Перейти к содержанию

[РЕШЕНО] Шифровальщик email-butterfly.iron@aol.com.ver-CL 1.5.1.0

breshinas
 Поделиться

Рекомендуемые сообщения

breshinas

breshinas

Опубликовано
Опубликовано

Вчера поздно вечером на сервер залез троян, скорее всего по RDP.
Он запустил шифровальщик, зашифровал большую часть файлов.
Все офисные файлы, базы данных, виртуальные диски поменяли название на: email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-<тут разные цифры>.doubleoffset
Утилита RakhniDecryptor шифровальщик не определяет.
Помогите расшифровать

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Пароль от RDP меняйте. Через него к Вам и попали.

 

Расшифровки не будет, только зачистка следов вирусов.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [2675775] => 2675775
2019-06-21 00:27 - 2019-06-21 00:27 - 000003218 _____ C:\WINDOWS\System32\Tasks\VssDataRestore
2019-06-21 00:26 - 2019-06-21 00:27 - 000001308 _____ C:\Users\vit\Desktop\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-1122501330-2819948909593612233930.fname-README.txt.doubleoffset
2019-06-21 00:26 - 2019-06-21 00:27 - 000000078 _____ C:\Users\vit\Desktop\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\Downloads\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\Documents\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\Desktop\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\AppData\Roaming\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\AppData\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\AppData\LocalLow\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\Администратор.000\AppData\Local\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\Downloads\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\Documents\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\AppData\Roaming\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\AppData\README.txt
2019-06-21 00:26 - 2019-06-21 00:26 - 000000078 _____ C:\Users\vit\AppData\LocalLow\README.txt
2019-06-21 00:25 - 2019-06-21 00:25 - 000000078 _____ C:\Users\vit\AppData\Local\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\README.txt
2019-06-21 00:10 - 2019-06-21 00:10 - 000000078 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\README.txt
2019-06-21 00:07 - 2019-06-21 00:07 - 000000078 _____ C:\Users\it\README.txt
2019-06-21 00:07 - 2019-06-21 00:07 - 000000078 _____ C:\Users\it\Downloads\README.txt
2019-06-21 00:07 - 2019-06-21 00:07 - 000000078 _____ C:\Users\it\Documents\README.txt
2019-06-21 00:07 - 2019-06-21 00:07 - 000000078 _____ C:\Users\it\AppData\Roaming\README.txt
2019-06-21 00:07 - 2019-06-21 00:07 - 000000078 _____ C:\Users\it\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:07 - 2019-06-21 00:07 - 000000078 _____ C:\Users\it\AppData\README.txt
2019-06-21 00:06 - 2019-06-21 00:06 - 000000078 _____ C:\Users\it\AppData\LocalLow\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\it\AppData\Local\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\Downloads\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\Documents\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\Desktop\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\AppData\Roaming\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\AppData\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\AppData\LocalLow\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\delme\AppData\Local\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\Downloads\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\Documents\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\Desktop\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\AppData\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default\AppData\Local\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default.migrated\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default.migrated\Documents\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default.migrated\AppData\Roaming\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default.migrated\AppData\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default.migrated\AppData\Local\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\Downloads\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\Documents\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\Desktop\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\AppData\README.txt
2019-06-21 00:05 - 2019-06-21 00:05 - 000000078 _____ C:\Users\Default User\AppData\Local\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\Downloads\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\Documents\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\Desktop\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\AppData\Roaming\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\AppData\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\AppData\LocalLow\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\bars\AppData\Local\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\Downloads\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\Documents\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\Desktop\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\AppData\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5\AppData\Local\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
2019-06-21 00:04 - 2019-06-21 00:04 - 000000078 _____ C:\Users\.NET v4.5 Classic\AppData\Local\README.txt
2019-06-21 00:00 - 2019-06-21 00:11 - 000001308 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-1122501330-2819948909593612233930.fname-README.txt.doubleoffset
2019-06-21 00:00 - 2019-06-21 00:11 - 000000078 _____ C:\Users\Public\Documents\README.txt
2019-06-21 00:00 - 2019-06-21 00:00 - 000000078 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-20 23:59 - 2019-06-21 00:27 - 000001308 _____ C:\Users\Все пользователи\README.txt
2019-06-20 23:59 - 2019-06-21 00:27 - 000001308 _____ C:\ProgramData\README.txt
2019-06-20 23:59 - 2019-06-21 00:04 - 000001308 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-1122501330-2819948909593612233930.fname-README.txt.doubleoffset
2019-06-20 23:59 - 2019-06-21 00:04 - 000001308 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-1122501330-2819948909593612233930.fname-README.txt.doubleoffset
2019-06-20 23:59 - 2019-06-20 23:59 - 000000078 _____ C:\Program Files (x86)\README.txt
2019-06-20 23:53 - 2019-06-20 23:53 - 000000078 _____ C:\Program Files\README.txt
2019-06-20 23:52 - 2019-06-20 23:52 - 000000078 _____ C:\Program Files\Common Files\README.txt
2019-06-20 23:43 - 2018-09-14 21:30 - 000000063 _____ C:\Users\vit\Downloads\LogDelete.bat
2019-06-20 23:43 - 2018-01-15 02:56 - 000000028 _____ C:\Users\vit\Downloads\Shadow.bat
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
breshinas

breshinas

Опубликовано
  • Автор
Опубликовано (изменено)

То есть расшифровка невозможна?
Чистка прошла успешно, в логе жалоб нет

Изменено пользователем breshinas
thyrex

thyrex

Опубликовано
Опубликовано

То есть расшифровка невозможна?

Силами вирлабов точно нет. Нашими силами тем более.
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

thyrex

thyrex

Опубликовано
Опубликовано

Прикрепите пару файлов: зашифрованный и его оригинал до шифрования.

breshinas

breshinas

Опубликовано
  • Автор
Опубликовано (изменено)

Предложенный расшифратор работает.
Огромное спасибо!
Вопрос закрыт

Изменено пользователем breshinas
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
breshinas

breshinas

Опубликовано
  • Автор
Опубликовано

Мы переустановили ОС с нуля, проверка не требуется. Все дыры закрыты, огромное спасибо за содействие!

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nokvark
      [РЕШЕНО] NET:MALWARE.URL
      Автор Nokvark
      Добрый день, обнаружил вирус MALWARE.URL через doctor web.
      Не могу удалить, пробовал делать также, как описано в схожих с моей темами. CollectionLog-2025.05.05-09.21.zip
      Прошу помочь. 


    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      [РЕШЕНО] стиллер
      Автор wastezxc
      после вирус не работают gpedit, regedit и никакие такие файлы
       
      так же интернет стал медленее
       
    • Maksum
      [РЕШЕНО] Трояны
      Автор Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
×
×
  • Создать...