Перейти к содержанию

Шифровальщик email-support@decrypt-files.info.ver-CL 1.5(1.3) *.doubleoffset


Рекомендуемые сообщения

Проник шифровальщик, зашифровал содержимое сетевых папок, имена файлов изменил следующим образом:

в каких-то местах они такие:

email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-ABBBCDDEEFFFGGHHIIJJKKKLLMMNNO.OOP.qqr

email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-IJJJKLLMNNOOOPPQQRRSSSTTUUVVWX.XXY.zzz
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-OOPPRRSSSTTUUVVWXXXXYYZZABBBBC.DDE.fff
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-QRSSTTUUVWWWWXXYZZAAAABBCCDDEF.FFG.ghh
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-STUUVVWWXYYZZZZAABCCDDEEEEFGGH.III.ijj
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-TUUVWXXXXYYZAABBBBCCDEEFFGGGGH.IIJ.kkk
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-UUUVWXXYYZZZAABBCCDDDEEFFGGHHI.IIJ.kkk
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZAABCCCCDEEFFGGHHHIIJJKKLL.LMN.noo
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZABBBBCDDEEFFFFGHHIIJJJJKK.MMN.ooo
а в каких-то такие:
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset
 

 


На всякий случай, прикрепляю примеры зашифрованных файлов

CollectionLog-2018.10.16-00.21.zip

Файлы.zip

Изменено пользователем ypershin
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Удалите IObit через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] = C:\Users\User\AppData\Roaming\cppredistx86.exe  (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
O22 - Task: {D87F83B6-6FD4-341D-5A43-00D7897A294C} - C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe /run (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','');
 QuarantineFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','');
 QuarantineFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x32');
 DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x64');
 DeleteSchedulerTask('Soft installer');
 DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','64');
 DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','64');
 DeleteSchedulerTask('Uninstaller_SkipUac_User');
 DeleteSchedulerTask('{52D1D134-7894-48CF-9073-0C7644EBC6F0}');
 DeleteFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','64');
 DeleteSchedulerTask('{77108E3C-4C71-191B-AD1B-E1D1F566BF0E}');
 DeleteFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','64');
 DeleteSchedulerTask('{D87F83B6-6FD4-341D-5A43-00D7897A294C}');
 DeleteFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
 

P.S. Проверьте лс.

Ссылка на сообщение
Поделиться на другие сайты

По поводу расшифровки жду информации. Уточните пожалуйста Вы карантин отправляли, через указанную форму?

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Карантин отправлял, после отправки пишет, что данный файл уже был загружен. Сам архив quarantin изначально создается пустой.

 

Запустил утилиту Farbar, файлы, созданные после сканирования во вложении.

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-06-29]
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-02-05]
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-02-05]
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path/update_url>
    File: C:\Program Files\RDP Wrapper\rdpwrap.dll
    S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    File: C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Все пользователи\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\User\AppData\Roaming\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Downloads\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\ProgramData\README.txt
    2018-10-15 16:50 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Documents\README.txt
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\Все пользователи\IObit
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\ProgramData\IObit
    2018-10-16 10:51 - 2017-03-02 14:01 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
    Folder: C:\Users\User\AppData\Roaming\HpUpdate
    Folder: C:\ProgramData\{8A39DEA2-3D92-6909-16EB-3DBF309A65DF}
    Folder: C:\ProgramData\{39DD736F-8E76-C4C4-54F9-18580F9CDE94}
    Folder: C:\ProgramData\{0C9234C2-BB39-8369-09D2-EEB4749B93CD}
    Folder: C:\ProgramData\8floor
    ContextMenuHandlers1: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} =>  -> No File
    ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers4: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers6: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} =>  -> No File
    ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    Task: {31CE1B16-7C02-470A-BFBA-D7056F473574} - \{0D0B0B47-040C-0F79-7F11-087F0B0D110D} -> No File <==== ATTENTION
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Касаемо decrypt-files.info.ver-CL 1.3.1.0. выполните следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

Касаемо другого шифровальщика ожидайте ответа от одного из консультантов в ближайщее время.

Ссылка на сообщение
Поделиться на другие сайты

Отправил в ЛС для

 


email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset
Ссылка на сообщение
Поделиться на другие сайты

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...