Расшифровка Trojan-Ransom.Win32.Crusis

[alexander.zas]

Добрый день.

Помогите расшифровать Trojan-Ransom.Win32.Crusis, файлы с именем [OriginalName]id-0A7E562E.[3048664056@qq.com].wallet 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

+ шифрованный файл и его незашифрованную копию (оба файла размером более 64кбайт, предположительно и размер одинаков) ищите и присылайте вместе с сообщением вымогателей

[alexander.zas]

Через РДП не дает автолог собрать, доберусь физически за пару дней все подготовлю и скину. Есть шанс возможности расшифровать фото? Кроме фото ничего там больше ненадо.

[thyrex]

Ну хотя бы файлы, которые я просил выше, по RDP возьмите и пришлите

[alexander.zas]

Вот только успел один зашифрованный файл скопировать к себе, пробовал через RakhniDecryptor расшифровать, безуспешно. ПК там уже выключили, после Пасхи привезут мне, дам все файлы + там увидел есть сообщение вымогателей в info.hta

 

Wallet.zip

[alexander.zas]

ПК привезли, вот подготовил:

1. Лог

2. Зашифрованные файлы

3. Одинаковые файлы зашифрованные и оригиналы (правда меньше 64К) сейчас буду искать что бы были больше, просто все зашифровано. 

4. Info.hta

 

CollectionLog-2017.04.17-14.14.zip

Info_hta.zip

Wallet_1.zip

Wallet_2.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[alexander.zas]

Сделал

 

FRST.zip

[thyrex]

Весьма занятно: под двумя учетками файлы с сообщением вымогателей были созданы с разницей в 2 недели?

 

C:\Data recovery FILLs .txt - что в файле?

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> No File
Startup: C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-04-15] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-03-30] ()
S2 Serviio; C:\Program Files\Serviio\bin\ServiioService.exe [X]
2017-04-15 09:48 - 2017-04-15 09:58 - 00013920 _____ C:\Users\Aleksandr\AppData\Roaming\Info.hta
2017-03-30 08:42 - 2017-04-15 09:58 - 00013920 _____ C:\Windows\system32\Info.hta
2017-03-30 08:42 - 2017-03-30 08:42 - 00013920 _____ C:\Users\Администратор\AppData\Roaming\Info.hta

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютеравыполните вручную.

[alexander.zas]

Сделал

 

Fixlog.txt

Data recovery FILLs .txt

[thyrex]

Ну теперь только ждать вестей. На это уйдет какое-то время, может быть несколько дней

[alexander.zas]

Спасибо Вам, жду.

[alexander.zas]

Несколько небольших файлов

Photo.zip

[thyrex]

Ожидайте.