Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

rakhnidecryptor не расшифровал файлы *.wallet

centnot
 Share Подписчики 1

Рекомендуемые сообщения

centnot

centnot 0

Опубликовано
Опубликовано

Добрый день, 

 

1. Сегодня обнаружил, что вирус зашифровал файлы на сервере. 

 

Все файлы стали вида:

- logfile.txt.id-7CFBCC1A.[mk.cyrax@aol.com].wallet.

 

2. В корне диска появился файл с названием "INFORMATION how to mk.cyrax.txt".

All your files are now enccrypted.There is only one way to get it back.
If you dont receive a responce from the first email within 12 hours, please use this alternative email: mk.cyrax@aol.com or reserve MKCyrax@india.com

3. Выполнил KVRT.exe на сервере 

4. При перезапуске система спросила чем открыть файл "info.hta"

5. Далее запустил RakhniDecryptor отсюда https://support.kaspersky.ru/viruses/disinfection/10556. Для примера выбрал один файл для расшифровки. RakhniDecryptor - написал error в лог запуска.

6. Запустил Autologget-test.exe - файл CollectionLog-2017.03.27-14.48.zip.

7. Запустил AVZ сканирование лог вы приложении.

 

Пытался приложить пример зашифрованного файла в данное сообщение - получил Вы не можете загружать файлы подобного типа.

 

 

 

avz_log.txt

CollectionLog-2017.03.27-14.48.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: Info.hta
O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: Info.hta (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
centnot

centnot 0

Опубликовано
  • Автор
Опубликовано

Добрый день,

 

выполнил fix для 04 (из под администратора). При повторном сканировании - опять их показывает.

O4 - Global User Startup: Info.hta
O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: Info.hta (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

FRST.txtAddition.txtShortcut.txt - в приложении.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-27] ()
Startup: C:\Users\kveremyev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-27] ()
GroupPolicy: Restriction <======= ATTENTION
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Пофиксите этой же версией строки:

O4 - Global User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - User Startup: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet

Затем покажите повторный лог.

Ссылка на сообщение
Поделиться на другие сайты
centnot

centnot 0

Опубликовано
  • Автор
Опубликовано

Сделал.

 

 Остались 2 

O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')
O4 - Startup other users: desktop.ini.id-7CFBCC1A.[mk.cyrax@aol.com].wallet (User '\Administrator\')

HiJackThis.log

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • boris888
      Шифровальщик [cryptomafia@tuta.io]-id-DF8.wallet
      От boris888
      Доброго дня!

      Большая часть файлов в системе зашифрована. Провел чистку с использованием KVRT, затем CureIt.
      дроппер imonset.exe+ibhost, исполняемые файлы шифровальщика сохранил отдельно. Систему, с тех пор как вручную остановил процесс шифрования, не перегружал. Готов предоставить любые логи, файлы.
      Прошу профессионалов помочь с расшифровкой, надеюсь, что это возможно. Заранее Вам признателен. Жду инструкций.

      С уважением,
      Борис
    • SplunE
      шифровальщик wallet
      От SplunE
      17.10 были зашифрованы файлы на шаре расширение .VYA.id-6A9C866D.[3048664056@qq.com].wallet
      Пробовали RakhniDecryptor, он файлы "расшифровал", но они остались в виде имя_файла.VYA, не открываются, соответственно... 
      Можете помочь в "дорасшифровке"?
      Теневые копии не велись. Бекап был создан, похоже, в момент шифрования, т.к. там тоже имя_файла.VYA. К сожалению бекапили на сетевой ресурс, т.е. архив перезаписываемый.
       
      тело вымогателя:
      тыц:
       
      CollectionLog-2017.10.19-20.09.zip
    • SergeyKomarov
      вирус Wallet (Satan-stn)
      От SergeyKomarov
      Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet
      Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
      Удалённый доступ был блокирован desktop lock express
      От него избавились, а вот от wallet - нет.
      Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
      Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С
      CollectionLog-2017.04.13-12.23.zip
    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      От merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
    • A_user
      Новый тип шифровальщика .wallet
      От A_user
      Поймал на днях шифровальщик  типа  .wallet. Расшифровать не смог.
       
      Могу предоставить зашифрованный файл и оригинал.
       
      Самого шифровальщика к сожалению нет
      CollectionLog-2017.04.02-07.02.zip
×
×
  • Создать...