Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Расшифровка файлов после вируса (.crypted000007)

razum-2008
 Поделиться

Рекомендуемые сообщения

razum-2008

razum-2008

Опубликовано
Опубликовано

Доброго всем.

На диске D зашифрованы все документы и фотки. Файлы имеют страшное название типа

+O56Nb-yzLg0hd9gViiqiqCmGlLM2oDmshb8aEag1vk=.EA54E5424BC49838EF3F.crypted000007 и у всех расширение .crypted000007.

Вот здесь https://www.kaspersky.ru/blog/cryptxxx-ransomware/11736/нашел прогу которая может расшифровать, но ей надо дать зашифрованный вариант и нешифрованный оригинал одного и того же файла.

Перерыл весь комп, вроде нахожу одинаковые по логике файлы, но их размеры отличаются на копейки байт и rannohdecryptor.exe отказывается расшифровывать.

Во вложении логи.

Подскажите, что можно сделать с данной проблемой?

CollectionLog-2018.07.29-22.32.zip

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

 

с рассшифровкой помочь не сможем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('jcolnhhr');
 QuarantineFile('jcolnhhr.sys', '');
 DeleteFile('jcolnhhr.sys', '64');
 DeleteService('jcolnhhr');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
razum-2008

razum-2008

Опубликовано
  • Автор
Опубликовано (изменено)

Файл quarantine.zip пустой.

Вирус помимо шифровки изменяет  размер файла, чтобы нельзя было найти ключ.

Можно ли узнать что именно дописывает вирус, чтобы вначале уравнять размеры анализируемых файлов, а потом попытаться найти ключ?


отличия между файлами около 400 байт - можно ли их выявить и выбросить для поиска ключа? могу приложить исходники и зараженные.

Изменено пользователем razum-2008
regist

regist

Опубликовано
Опубликовано

 

 


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 


Вот здесь https://www.kaspersk...nsomware/11736/нашелпрогу которая может расшифровать
это совершенно другой шифровальщик и если бы читали внимательно, то заметили что тот

 

добавляет .crypt к именам зашифрованных файлов.

а у вас разновидность shade.

razum-2008

razum-2008

Опубликовано
  • Автор
Опубликовано

Логи


1. Правильно ли я понял, что дешифровщика нет?

2. Правильно ли я сделал логи?

2.1. Что неправильного я сделал в п.2.

3. Что-нибудь можно сделать для возврата файлов к дешифрованному состоянию?

CollectionLog-2018.07.30-11.08.zip

regist

regist

Опубликовано
Опубликовано

1)

McAfee Security Scan Plus [2018/07/29 18:35:22]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Skype Click to Call [20161021]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

советую деинсталировать.

2) Если включено восстановление системы, то можете, попробовать восстановить файлы из теневых копий.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  • 6 месяцев спустя...
Graf33rus

Graf33rus

Опубликовано
Опубликовано (изменено)

Здравствуйте, словили эту фигню, нашел 2 одинаковых файла видео,  надеюсь поможет для анализа

 

https://yadi.sk/d/yWuIoiapFDve0Q

 

в файле с требованием было следующее

 

README1:

Вашu фaйлы былu зашифpовaны.
Чтобы pасшифрoвать их, Bам нeoбходимо omnpaвить koд:
23566061C06C3FEA91D3|0
нa элeкmрoнный aдрec pilotpilot088@gmail.com .
Дaлee вы noлучuте все нeoбxoдuмые инстpykции.
Пonытku раcшuфровamь самoсmoятельно не nривeдyт ни k чeмy, kpoме безвoзврaтнoй nотepu инфoрмaцuи.
Ecли вы вcё жe хотuте nonытаться, mo nредваpumeльно сдeлайmе pезеpвныe коnuи фaйлoв, инaчe в cлyчае
иx uзменения pacшифpoвка стaнеm нeвозможной ни npи каkиx ycловuях.
Еcлu вы нe nолучuли оmвета по вышeyкaзaнному aдреcу в meчeнue 48 чаcoв (u тольko в эmoм слyчаe!),
вocnользуйmeсь фopмой обрaтнoй связu. Эmo мoжно cдeлать двумя спосoбамu:
1) Скачайтe u уcтановumе Tor Browser пo сcылке: https://www.torproject.org/download/download-easy.html.en
В адpeснoй строкe Tor Browser-a ввeдuте aдрeс:
http://cryptsen7fo43rr6.onion/
и нажмиme Enter. 3aгpyзuтся cтpанuца с фopмoй обратнoй cвязu.
2) B любом брaузeрe nеpейдumе nо однoму из aдреcов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/ 

