Перейти к содержанию

[РЕШЕНО] Файлы с расширением .doubleoffset

Sahar
 Поделиться

Рекомендуемые сообщения

Sahar

Sahar

Опубликовано
Опубликовано

Добрый день!


Днем шифровальщик в хаотичном порядке зашифровал файлы (включая БД) на одном сервере с расширением .doubleoffset


Касперский имел последние обновление и работал в это время.


 


Лог файлы прилагаю, включая пример зараженного файла и сопроводительного файла с контактами .txt (email-3nity@tuta.io...rar)


 


 


FRST.rar

CollectionLog-2019.06.25-17.39.zip

email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-DoNotCopy.txt.rar

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

  • Согласен 2
Sahar

Sahar

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

 

Сделал согласно инструкции в HiJackThis, но списке нет O26, только O2, O4, O8. O9, O10, O11, O16, O17, O18, O23

Sahar

Sahar

Опубликовано
  • Автор
Опубликовано

HJT использовали версии 2.9.0.19?

 

Скачал свежую версию с гитхаба, сразу нашлась секция О26 - пофиксил.

 

лог Malwarebytes в закрепе.

.

При необходимости попробую поискать нетронутые бекапы с оригинальными файлами завтра. 

malware.rar

mike 1

mike 1

Опубликовано
Опубликовано 

C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

  • Согласен 1
akoK

akoK

Опубликовано
Опубликовано

+++ а мне пришлите пару файлов зашифрованный и его оригинал, спасибо.

  • Согласен 1
Sahar

Sahar

Опубликовано
  • Автор
Опубликовано 
C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

 

 

Карантин выслал. Файлы зараженные+оригинал выложил на обменник. Ссылку отправил Вам в лс.

Sahar

Sahar

Опубликовано
  • Автор
Опубликовано

Выражаю благодарность консультантам akoK и mike 1 за оперативную техническую поддержку. На данный момент проблема устранена полностью. :pioner:

  • Согласен 1
akoK

akoK

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

mike 1

mike 1

Опубликовано
Опубликовано

В MBAM удалите все найденное. Смените все пароли. Смените пароль от RDP. Закройте подключение извне по RDP, сделайте чтобы можно было подключаться только через VPN к серверу. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ches66
      Шифровальщик captain-america@tuta.io].deep
      Автор ches66
      Добрый день!
      Найден шифровальщик 
      зашифровал файлы под именем .id[D80C2187-3352].[captain-america@tuta.io].deep
      Определить Шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Доступ АТС.txt.id[D80C2187-3352].[captain-america@tuta.io].zip
      FRST.zip
    • rofar
      шифровальщик Doubleoffset
      Автор rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • zmunya
      [РЕШЕНО] email-biger@x-mail.pro.ver-CL 1.5.1.0
      Автор zmunya
      Здравствуйте, прошу помощи в расшифровке файлов. Логи снять не могу, на зараженном компе давно переустановили систему. Прилетел шифратор во вложении почты. Прикрепил три файла в архиве. Могу поискать исходники, если нужны.
      email-biger@x-mail.pro.ZIP
    • sham@tahoperm.ru
      шифровка с расширением doubleoffset
      Автор sham@tahoperm.ru
      практически все файлы на обменнике зашифровались с расширением doubleoffset
      пример имени файла
      email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset
       
      файл с логами прицепил.
       
      Прошу поспобствовать в расшифровке фалов.
      Спасибо

       
      в архиве примеры зашифрованных файлов
      CollectionLog-2019.08.27-17.17.zip
      Обменник.rar
    • thyrex
      Пострадавшим от шифровальщика Cryakl CS1.6 с почтой 3nity@tuta.io
      Автор thyrex
      Если Вы пострадали от шифровальщика, указанного в заголовке темы, до 3 июля 2019 года эта информация будет полезной для Вас.

      По нашим данным правоохранительные органы произвели арест сервера с приватными ключами, необходимыми для получения ключей расшифровки файлов. Бэкапов злоумышленник с почтой, указанной в заголовке темы, не делал, а значит не имеет смысла платить ему выкуп за восстановление информации. 
       
      Несмотря на то, что информация может быть передана в антивирусные компании, пока неясно, сумеют ли они извлечь данные из криптоконтейнера.
×
×
  • Создать...