Перейти к содержанию

Помогите восстановить зашифрованную информацию .doubleoffset


Рекомендуемые сообщения

Добрый день , помогите восстановить данные после шифровщика 

 

Антивирус ничего не нашел 

файлы теперь переименованы в

 

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-1Cv8.1CD.doubleoffset

 

Файлы FRST.txt и Addition.txt прикреплены

 

 

Ссылка на комментарий
Поделиться на другие сайты

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 15-06-2019

Ran by Sergey (ATTENTION: The user is not administrator)

Переделайте от имени администратора.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-32-545\User: Restriction <==== ATTENTION
    2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Local\README.txt
    2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\Users\Все пользователи\README.txt
    2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\ProgramData\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Desktop\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\Roaming\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\LocalLow\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Downloads\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Documents\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Downloads\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Documents\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Desktop\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\README.txt
    2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\LocalLow\README.txt
    2019-06-14 23:10 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Lev\AppData\Local\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Несколько небольших зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Смените пароль на RDP и некоторое время подождите.

 

Спасибо, ждем.

Можете уточнить как возможно что данные менялись под учеткой, который в целом нет в списке ?

Ссылка на комментарий
Поделиться на другие сайты

Вы об этой?

C:\Users\Lev

Да , эта запись была изменена более года назад и под таким наименованием просто отсутствовала , а в логах фигурирует

Изменено пользователем SergeyLSA
Ссылка на комментарий
Поделиться на другие сайты

Причем, в логах разных утилит. Поэтому возможно она все-таки есть, смотрите внимательно.

 

К сожалению, расшифровки для этой версии нет.

 

Проверьте уязвимые места системы:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Корчагин Степан
      От Корчагин Степан
      Всем привет!
      С этого момента здесь мы будем публиковать новости о бета-тестировании.
      Присоединяйтесь к нашему бета-тестированию на нашем специальном ресурсе (лучше регистрироваться под тем же ником, что и тут), приглашайте своих друзей, помогайте нам создавать лучшее защитное программное обеспечение в мире, получайте клубные баллы и другие подарки от нас.
       
      Последние бета-версии продуктов Касперского для Windows (21.8.4.272) можно получить здесь:
      Kaspersky — https://box.kaspersky.com/d/faa52e0ba68c4c5aaa45/
      Kaspersky VPN — https://box.kaspersky.com/d/cc7a0ae4207148b6a0cf/
      KSOS— https://box.kaspersky.com/d/941e5b357d2d45f39dd4/
      KES— https://box.kaspersky.com/d/dbc8bf07bd8a45a3b0bc/
       
      Пожалуйста, сообщайте об ошибках и отзывах на нашем форуме бета-тестирования:
      Для домашних продуктов (Kaspersky, Kaspersky VPN) - https://eap.kaspersky.com/category/354/home
      Для бизнес-продуктов (KES, KSOS) - https://eap.kaspersky.com/category/356/business

      Информацию о изменении актуальной версии бета-продуктов мы будем публиковать здесь, в следующих обновлениях.
      Увидимся!
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • Anastas Dzhabbarov
      От Anastas Dzhabbarov
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете  восстановить их? 
      FRST.txt Addition.txt
×
×
  • Создать...