Перейти к содержанию
xayct

[РЕШЕНО] Помогите восстановить зашифрованную информацию.

Рекомендуемые сообщения

Добрый день.

 Помогите восстановить зашифрованную информацию. Запустился вирус пока был на работе 11.05.2019 приблезительно в 16:00

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.

doubleoffset.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) Проверку провёл CureIT, вирусы уничтожены/

2) Логи в вложении

 

 


Удалите этот пост, пересоздал Тему.

Спасибо.

CollectionLog-2019.05.12-20.30.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день.
 
Есть возможность расшифровать файлы после данного шифровальщика. Вирусы удалены с помощью CureIT.
Лог и пример файлов в вложении

По аналогичным темам сделал
https://forum.kasperskyclub.ru/index.php?showtopic=62767&hl=doubleoffset&do=findComment&comment=930045

Ошибка fixlist.txt not found
Скрин в вложении
 

Fixlog.txt Прикреплён

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2019.05.12-20.30.zip

doubleoffset.rar

Addition.txt

FRST.txt

README.txt

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','');
 TerminateProcessByName('C:\ProgramData\Lziyawogo\Udiki.exe');
 QuarantineFile('C:\ProgramData\Lziyawogo\Udiki.exe','');
 DeleteFile('C:\ProgramData\Lziyawogo\Udiki.exe','32');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\TermService\Parameters','ServiceDll','x64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброй ночи. Сделал.

 

c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Файл сохранён как 190512_204840_quarantine_5cd886a88f495.zip Размер файла 2870134 MD5 9fc6064bdb10fb78cd6fb92d7df61922

 

CollectionLog-2019.05.12-23.54.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сделайте новые логи Farbar.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {F4E47DE8-3645-484B-B3AC-62A9CA0BDC81} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {30D0BE55-5948-48AD-ADFA-FE9DFE39269A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
2019-05-12 03:19 - 2019-05-12 13:25 - 000001296 _____ C:\Users\oleg\README.txt
2019-05-12 03:18 - 2019-05-12 13:25 - 000001296 _____ C:\Users\oleg\Downloads\README.txt
2019-05-12 03:15 - 2019-05-12 13:10 - 000001296 _____ C:\Users\oleg\Documents\README.txt
2019-05-12 02:59 - 2019-05-12 12:13 - 000001296 _____ C:\Users\oleg\AppData\Roaming\README.txt
2019-05-12 02:59 - 2019-05-12 11:31 - 000001296 _____ C:\Users\oleg\AppData\README.txt
2019-05-12 01:22 - 2019-05-12 11:28 - 000001296 _____ C:\Users\oleg\AppData\LocalLow\README.txt
2019-05-11 16:55 - 2019-05-11 16:55 - 000000011 _____ C:\Users\oleg\Desktop\DesktopLocker.ini
2019-05-11 16:55 - 2019-04-24 22:19 - 000279303 _____ C:\Users\oleg\Desktop\Desktop_Locker.exe
2019-05-11 16:45 - 2019-05-12 03:19 - 000001296 _____ C:\Users\Public\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:45 - 2019-05-12 03:18 - 000001296 _____ C:\Users\oleg\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:45 - 2019-05-12 03:17 - 000001296 _____ C:\Users\oleg\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:45 - 2019-05-12 03:02 - 000001296 _____ C:\Users\oleg\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:45 - 2019-05-11 16:45 - 000001296 _____ C:\Users\Public\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:45 - 2019-05-11 16:45 - 000000064 _____ C:\Users\oleg\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-11 16:44 - 2019-05-12 03:00 - 000001296 _____ C:\Users\oleg\Desktop\README.txt
2019-05-11 16:44 - 2019-05-12 02:05 - 000001296 _____ C:\Users\oleg\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:44 - 2019-05-12 01:22 - 000001296 _____ C:\Users\oleg\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:44 - 2019-05-11 16:45 - 000001296 _____ C:\Users\oleg\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:41 - 2019-05-12 01:19 - 000001296 _____ C:\Users\oleg\AppData\LocalLow\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:41 - 2019-05-12 00:55 - 000001296 _____ C:\Users\oleg\AppData\Local\README.txt
2019-05-11 16:31 - 2019-05-11 18:28 - 000001296 _____ C:\Users\a\AppData\README.txt
2019-05-11 16:19 - 2019-05-11 19:18 - 000001296 _____ C:\Users\Admin\README.txt
2019-05-11 16:19 - 2019-05-11 19:17 - 000001296 _____ C:\Users\Admin\Downloads\README.txt
2019-05-11 16:19 - 2019-05-11 19:17 - 000001296 _____ C:\Users\Admin\Documents\README.txt
2019-05-11 16:19 - 2019-05-11 19:17 - 000001296 _____ C:\Users\Admin\Desktop\README.txt
2019-05-11 16:19 - 2019-05-11 19:12 - 000001296 _____ C:\Users\Admin\AppData\Roaming\README.txt
2019-05-11 16:19 - 2019-05-11 19:08 - 000001296 _____ C:\Users\Admin\AppData\README.txt
2019-05-11 16:19 - 2019-05-11 19:08 - 000001296 _____ C:\Users\Admin\AppData\LocalLow\README.txt
2019-05-11 16:19 - 2019-05-11 16:40 - 000001296 _____ C:\Users\oleg\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default User\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default User\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default User\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default User\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default User\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Default User\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\AppData\LocalLow\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:19 - 2019-05-11 16:19 - 000000064 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-11 16:17 - 2019-05-11 19:02 - 000001296 _____ C:\Users\Admin\AppData\Local\README.txt
2019-05-11 16:17 - 2019-05-11 18:37 - 000001296 _____ C:\Users\a\README.txt
2019-05-11 16:17 - 2019-05-11 18:36 - 000001296 _____ C:\Users\a\Downloads\README.txt
2019-05-11 16:17 - 2019-05-11 18:36 - 000001296 _____ C:\Users\a\Documents\README.txt
2019-05-11 16:17 - 2019-05-11 18:36 - 000001296 _____ C:\Users\a\Desktop\README.txt
2019-05-11 16:17 - 2019-05-11 18:36 - 000001296 _____ C:\Users\a\AppData\Roaming\README.txt
2019-05-11 16:17 - 2019-05-11 18:22 - 000001296 _____ C:\Users\a\AppData\LocalLow\README.txt
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\Admin\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\AppData\LocalLow\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:17 - 2019-05-11 16:17 - 000000064 _____ C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-11 16:14 - 2019-05-11 18:21 - 000001296 _____ C:\Users\a\AppData\Local\README.txt
2019-05-11 16:14 - 2019-05-11 16:31 - 000001296 _____ C:\Users\a\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:13 - 2019-05-11 16:45 - 000001296 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:13 - 2019-05-11 16:45 - 000001296 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:13 - 2019-05-11 16:19 - 000001296 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 16:13 - 2019-05-11 16:19 - 000001296 _____ C:\ProgramData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-11 15:49 - 2019-05-11 16:45 - 000001296 _____ C:\Users\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-3298961422-763263788260236685740360.fname-README.txt.doubleoffset
2019-05-12 23:45 - 2009-07-14 08:08 - 000000000 __SHD C:\Users\Все пользователи\Lziyawogo
2019-05-12 23:45 - 2009-07-14 08:08 - 000000000 __SHD C:\ProgramData\Lziyawogo
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проверьте ЛС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё расшифровано. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • От zmunya
      Здравствуйте, прошу помощи в расшифровке файлов. Логи снять не могу, на зараженном компе давно переустановили систему. Прилетел шифратор во вложении почты. Прикрепил три файла в архиве. Могу поискать исходники, если нужны.
      email-biger@x-mail.pro.ZIP
    • От sham@tahoperm.ru
      практически все файлы на обменнике зашифровались с расширением doubleoffset
      пример имени файла
      email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset
       