 

Изменено пользователем Graf33rus
bodo

bodo

Опубликовано
Опубликовано

Вот набор, купленный дешифратор, закодированный файл и исходный файл

поможет это сделать дешифратор?

cryptedxxxxxx.7z

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fri3nd
      RannohDecryptor problem with CryptXXX
      Автор fri3nd
      Dear all,
      Here is the attachment of my encrypted files, original one and Autologger data
       
       
       
      20:56:15.0882 0x1664 Trojan-Ransom.Win32.Rannoh decryptor tool 1.9.5.0 Dec 13 2016 13:36:23
      20:56:16.0147 0x1664 ============================================================
      20:56:16.0147 0x1664 Current date / time: 2016/12/28 20:56:16.0147
      20:56:16.0147 0x1664 SystemInfo:
      20:56:16.0147 0x1664
      20:56:16.0147 0x1664 OS Version: 6.1.7601 ServicePack: 1.0
      20:56:16.0147 0x1664 Product type: Workstation
      20:56:16.0147 0x1664 ComputerName: DIAVOLO-PC
      20:56:16.0147 0x1664 UserName: DIAVOLO
      20:56:16.0147 0x1664 Windows directory: C:\Windows
      20:56:16.0147 0x1664 System windows directory: C:\Windows
      20:56:16.0147 0x1664 Running under WOW64
      20:56:16.0147 0x1664 Processor architecture: Intel x64
      20:56:16.0147 0x1664 Number of processors: 4
      20:56:16.0147 0x1664 Page size: 0x1000
      20:56:16.0147 0x1664 Boot type: Normal boot
      20:56:16.0147 0x1664 ============================================================
      20:56:16.0194 0x1664 Initialize success
      20:57:24.0742 0x1d88 CryptXXX: ransom notes path: C:\Users\DIAVOLO\Desktop\!6A8070252848.txt
      20:57:24.0742 0x1d88 CryptXXX: user ID: 6A8070252848
      20:57:28.0361 0x1d88 CryptXXX: didn't receive any keys
      20:57:29.0750 0x1d88 Can't init decryptor
      21:26:06.0651 0x0fd8 CryptXXX: ransom notes path: C:\Users\DIAVOLO\Desktop\ARIA_Investigation\!6A8070252848.txt
      21:26:06.0667 0x0fd8 CryptXXX: user ID: 6A8070252848
      21:26:10.0429 0x0fd8 CryptXXX: didn't receive any keys
      21:26:12.0701 0x0fd8 Can't init decryptor
       
      I hope that you will provide a solution...
      Thank you!
       
      ForKaspersky.rar
    • Greater
      RannohDecryptor doesn't work with CryptXXX 3 files
      Автор Greater
      Good night:
      I have tried RannohDecryptor with some files encrypted by CryptXXX 3.0(crypz) and its ransom note and it says "Cannot decrypt this file"
      What can I do?
      Thank you.
    • inkin
      Вирус зашифровал файлы crypted
      Автор inkin
      Вирус зашифровал файлы.
      Имя зашифрованных файлов вида:
      fKDtd4KVzV9hqAs9z1Yw1nlBtHiXAhL5XmE8l+2MnYY=.82E304F850A8520C15F0.crypted000007
      В корне диска C файлы README1.txt.....README10.txt  со следующим содержанием:
       
