Перейти к содержанию

Шифровальщик email-support@decrypt-files.info.ver-CL 1.5(1.3) *.doubleoffset


Рекомендуемые сообщения

Проник шифровальщик, зашифровал содержимое сетевых папок, имена файлов изменил следующим образом:

в каких-то местах они такие:

email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-ABBBCDDEEFFFGGHHIIJJKKKLLMMNNO.OOP.qqr

email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-IJJJKLLMNNOOOPPQQRRSSSTTUUVVWX.XXY.zzz
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-OOPPRRSSSTTUUVVWXXXXYYZZABBBBC.DDE.fff
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-QRSSTTUUVWWWWXXYZZAAAABBCCDDEF.FFG.ghh
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-STUUVVWWXYYZZZZAABCCDDEEEEFGGH.III.ijj
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-TUUVWXXXXYYZAABBBBCCDEEFFGGGGH.IIJ.kkk
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-UUUVWXXYYZZZAABBCCDDDEEFFGGHHI.IIJ.kkk
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZAABCCCCDEEFFGGHHHIIJJKKLL.LMN.noo
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZABBBBCDDEEFFFFGHHIIJJJJKK.MMN.ooo
а в каких-то такие:
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset
 

 


На всякий случай, прикрепляю примеры зашифрованных файлов

CollectionLog-2018.10.16-00.21.zip

Файлы.zip

Изменено пользователем ypershin
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Удалите IObit через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] = C:\Users\User\AppData\Roaming\cppredistx86.exe  (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
O22 - Task: {D87F83B6-6FD4-341D-5A43-00D7897A294C} - C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe /run (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','');
 QuarantineFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','');
 QuarantineFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x32');
 DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x64');
 DeleteSchedulerTask('Soft installer');
 DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','64');
 DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','64');
 DeleteSchedulerTask('Uninstaller_SkipUac_User');
 DeleteSchedulerTask('{52D1D134-7894-48CF-9073-0C7644EBC6F0}');
 DeleteFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','64');
 DeleteSchedulerTask('{77108E3C-4C71-191B-AD1B-E1D1F566BF0E}');
 DeleteFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','64');
 DeleteSchedulerTask('{D87F83B6-6FD4-341D-5A43-00D7897A294C}');
 DeleteFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
 

P.S. Проверьте лс.

Ссылка на комментарий
Поделиться на другие сайты

По поводу расшифровки жду информации. Уточните пожалуйста Вы карантин отправляли, через указанную форму?

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Карантин отправлял, после отправки пишет, что данный файл уже был загружен. Сам архив quarantin изначально создается пустой.

 

Запустил утилиту Farbar, файлы, созданные после сканирования во вложении.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-06-29]
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-02-05]
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-02-05]
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path/update_url>
    File: C:\Program Files\RDP Wrapper\rdpwrap.dll
    S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    File: C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Все пользователи\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\User\AppData\Roaming\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Downloads\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\ProgramData\README.txt
    2018-10-15 16:50 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Documents\README.txt
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\Все пользователи\IObit
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\ProgramData\IObit
    2018-10-16 10:51 - 2017-03-02 14:01 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
    Folder: C:\Users\User\AppData\Roaming\HpUpdate
    Folder: C:\ProgramData\{8A39DEA2-3D92-6909-16EB-3DBF309A65DF}
    Folder: C:\ProgramData\{39DD736F-8E76-C4C4-54F9-18580F9CDE94}
    Folder: C:\ProgramData\{0C9234C2-BB39-8369-09D2-EEB4749B93CD}
    Folder: C:\ProgramData\8floor
    ContextMenuHandlers1: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} =>  -> No File
    ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers4: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers6: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} =>  -> No File
    ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    Task: {31CE1B16-7C02-470A-BFBA-D7056F473574} - \{0D0B0B47-040C-0F79-7F11-087F0B0D110D} -> No File <==== ATTENTION
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Касаемо decrypt-files.info.ver-CL 1.3.1.0. выполните следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

Касаемо другого шифровальщика ожидайте ответа от одного из консультантов в ближайщее время.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Отправил в ЛС для

 


email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
×
×
  • Создать...