Перейти к содержанию

[РЕШЕНО] Помогите восстановить зашифрованную информацию .doubleoffset

paltus
 Share

Рекомендуемые сообщения

paltus Новичок

paltus

Опубликовано
Опубликовано (изменено)

Добрый день.

 Помогите восстановить зашифрованную информацию. Обнаружили, что все зашифровано.

На вирусы проверили (CureIt), все чисто (кроме нашего ammy).

 

в каждой папке файлы такого вида:

email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-Бухгалтерия предприятия. Версия 2.0.66. Новое в версии.htm.doubleoffset

 

и файл readme.txt с содержимым:

to decrypt files write here blackdragon43@yahoo.com
 

Спасибо.

CollectionLog-2019.05.13-15.43.zip

Изменено пользователем paltus
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Запуск майнеров через Планировщик заданий сами прописали?

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
paltus Новичок

paltus

Опубликовано
  • Автор
Опубликовано (изменено)

Да )) лежат не работают . Баловались давно.


6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

distr.zip

Изменено пользователем paltus
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Занятно у Вас в организации с безопасностью

atmin (S-1-5-21-3436288958-1145176758-2842038202-1001 - Administrator - Enabled) => C:\Users\atmin
buh1 (S-1-5-21-3436288958-1145176758-2842038202-1003 - Administrator - Enabled) => C:\Users\buh1
buh2 (S-1-5-21-3436288958-1145176758-2842038202-1004 - Administrator - Enabled) => C:\Users\buh2
buh3 (S-1-5-21-3436288958-1145176758-2842038202-1005 - Administrator - Enabled) => C:\Users\buh3
buh4 (S-1-5-21-3436288958-1145176758-2842038202-1006 - Administrator - Enabled) => C:\Users\buh4
buh5 (S-1-5-21-3436288958-1145176758-2842038202-1007 - Administrator - Enabled) => C:\Users\buh5
glbuh (S-1-5-21-3436288958-1145176758-2842038202-1002 - Administrator - Enabled) => C:\Users\glbuh
атмин (S-1-5-21-3436288958-1145176758-2842038202-1008 - Administrator - Enabled) => C:\Users\атмин

 

Неужели есть такая необходимость в таком количестве администраторов?

 

Вот под buh1 к Вам и проникли.


1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [3093735] => 3093735
HKLM-x32\...\Run: [763325] => 763325
Task: {7C6BB3CD-347C-4A83-A7A2-A9805115981B} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2019-05-09 01:36 - 2019-05-09 01:36 - 000003148 _____ C:\windows\System32\Tasks\VssDataRestore
2019-05-09 01:35 - 2019-05-09 01:35 - 000000011 _____ C:\Users\buh1\Desktop\DesktopLocker.ini
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\Downloads\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\Documents\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\Desktop\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\Roaming\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\LocalLow\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\Desktop\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\Roaming\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\LocalLow\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\Desktop\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\AppData\Roaming\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\AppData\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\AppData\LocalLow\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\Downloads\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\Documents\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\Desktop\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\Roaming\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\LocalLow\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\Downloads\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\Documents\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\Desktop\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\AppData\Roaming\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:31 - 000001303 _____ C:\Users\Все пользователи\README.txt
2019-05-09 01:25 - 2019-05-09 01:31 - 000001303 _____ C:\Users\buh1\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:31 - 000001303 _____ C:\ProgramData\README.txt
2019-05-09 01:25 - 2019-05-09 01:31 - 000000071 _____ C:\Users\buh1\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:28 - 000001303 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:28 - 000001303 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000001303 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:25 - 000001303 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh3\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\Downloads\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\Roaming\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\Downloads\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\Roaming\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\Downloads\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\Roaming\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Program Files (x86)\README.txt
2019-05-09 01:24 - 2019-05-09 01:28 - 000001303 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:24 - 2019-05-09 01:24 - 000000071 _____ C:\Program Files\README.txt
2019-05-09 01:24 - 2019-05-09 01:24 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-09 01:13 - 2019-04-02 18:46 - 000089600 _____ C:\Users\buh1\Downloads\drakosha0402.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
paltus Новичок

paltus

Опубликовано
  • Автор
Опубликовано

да, проникновение видел и отследил, но что делать? всем нужны сканер и другие драйверы которые только в админах ((


 

 

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Fixlog.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Про Not valid password я Вам писал в инструкции. IO errors может быть связано и с правами на запись в определенные папки, и с путями

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
paltus Новичок

paltus

Опубликовано
  • Автор
Опубликовано

Чтото расшифровалось конечно. Чтото нет.

Катастрофа конечно ))

 

Повторно запускать можно?


Много не расшифровались файлы размером больше гига.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Это родной дешифратор от самих злоумышленников, потому что-то более конкретное сказать о его работе трудно. Попробуйте расшифровывать не целыми папками или даже дисками (как делали Вы), а по одному файлу. Тогда можно будет конкретно отследить каждый отдельно взятый файл и попытаться понять причину проблемы.

 

Файлы, для которых ключ не подошел, присылайте.

 

Повторно запускать можно сколько угодно раз.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
paltus Новичок

paltus

Опубликовано
  • Автор
Опубликовано

Посмотрите пожалуйста эти файлы.

Не ясно зашифрованы они или нет?

все расшивровалось, осталось 162 файла всего.

Спасибо огроменное, за Вашу помощь.

 

шифр2.ZIP

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Корчагин Степан
      Информация об актуальных бета-версиях
      От Корчагин Степан
      Всем привет!
      С этого момента здесь мы будем публиковать новости о бета-тестировании.
      Присоединяйтесь к нашему бета-тестированию на нашем специальном ресурсе (лучше регистрироваться под тем же ником, что и тут), приглашайте своих друзей, помогайте нам создавать лучшее защитное программное обеспечение в мире, получайте клубные баллы и другие подарки от нас.
       
      Последние бета-версии продуктов Касперского для Windows (21.8.4.272) можно получить здесь:
      Kaspersky — https://box.kaspersky.com/d/faa52e0ba68c4c5aaa45/
      Kaspersky VPN — https://box.kaspersky.com/d/cc7a0ae4207148b6a0cf/
      KSOS— https://box.kaspersky.com/d/941e5b357d2d45f39dd4/
      KES— https://box.kaspersky.com/d/dbc8bf07bd8a45a3b0bc/
       
      Пожалуйста, сообщайте об ошибках и отзывах на нашем форуме бета-тестирования:
      Для домашних продуктов (Kaspersky, Kaspersky VPN) - https://eap.kaspersky.com/category/354/home
      Для бизнес-продуктов (KES, KSOS) - https://eap.kaspersky.com/category/356/business

      Информацию о изменении актуальной версии бета-продуктов мы будем публиковать здесь, в следующих обновлениях.
      Увидимся!
    • Zhuraulik
      [РЕШЕНО] Помогите удалить вирус.
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • Namnayshka
      [РЕШЕНО] Помогите, пожалуйста удалить троян или составить fixlog
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
×
×
  • Создать...