Перейти к содержанию

Рекомендуемые сообщения

Добрый день!


Днем шифровальщик в хаотичном порядке зашифровал файлы (включая БД) на одном сервере с расширением .doubleoffset


Касперский имел последние обновление и работал в это время.


 


Лог файлы прилагаю, включая пример зараженного файла и сопроводительного файла с контактами .txt (email-3nity@tuta.io...rar)


 


 


FRST.rar

CollectionLog-2019.06.25-17.39.zip

email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-DoNotCopy.txt.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Пофиксите в HiJackThis следующие строчки:

O26 - Debugger: HKLM\..\360Safe.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360rps.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360sd.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\360tray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KSWebShield.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVMonXP.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KVSrvXp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\KsafeTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Kwatch.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCRTP.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\QQPCTray.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\RSTRAY.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\SHSTAT.EXE: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\Storm.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avcenter.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avgnt.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\avguard.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cfp.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\cmdagent.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kavstart.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kissvc.exe: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\kvxp.kxp: [Debugger] = C:\Windows\system32\taskkill.exe
O26 - Debugger: HKLM\..\ravmond.exe: [Debugger] = C:\Windows\system32\taskkill.exe

Сделайте такой лог  https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/ . Самостоятельно ничего не удаляйте!

 

Сделал согласно инструкции в HiJackThis, но списке нет O26, только O2, O4, O8. O9, O10, O11, O16, O17, O18, O23

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

HJT использовали версии 2.9.0.19?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

HJT использовали версии 2.9.0.19?

 

Скачал свежую версию с гитхаба, сразу нашлась секция О26 - пофиксил.

 

лог Malwarebytes в закрепе.

.

При необходимости попробую поискать нетронутые бекапы с оригинальными файлами завтра. 

malware.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+++ а мне пришлите пару файлов зашифрованный и его оригинал, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
C:\USERS\MOCUSERCAXARTERM\DESKTOP\DOSTUP.EXE
C:\WINDOWS\SYSTEM\LSASS.EXE

Упакуйте в zip архив с паролем и именем virus и пришлите карантин через данную форму  https://virusinfo.info/upload_virus.php?tid=37678

+ Пришлите еще зашифрованный файл более 100 КБ и его незашифрованную копию в архиве.

 

 

Карантин выслал. Файлы зараженные+оригинал выложил на обменник. Ссылку отправил Вам в лс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выражаю благодарность консультантам akoK и mike 1 за оперативную техническую поддержку. На данный момент проблема устранена полностью. :pioner:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В MBAM удалите все найденное. Смените все пароли. Смените пароль от RDP. Закройте подключение извне по RDP, сделайте чтобы можно было подключаться только через VPN к серверу. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • От zmunya
      Здравствуйте, прошу помощи в расшифровке файлов. Логи снять не могу, на зараженном компе давно переустановили систему. Прилетел шифратор во вложении почты. Прикрепил три файла в архиве. Могу поискать исходники, если нужны.
      email-biger@x-mail.pro.ZIP
    • От sham@tahoperm.ru
      практически все файлы на обменнике зашифровались с расширением doubleoffset
      пример имени файла
      email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset
       
      файл с логами прицепил.
       
      Прошу поспобствовать в расшифровке фалов.
      Спасибо

       
      в архиве примеры зашифрованных файлов
      CollectionLog-2019.08.27-17.17.zip
      Обменник.rar
    • От thyrex
      Если Вы пострадали от шифровальщика, указанного в заголовке темы, до 3 июля 2019 года эта информация будет полезной для Вас.

      По нашим данным правоохранительные органы произвели арест сервера с приватными ключами, необходимыми для получения ключей расшифровки файлов. Бэкапов злоумышленник с почтой, указанной в заголовке темы, не делал, а значит не имеет смысла платить ему выкуп за восстановление информации. 
       
      Несмотря на то, что информация может быть передана в антивирусные компании, пока неясно, сумеют ли они извлечь данные из криптоконтейнера.
    • От hamaronooo
      Здравствуйте!
       
      Синопсис:
       
      25.06.2019 приблизительно в 2 часа ночи были зашифрованы файлы на ПК и на сетевой папке, к которой у ПК был доступ.
      (Атака предположительно по RDP, так как неосмотрительно был открыть порт на роутере .).
       
      Файлы стали иметь расширение doubleoffset (прилагаю образец такого файла, а также его исходный файл - не зашифрованный - Исходник и Зашифрованный файлы.zip).
       
      По инструкции сделал: 1) чистку антивирусом, 2) сбор логов (архив прилагаю).
       
      Антивирус нашел exe шифровальщик (предположительно) и доп файлы к нему в папке: .../users/administrator/downloads (архив с этими файлами прилагаю - Virus.zip).
       
      Прошу у Вас помощи:
       
      Помогите, пожалуйста найти средство для расшифровки файлов.
       
      Что я уже делал:
       
      Были попытки подобрать rsa1024 секретный ключ народными способами из сети интернет. Успешность - отрицательна.
      CollectionLog-2019.07.02-15.30.zip
      Исходник и Зашифрованный файлы.rar
×
×
  • Создать...