.doubleoffset [РЕШЕНО] Помогите восстановить зашифрованную информацию .doubleoffset

[paltus]

Добрый день.

 Помогите восстановить зашифрованную информацию. Обнаружили, что все зашифровано.

На вирусы проверили (CureIt), все чисто (кроме нашего ammy).

 

в каждой папке файлы такого вида:

email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-Бухгалтерия предприятия. Версия 2.0.66. Новое в версии.htm.doubleoffset

 

и файл readme.txt с содержимым:

to decrypt files write here blackdragon43@yahoo.com
 

Спасибо.

CollectionLog-2019.05.13-15.43.zip

Изменено 13 мая, 2019 пользователем paltus

[thyrex]

Запуск майнеров через Планировщик заданий сами прописали?

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[paltus]

Да )) лежат не работают . Баловались давно.

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

distr.zip

Изменено 13 мая, 2019 пользователем paltus

[thyrex]

Занятно у Вас в организации с безопасностью

atmin (S-1-5-21-3436288958-1145176758-2842038202-1001 - Administrator - Enabled) => C:\Users\atmin
buh1 (S-1-5-21-3436288958-1145176758-2842038202-1003 - Administrator - Enabled) => C:\Users\buh1
buh2 (S-1-5-21-3436288958-1145176758-2842038202-1004 - Administrator - Enabled) => C:\Users\buh2
buh3 (S-1-5-21-3436288958-1145176758-2842038202-1005 - Administrator - Enabled) => C:\Users\buh3
buh4 (S-1-5-21-3436288958-1145176758-2842038202-1006 - Administrator - Enabled) => C:\Users\buh4
buh5 (S-1-5-21-3436288958-1145176758-2842038202-1007 - Administrator - Enabled) => C:\Users\buh5
glbuh (S-1-5-21-3436288958-1145176758-2842038202-1002 - Administrator - Enabled) => C:\Users\glbuh
атмин (S-1-5-21-3436288958-1145176758-2842038202-1008 - Administrator - Enabled) => C:\Users\атмин

 

Неужели есть такая необходимость в таком количестве администраторов?

 

Вот под buh1 к Вам и проникли.


1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [3093735] => 3093735
HKLM-x32\...\Run: [763325] => 763325
Task: {7C6BB3CD-347C-4A83-A7A2-A9805115981B} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2019-05-09 01:36 - 2019-05-09 01:36 - 000003148 _____ C:\windows\System32\Tasks\VssDataRestore
2019-05-09 01:35 - 2019-05-09 01:35 - 000000011 _____ C:\Users\buh1\Desktop\DesktopLocker.ini
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\Downloads\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\Documents\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\Desktop\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\Roaming\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\атмин\AppData\LocalLow\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\Users\README.txt
2019-05-09 01:31 - 2019-05-09 01:31 - 000000071 _____ C:\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\Desktop\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\Roaming\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\glbuh\AppData\LocalLow\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\Downloads\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\Documents\README.txt
2019-05-09 01:28 - 2019-05-09 01:28 - 000000071 _____ C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\Desktop\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\AppData\Roaming\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\AppData\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh5\AppData\LocalLow\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\Downloads\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\Documents\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\Desktop\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\Roaming\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh4\AppData\LocalLow\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\Downloads\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\Documents\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\Desktop\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\AppData\Roaming\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:26 - 2019-05-09 01:26 - 000000071 _____ C:\Users\buh3\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:31 - 000001303 _____ C:\Users\Все пользователи\README.txt
2019-05-09 01:25 - 2019-05-09 01:31 - 000001303 _____ C:\Users\buh1\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:31 - 000001303 _____ C:\ProgramData\README.txt
2019-05-09 01:25 - 2019-05-09 01:31 - 000000071 _____ C:\Users\buh1\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:28 - 000001303 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:28 - 000001303 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:28 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000001303 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:25 - 000001303 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh3\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\Downloads\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\Roaming\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh2\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\Downloads\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\Roaming\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\buh1\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\Downloads\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\Documents\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\Desktop\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\Roaming\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Users\atmin\AppData\LocalLow\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-09 01:25 - 2019-05-09 01:25 - 000000071 _____ C:\Program Files (x86)\README.txt
2019-05-09 01:24 - 2019-05-09 01:28 - 000001303 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-3871790596-899569259309491993094919.fname-README.txt.doubleoffset
2019-05-09 01:24 - 2019-05-09 01:24 - 000000071 _____ C:\Program Files\README.txt
2019-05-09 01:24 - 2019-05-09 01:24 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-09 01:13 - 2019-04-02 18:46 - 000089600 _____ C:\Users\buh1\Downloads\drakosha0402.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[paltus]

да, проникновение видел и отследил, но что делать? всем нужны сканер и другие драйверы которые только в админах ((

 

 

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Fixlog.zip

[thyrex]

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению в теме.

[paltus]

Образцы зашифрованных файлов ....

И оригиналы...

шифр_ориг.ZIP

Изменено 13 мая, 2019 пользователем paltus

[thyrex]

Проверьте ЛС.

[paltus]

Проверьте ЛС.

Спасибо, чтото не так?

Изменено 13 мая, 2019 пользователем paltus

[thyrex]

Про Not valid password я Вам писал в инструкции. IO errors может быть связано и с правами на запись в определенные папки, и с путями

[paltus]

Чтото расшифровалось конечно. Чтото нет.

Катастрофа конечно ))

 

Повторно запускать можно?

Много не расшифровались файлы размером больше гига.

[thyrex]

Это родной дешифратор от самих злоумышленников, потому что-то более конкретное сказать о его работе трудно. Попробуйте расшифровывать не целыми папками или даже дисками (как делали Вы), а по одному файлу. Тогда можно будет конкретно отследить каждый отдельно взятый файл и попытаться понять причину проблемы.

 

Файлы, для которых ключ не подошел, присылайте.

 

Повторно запускать можно сколько угодно раз.

[paltus]

Посмотрите пожалуйста.

у этих Not valid password

 

шиф_ориг1.ZIP

[thyrex]

Отправил ключ.

 

На заметку: присылать оригиналы мне не нужно, только зашифрованные файлы.

[paltus]

Посмотрите пожалуйста эти файлы.

Не ясно зашифрованы они или нет?

все расшивровалось, осталось 162 файла всего.

Спасибо огроменное, за Вашу помощь.

 

шифр2.ZIP