Перейти к содержанию

Шифровальщик email-support@decrypt-files.info.ver-CL 1.5(1.3) *.doubleoffset


Рекомендуемые сообщения

Проник шифровальщик, зашифровал содержимое сетевых папок, имена файлов изменил следующим образом:

в каких-то местах они такие:

email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-ABBBCDDEEFFFGGHHIIJJKKKLLMMNNO.OOP.qqr

email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-IJJJKLLMNNOOOPPQQRRSSSTTUUVVWX.XXY.zzz
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-OOPPRRSSSTTUUVVWXXXXYYZZABBBBC.DDE.fff
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-QRSSTTUUVWWWWXXYZZAAAABBCCDDEF.FFG.ghh
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-STUUVVWWXYYZZZZAABCCDDEEEEFGGH.III.ijj
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-TUUVWXXXXYYZAABBBBCCDEEFFGGGGH.IIJ.kkk
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-UUUVWXXYYZZZAABBCCDDDEEFFGGHHI.IIJ.kkk
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZAABCCCCDEEFFGGHHHIIJJKKLL.LMN.noo
email-support@decrypt-files.info.ver-CL 1.3.1.0.id-@@@@@420E-B5F5.randomname-WXYYZABBBBCDDEEFFFFGHHIIJJJJKK.MMN.ooo
а в каких-то такие:
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset
email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset
 

 


На всякий случай, прикрепляю примеры зашифрованных файлов

CollectionLog-2018.10.16-00.21.zip

Файлы.zip

Изменено пользователем ypershin
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Удалите IObit через установку программ в панели управления.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] = C:\Users\User\AppData\Roaming\cppredistx86.exe  (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
O22 - Task: {D87F83B6-6FD4-341D-5A43-00D7897A294C} - C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe /run (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','');
 QuarantineFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','');
 QuarantineFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','');
 DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x32');
 DeleteFile('C:\Users\User\AppData\Roaming\cppredistx86.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010','x64');
 DeleteSchedulerTask('Soft installer');
 DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1108260341_monster.exe','64');
 DeleteFile('C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe','64');
 DeleteSchedulerTask('Uninstaller_SkipUac_User');
 DeleteSchedulerTask('{52D1D134-7894-48CF-9073-0C7644EBC6F0}');
 DeleteFile('C:\Users\User\AppData\Roaming\sweet-page\UninstallManager.exe','64');
 DeleteSchedulerTask('{77108E3C-4C71-191B-AD1B-E1D1F566BF0E}');
 DeleteFile('C:\PROGRA~3\bdd75b60\d136dad1.dll','64');
 DeleteSchedulerTask('{D87F83B6-6FD4-341D-5A43-00D7897A294C}');
 DeleteFile('C:\ProgramData\{21E5B5DD-964E-0276-0B64-81800627C241}\B82E5508-0F85-E2A3-D67D-D8181F6BD6AD.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
 

P.S. Проверьте лс.

Ссылка на комментарий
Поделиться на другие сайты

По поводу расшифровки жду информации. Уточните пожалуйста Вы карантин отправляли, через указанную форму?

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Карантин отправлял, после отправки пишет, что данный файл уже был загружен. Сам архив quarantin изначально создается пустой.

 

Запустил утилиту Farbar, файлы, созданные после сканирования во вложении.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-06-29]
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2018-02-05]
    CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2018-02-05]
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2270554093-2864587344-2727639988-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path/update_url>
    File: C:\Program Files\RDP Wrapper\rdpwrap.dll
    S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    File: C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Все пользователи\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\User\AppData\Roaming\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Downloads\README.txt
    2018-10-15 16:52 - 2018-10-15 16:52 - 000000149 _____ C:\ProgramData\README.txt
    2018-10-15 16:50 - 2018-10-15 16:52 - 000000149 _____ C:\Users\Public\Documents\README.txt
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\Все пользователи\IObit
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
    2018-10-16 10:51 - 2017-03-02 14:02 - 000000000 ____D C:\ProgramData\IObit
    2018-10-16 10:51 - 2017-03-02 14:01 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
    Folder: C:\Users\User\AppData\Roaming\HpUpdate
    Folder: C:\ProgramData\{8A39DEA2-3D92-6909-16EB-3DBF309A65DF}
    Folder: C:\ProgramData\{39DD736F-8E76-C4C4-54F9-18580F9CDE94}
    Folder: C:\ProgramData\{0C9234C2-BB39-8369-09D2-EEB4749B93CD}
    Folder: C:\ProgramData\8floor
    ContextMenuHandlers1: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} =>  -> No File
    ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers4: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers6: [FineReader11ContextMenu] -> [CC]{79E48320-C6B5-49F1-992B-571D53586885} =>  -> No File
    ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> No File
    ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
    Task: {31CE1B16-7C02-470A-BFBA-D7056F473574} - \{0D0B0B47-040C-0F79-7F11-087F0B0D110D} -> No File <==== ATTENTION
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Касаемо decrypt-files.info.ver-CL 1.3.1.0. выполните следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

Касаемо другого шифровальщика ожидайте ответа от одного из консультантов в ближайщее время.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Отправил в ЛС для

 


email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-cspcomsetup_v2.msi.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-temp.txt.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-Настройка рабочего места 2_5.2.doc.doubleoffset email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-ЭЛЕКТРОННЫЙ АРХИВ ДОКУМЕТОВ - Ярлык (2).lnk.doubleoffset
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Огромное спасибо всем, кто помогал мне с зараженным компьютером. Все файлы одного из шифровальщиков успешно расшифрованы!!

Помогли с расшифровкой файлов типа email-support@decrypt-files.info.ver-CL 1.5.1.0.id-1108260341-246322193090820734046201.fname-123.reg.doubleoffset

По другому шифровальщику написал в ЛК по вашей инструкции.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Anastas Dzhabbarov
      От Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
×
×
  • Создать...