файл "info.hta"

5. Далее запустил RakhniDecryptor отсюда https://support.kaspersky.ru/viruses/disinfection/10556. Для примера выбрал один файл для расшифровки. RakhniDecryptor - написал error в лог запуска.

6. Запустил Autologget-test.exe - файл CollectionLog-2017.03.27-14.48.zip.

7. Запустил AVZ сканирование лог вы приложении.

 

Пытался приложить пример зашифрованного файла в данное сообщение - получил Вы не можете загружать файлы подобного типа.

 

 

 

avz_log.txt

CollectionLog-2017.03.27-14.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: Info.hta
O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: Info.hta (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
centnot Новичок

centnot

Опубликовано
  • Автор
Опубликовано

Добрый день,

 

выполнил fix для 04 (из под администратора). При повторном сканировании - опять их показывает.

O4 - Global User Startup: Info.hta
O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: Info.hta (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

FRST.txtAddition.txtShortcut.txt - в приложении.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-27] ()
Startup: C:\Users\kveremyev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-27] ()
GroupPolicy: Restriction <======= ATTENTION
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пофиксите этой же версией строки:

O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

Затем покажите повторный лог.

Ссылка на комментарий
Поделиться на другие сайты
centnot Новичок

centnot

Опубликовано
  • Автор
Опубликовано

Сделал.

 

 Остались 2 

O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')

HiJackThis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...