Перейти к содержанию

Расшифровка файлов и документов

ovaganov
 Share Подписчики 1

Рекомендуемые сообщения

ovaganov

ovaganov 0

Опубликовано
Опубликовано (изменено)

Добрый день!

Очень нужна ваша помощь в расшифровке файлов и документов на сервере. Заражение произошло вчера, в промежутке с 17:30-20:00.
Формат имен: "email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-LibreOffice 6.2.lnk.doubleoffse".
К сожалению, в панике, удалил безвозвратно папку с самим вирусом.. Был на раб. столе учетки администратора, с именем "manual", если не ошибаюсь.
В прицепе отчет автологгера и архив с зараженными файлами и их оригиналы. Антивирусную защиту приостанавливал, программы выгрузил. 

Сегодня еще пробовал расшифровать документов дешифратором, предоставленным на одном из сторонних форумов - текстовые и офисные документы рекурсивно получилось восстановить, но не все, некоторые отдельно пришлось, НО базы 1с, исполняемые и прочие файлы 1с не получилось. Тончее, получилось отдельно каждый файл с расширении DD расшифровать. Остальное - ни в какую.

Для меня сейчас очень важно восстновить базы, работоспособность самой программы 1с и профили пользователей (сейчас при входе пишет "Служба профилей пользователей препятствует входу"). Если расшифровывать БД 1с, то вовсе ругается, что файл большого размере. На стороннем форуме пока ничего не могут подсказать по этому поводу.

Также, во вложении оригинальные и зашифрованные документы.
Помогите, пожалуйста, очень нужна ваша помощь!

 

P.S. сервер отключен от сети интернет.

Оригиналы+зараженные.zip

CollectionLog-2019.06.26-10.02.zip

Изменено пользователем ovaganov
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Здравствуйте!

 

Инструкция по расшифровке будет выдана по окончании очистки системы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

+

На стороннем форуме пока ничего не могут подсказать по этому поводу

А можно ссылку на этот сторонний форум?
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
ovaganov

ovaganov 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Инструкция по расшифровке будет выдана по окончании очистки системы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

Скрипт выполнил, CollectionLog во вложении.

+

На стороннем форуме пока ничего не могут подсказать по этому поводу

А можно ссылку на этот сторонний форум?

 

https://safezone.cc/threads/rasshifrovka-doubleoffset.33328/

Там же мой утренний топик, уже прохладный немножк. Вы можете что нибудь нового добавить исходя из того, что мне сказали на safezone.

CollectionLog-2019.06.26-18.10.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Тогда не стоило создавать тему и на этом форуме. Ибо все помощники с форума SafeZone оказывают помощь и здесь.

 

Дублирование запроса

Тема закрыта

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • paltus
      [РЕШЕНО] Помогите восстановить зашифрованную информацию .doubleoffset
      От paltus
      Добрый день.
       Помогите восстановить зашифрованную информацию. Обнаружили, что все зашифровано.
      На вирусы проверили (CureIt), все чисто (кроме нашего ammy).
       
      в каждой папке файлы такого вида:
      email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-Бухгалтерия предприятия. Версия 2.0.66. Новое в версии.htm.doubleoffset
       
      и файл readme.txt с содержимым:
      to decrypt files write here blackdragon43@yahoo.com
       
      Спасибо.
      CollectionLog-2019.05.13-15.43.zip
    • Coding
      Зашифрованы все файлы email-3nity@tuta.io.ver-CL
      От Coding
      email-3nity@tuta.io.ver-CL
       
      Зашифровало всі файли email-3nity@tuta.io.ver-CL, пароль підбирали брутом, лишились сліди від підбору в логах, зашифрувало все окрім робочого столу
       
      Зашифровало все файлы email-3nity@tuta.io.ver-CL, пароль подбирали Брутом, остались следы от подбора в логах, зашифровали все файлы кроме рабочего стола
       
    • itluks
      Шифровальщик email-tapok@tuta.io.ver-CL 1.5.1.0.
      От itluks
      Вчера поздно вечером на сервер пролез троян, скорее всего по RDP на вирт.машину 1С. После чего в дело вступил шифровальщик: зашифровал большую часть файлов и распространился по сети на машины, где не стоял антивирус Касперского.
       
      Все офисные файлы, базы данных, виртуальные диски поменяли название на:
      email-tapok@tuta.io.ver-CL 1.5.1.0.id-<далее разные цифровые комбинации>.doubleoffset
       
      Подсовывали данные файлы утилите RakhniDecryptor, она не определяет шифровальщик.
      Помогите расшифровать, "потеряли" много ценной информации.
       

      CollectionLog-2019.03.27-23.59.zip
×
×
  • Создать...