      файл с логами прицепил.
       
      Прошу поспобствовать в расшифровке фалов.
      Спасибо

       
      в архиве примеры зашифрованных файлов
      CollectionLog-2019.08.27-17.17.zip
      Обменник.rar
    • От hamaronooo
      Здравствуйте!
       
      Синопсис:
       
      25.06.2019 приблизительно в 2 часа ночи были зашифрованы файлы на ПК и на сетевой папке, к которой у ПК был доступ.
      (Атака предположительно по RDP, так как неосмотрительно был открыть порт на роутере .).
       
      Файлы стали иметь расширение doubleoffset (прилагаю образец такого файла, а также его исходный файл - не зашифрованный - Исходник и Зашифрованный файлы.zip).
       
      По инструкции сделал: 1) чистку антивирусом, 2) сбор логов (архив прилагаю).
       
      Антивирус нашел exe шифровальщик (предположительно) и доп файлы к нему в папке: .../users/administrator/downloads (архив с этими файлами прилагаю - Virus.zip).
       
      Прошу у Вас помощи:
       
      Помогите, пожалуйста найти средство для расшифровки файлов.
       
      Что я уже делал:
       
      Были попытки подобрать rsa1024 секретный ключ народными способами из сети интернет. Успешность - отрицательна.
      CollectionLog-2019.07.02-15.30.zip
      Исходник и Зашифрованный файлы.rar
    • От Sahar
      Добрый день!

      Днем шифровальщик в хаотичном порядке зашифровал файлы (включая БД) на одном сервере с расширением .doubleoffset

      Касперский имел последние обновление и работал в это время.

       

      Лог файлы прилагаю, включая пример зараженного файла и сопроводительного файла с контактами .txt (email-3nity@tuta.io...rar)

       

       

      FRST.rar
      CollectionLog-2019.06.25-17.39.zip
      email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-DoNotCopy.txt.rar
×
×
  • Создать...