Перейти к содержанию

Ransom, расширение файлов: doubleoffset.

hamaronooo
 Поделиться

Рекомендуемые сообщения

hamaronooo

hamaronooo

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Синопсис:

 

25.06.2019 приблизительно в 2 часа ночи были зашифрованы файлы на ПК и на сетевой папке, к которой у ПК был доступ.

(Атака предположительно по RDP, так как неосмотрительно был открыть порт на роутере :facepalm: .).

 

Файлы стали иметь расширение doubleoffset (прилагаю образец такого файла, а также его исходный файл - не зашифрованный - Исходник и Зашифрованный файлы.zip).

 

По инструкции сделал: 1) чистку антивирусом, 2) сбор логов (архив прилагаю).

 

Антивирус нашел exe шифровальщик (предположительно) и доп файлы к нему в папке: .../users/administrator/downloads (архив с этими файлами прилагаю - Virus.zip).

 

Прошу у Вас помощи:

 

Помогите, пожалуйста найти средство для расшифровки файлов.

 

Что я уже делал:

 

Были попытки подобрать rsa1024 секретный ключ народными способами из сети интернет. Успешность - отрицательна.

CollectionLog-2019.07.02-15.30.zip

Исходник и Зашифрованный файлы.rar

Изменено пользователем Sandor
Убрал вредонос
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Расшифровка будет выдана после очистки системы.

Дыра в системе ещё есть, поможем закрыть:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
  • Согласен 1
hamaronooo

hamaronooo

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Расшифровка будет выдана после очистки системы.

Дыра в системе ещё есть, поможем закрыть:

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

 

Здравствуйте.

 

Инструкции выполнил. (архив в приложении)

 

Подскажите пожалуйста, кто или что может помочь в расшифровке файлов. Что мне нужно для этого сделать?

 

Спасибо!

CollectionLog-2019.07.02-16.09.zip

akoK

akoK

Опубликовано
Опубликовано

 

 


Подскажите пожалуйста, кто или что может помочь в расшифровке файлов. Что мне нужно для этого сделать?

Ждите инструкций в ЛС, расшифровка возможна.

  • Согласен 3
Sandor

Sandor

Опубликовано
Опубликовано

Проверьте ЛС.

 

Здесь дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Согласен 1
hamaronooo

hamaronooo

Опубликовано
  • Автор
Опубликовано

 

Подскажите пожалуйста, кто или что может помочь в расшифровке файлов. Что мне нужно для этого сделать?

Ждите инструкций в ЛС, расшифровка возможна.

 

 

Большое спасибо! Файлы расшифровываются!

Sandor

Sandor

Опубликовано
Опубликовано

Логи FRST сделайте, пожалуйста.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Paul99
      New MedusaLocker Strain Marlock7 | Can I get my files back without paying ransom?
      Автор Paul99
      HISTORY: We were hit with a ransom attack. My daily backups were deleted by the attackers. The backups were situated on a NAS (Synology RS814+) I have sent this appliance into a professional Data Recovery Company (WeRecoverData) in the hopes the files on it can be recovered. If this works I can restore my entire network shares and folders from an Arcserve UDP backup that is current to the date of the attack.  I also have an off-site copy of the restoration files on an external USB drive.  Unfortunately this was created using Arcserve's File Copy job, and my data being backed up was taking longer and longer to complete copy job. Data as a whole was growing incredibly large fast, and network files were making for 19+ days to create a copy job over the network. I used this copy to carry out of premises. That copy has a last successful copy job of backup files that is 6.5 months old.  My hope is that there is a known decryption tool for the medlock7 ransomware. I have access to my server and all encrypted files are still intact. My question, can I restore/repair these files without paying the attackers?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • lex-xel
      Сервер подвергся взлому
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
×
×
  • Создать...