Перейти к содержанию

rakhnidecryptor не расшифровал файлы *.wallet

centnot
 Share

Рекомендуемые сообщения

centnot Новичок

centnot

Опубликовано
Опубликовано

Добрый день, 

 

1. Сегодня обнаружил, что вирус зашифровал файлы на сервере. 

 

Все файлы стали вида:

- logfile.txt.id-7CFBCC1A.[mk.cyrax@aol.com].wallet.

 

2. В корне диска появился файл с названием "INFORMATION how to mk.cyrax.txt".

All your files are now enccrypted.There is only one way to get it back.
If you dont receive a responce from the first email within 12 hours, please use this alternative email: mk.cyrax@aol.com or reserve MKCyrax@india.com

3. Выполнил KVRT.exe на сервере 

4. При перезапуске система спросила чем открыть файл "info.hta"

5. Далее запустил RakhniDecryptor отсюда https://support.kaspersky.ru/viruses/disinfection/10556. Для примера выбрал один файл для расшифровки. RakhniDecryptor - написал error в лог запуска.

6. Запустил Autologget-test.exe - файл CollectionLog-2017.03.27-14.48.zip.

7. Запустил AVZ сканирование лог вы приложении.

 

Пытался приложить пример зашифрованного файла в данное сообщение - получил Вы не можете загружать файлы подобного типа.

 

 

 

avz_log.txt

CollectionLog-2017.03.27-14.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: Info.hta
O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: Info.hta (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
centnot Новичок

centnot

Опубликовано
  • Автор
Опубликовано

Добрый день,

 

выполнил fix для 04 (из под администратора). При повторном сканировании - опять их показывает.

O4 - Global User Startup: Info.hta
O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: Info.hta (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

FRST.txtAddition.txtShortcut.txt - в приложении.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-27] ()
Startup: C:\Users\kveremyev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-27] ()
GroupPolicy: Restriction <======= ATTENTION
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пофиксите этой же версией строки:

O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

Затем покажите повторный лог.

Ссылка на комментарий
Поделиться на другие сайты
centnot Новичок

centnot

Опубликовано
  • Автор
Опубликовано

Сделал.

 

 Остались 2 

O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')

HiJackThis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • lex-xel
      Добрый день, прошу помочь расшифровать файлы.
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Mitesoro
      расшифровать файлы
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • Павел Дмитриевич
      Как расшифровать и удалить вирус?
      От Павел Дмитриевич
      Знакомая подловила вирус - вымогатель , нужно снести его полностью и восстановить файлы
       

    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

×
×
  • Создать...