Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

id-70FAE858.[3048664056@qq.com] WALLET

merlin_hal
 Share Подписчики 2

Рекомендуемые сообщения

merlin_hal

merlin_hal 0

Опубликовано
Опубликовано

Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 

Your documents, photos, databases, save games and other important data has been encrypted.
Data recovery requires decoder.
To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de
or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK
Компьютер в домене и был затронут частично сетевой диск

CollectionLog-2017.04.12-14.06.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
merlin_hal

merlin_hal 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-04-12] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2017-04-12 04:58 - 2017-04-12 04:58 - 00013920 _____ C:\Users\Admin\AppData\Roaming\Info.hta
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
merlin_hal

merlin_hal 0

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-04-12] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2017-04-12 04:58 - 2017-04-12 04:58 - 00013920 _____ C:\Users\Admin\AppData\Roaming\Info.hta
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • boris888
      Шифровальщик [cryptomafia@tuta.io]-id-DF8.wallet
      От boris888
      Доброго дня!

      Большая часть файлов в системе зашифрована. Провел чистку с использованием KVRT, затем CureIt.
      дроппер imonset.exe+ibhost, исполняемые файлы шифровальщика сохранил отдельно. Систему, с тех пор как вручную остановил процесс шифрования, не перегружал. Готов предоставить любые логи, файлы.
      Прошу профессионалов помочь с расшифровкой, надеюсь, что это возможно. Заранее Вам признателен. Жду инструкций.

      С уважением,
      Борис
    • SplunE
      шифровальщик wallet
      От SplunE
      17.10 были зашифрованы файлы на шаре расширение .VYA.id-6A9C866D.[3048664056@qq.com].wallet
      Пробовали RakhniDecryptor, он файлы "расшифровал", но они остались в виде имя_файла.VYA, не открываются, соответственно... 
      Можете помочь в "дорасшифровке"?
      Теневые копии не велись. Бекап был создан, похоже, в момент шифрования, т.к. там тоже имя_файла.VYA. К сожалению бекапили на сетевой ресурс, т.е. архив перезаписываемый.
       
      тело вымогателя:
      тыц:
       
      CollectionLog-2017.10.19-20.09.zip
    • SergeyKomarov
      вирус Wallet (Satan-stn)
      От SergeyKomarov
      Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet
      Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
      Удалённый доступ был блокирован desktop lock express
      От него избавились, а вот от wallet - нет.
      Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
      Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С
      CollectionLog-2017.04.13-12.23.zip
    • A_user
      Новый тип шифровальщика .wallet
      От A_user
      Поймал на днях шифровальщик  типа  .wallet. Расшифровать не смог.
       
      Могу предоставить зашифрованный файл и оригинал.
       
      Самого шифровальщика к сожалению нет
      CollectionLog-2017.04.02-07.02.zip
    • centnot
      rakhnidecryptor не расшифровал файлы *.wallet
      От centnot
      Добрый день, 
       
      1. Сегодня обнаружил, что вирус зашифровал файлы на сервере. 
       
      Все файлы стали вида:
      - logfile.txt.id-7CFBCC1A.[mk.cyrax@aol.com].wallet.
       
      2. В корне диска появился файл с названием "INFORMATION how to mk.cyrax.txt".
      All your files are now enccrypted.There is only one way to get it back. If you dont receive a responce from the first email within 12 hours, please use this alternative email: mk.cyrax@aol.com or reserve MKCyrax@india.com 3. Выполнил KVRT.exe на сервере 
      4. При перезапуске система спросила чем открыть файл "info.hta"
      5. Далее запустил RakhniDecryptor отсюда https://support.kaspersky.ru/viruses/disinfection/10556. Для примера выбрал один файл для расшифровки. RakhniDecryptor - написал error в лог запуска.
      6. Запустил Autologget-test.exe - файл CollectionLog-2017.03.27-14.48.zip.
      7. Запустил AVZ сканирование лог вы приложении.
       
      Пытался приложить пример зашифрованного файла в данное сообщение - получил Вы не можете загружать файлы подобного типа.
       
       
       
      avz_log.txt
      CollectionLog-2017.03.27-14.48.zip
×
×
  • Создать...