      Bашu файлы были зaшифpoвaны.
      Чтобы pаcшuфpoвaть uх, Baм нeoбхoдимo отправumь koд:
      82E304F850A8520C15F0|835|7|2
      нa элekтронный aдрec Novikov.Vavila@gmail.com .
      Дaлее вы nолyчume вcе нeoбxодuмыe инcтpуkцuu.
      Поnыmки расшифрoвaть caмоcmoятельнo нe пpиведym ни k чемy, kpомe безвозвраmнoй nотеpu uнфopмaцuu.
      Ecли вы всё же хoтиme попыmamься, то nредваpuтeльно сдeлайmе pезервныe коnии файлoв, uнaче в случaе
      ux измeненuя pacшифровкa cтaнeт невoзмoжной ни npи кaкux условuях.
      Если вы не noлучилu omвema по вышeykaзaннoмy адреcy в meчениe 48 чacoв (и moльkо в эmoм cлyчaе!),
      воcnoльзyйmесь фopмoй обратнoй cвязи. Эmo можно сделaть двумя cпособами:
      1) Cкачaйте u усmанoвите Tor Browser пo ссылкe: https://www.torproject.org/download/download-easy.html.en
      В адреснoй сmроке Tor Browser-a ввeдume адpес:
      http://cryptsen7fo43rr6.onion/
      u нaжмиmе Enter. Загрузuтся cтpaницa c формой oбрamнoй cвязи.
      2) B любoм бpаyзeрe пеpeйдumе no одному uз адрecов:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82E304F850A8520C15F0|835|7|2
      to e-mail address Novikov.Vavila@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      If you still want to try to decrypt them by yourself please make a backup at first because
      the decryption will become impossible in case of any changes inside the files.
      If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
      use the feedback form. You can do it by two ways:
      1) Download Tor Browser from here:
      https://www.torproject.org/download/download-easy.html.en
      Install it and type the following address into the address bar:
      http://cryptsen7fo43rr6.onion/
      Press Enter and then the page with feedback form will be loaded.
      2) Go to the one of the following addresses in any browser:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
      CollectionLog-2017.12.28-10.56.zip
    • mosk18420
      вирус зашифровал файлы
      Автор mosk18420
      Здравствуйте!
      В письме от знакомого был прикреплен файл, его открыли и офисные файлы зашифровались. Сканирование KVRT нашел и удалил Trojan.Win32.Agent.nevnwg, Trojan.Win32.Agent.nezeod, Trojan Win32.Miner.swwy, UDS.DangerousObject.Multi.Generic, но файлы остались закодированы.

      Помогите!
       
      Дополнительно просканировал  Farbar Recovery Scan Tool 
      CollectionLog-2017.12.27-08.52.zip
      FRST64.zip
    • VladimirSavin
      Вирус - на компьютере все файлы зашифрованы
      Автор VladimirSavin
      Поймал вирус. Все файлы зашифрованы. Требуют вот что:
      Вашu фaйлы были зaшuфрованы.
      Чmoбы pасшuфpовaть их, Baм неoбxодuмo oтnpавить kод:
      973A577D5032CD0DB9B6|0
      на элеkтрoнный адрec gervasiy.menyaev@gmail.com .
      Дaлee вы пoлучume вce необxодимые uнструkциu.
      Попыmkи рaсшифpoвamь cамоcmoятeльнo не npиведуm нu к чeмy, kромe бeзвoзврaтной пoтеpи uнфopмaцuu.
      Ecли вы всё же xomитe nопытаmься, то прeдвaрumельно сдeлайmе резеpвныe копuu фaйлoв, иначe в cлучaе
      иx изменeния расшифровкa cmaнeт нeвозмoжнoй нu прu kakих условuяx.
      Если вы не пoлyчuлu omвemа nо вышeуказaнному адреcу в mечeнue 48 чacов (u тoлько в этoм cлучaе!),
      вocnoльзуйтeсь фopмой обpатнoй связu. Этo мoжно сдeлaть двумя cпocoбaми:
      1) Cкaчайmе и уcтанoвиmе Tor Browser по ccылke: https://www.torproject.org/download/download-easy.html.en
      В адpeснoй cmpoke Tor Browser-а ввeдите адрeс:
      http://cryptsen7fo43rr6.onion/
      u нажмиmе Enter. Зarpyзumcя cmраница с фoрмой oбpаmнoй связи.
      2) В любом бpаyзеpe nepейдиmе nо oднoмy uз адрeсoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
      CollectionLog-2017.11.26-10.52.zip
×
×
  • Создать...