Перейти к содержанию

шифровка с расширением doubleoffset

sham@tahoperm.ru
 Поделиться

Рекомендуемые сообщения

sham@tahoperm.ru

sham@tahoperm.ru

Опубликовано
Опубликовано

практически все файлы на обменнике зашифровались с расширением doubleoffset

пример имени файла

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset

 

файл с логами прицепил.

 

Прошу поспобствовать в расшифровке фалов.

Спасибо


практически все файлы на обменнике зашифровались с расширением doubleoffset

пример имени файла

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset

 

файл с логами прицепил.

 

Прошу поспобствовать в расшифровке фалов.

Спасибо

 

в архиве примеры зашифрованных файлов

CollectionLog-2019.08.27-17.17.zip

Обменник.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Шифрование произошло на этом компьютере (с которого логи)?

 

Platform: x64 Windows 7 (Pro), 6.1.7600.0, Service Pack: 0 <=== Attention! (outdated SP)

SP1 и все обновления безопасности следует как можно быстрее установить.

 

Дополнительно:

1. Несколько зашифрованных офисных документов (или картинок) упакуйте в архив и прикрепите к следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

sham@tahoperm.ru

sham@tahoperm.ru

Опубликовано
  • Автор
Опубликовано

1. Шифрование произошло на обменнике к которому подключен этот компьютер

2. архив  с примерами зашифрованных файлов прикрепил 

3 отчеты farbar так же в приложении


прошу прощения , в прошлый раз сохранил не на рабочем столе

в приложении новый отчеты

 

Но насколько я могу догадаться , что я делаю совсем не то , при том что заражение произошло не на этом компьютере.

 

Наверное все эти сканирования надо было производить на обменнике?

Обменник.rar

Addition.txt

FRST.txt

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Наверное все эти сканирования надо было производить на обменнике?

Да, именно так.

 

+

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.

Тип файла предпочтительно офисный документ или картинка.

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 5

Web Components

Смените пароли на RDP.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
HKU\S-1-5-21-3788800251-512136956-1840884067-1125\...\Run: [InstallPath] => C:\Users\104\AppData\Local\Ubisoft\wahiver.exe
ShortcutTarget: 1C.lnk -> C:\Users\talion\AppData\Local\Ubisoft\wahiver.exe (No File)
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

sham@tahoperm.ru

sham@tahoperm.ru

Опубликовано
  • Автор
Опубликовано

с уязвимостями ясно- сделаем

 

по расшифровке есть какое то понимание? 

Sandor

Sandor

Опубликовано
Опубликовано

У нас связи с вирлабом почти нет. Для предыдущей версии был инструмент. Будет ли для этой, вам ответят в ТП.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • imagic
      [РЕШЕНО] Ransomware cryakl 1.5.1
      Автор imagic
      Добрый день.
      Попал по раздаче на ransomware. В вашем форуме заметил лечение конкретного пользователя от данного шифровальщика - тема blackdragon43@yahoo.com. Как я понимаю, версия та же, 1.5.1.0. Таким образом, у меня есть шанс восстановить?
       
      Пример названия файла:
      email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-Autoruns.exe.doubleoffset
       
      Порадуйте меня, пожалуйста, чем сможете 
       
      На данный момент читаю порядок оформления запроса о помощи. По мере возможности обновлю тему.
       
      Кстати, уже назрел вопрос: я извлёк жёсткий диск из жертвы и открыл его через USB адаптер на ноуте. Соответственно, загрузка произведена с другой системы, незаражённой. Какие требования в данном случае для корректной идентификации проблеммы?
    • rofar
      шифровальщик Doubleoffset
      Автор rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • G0sh@
      Помогите, пожалуйста, с расшифровкой.
      Автор G0sh@
      Здравствуйте! Помогите, пожалуйста, с расшифровкой email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2792387762-226255123831548241453476.fname-1 этаж вход.jpg(2).doubleoffset
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. virus.7z
    • Art168
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@06
      Автор Art168
      Здравствуйте,
      Поймал шифровальщик (email-hola@all-ransomware.info.ver-CL 1.4.1.0.id-1019697497-27.02.2018 11@45@061761572.fname-20130228.xml).
      Зашифровал весь комп и HDD-хранилище. Винду переустановил, а вот hdd-харнилище нет. Помогите, пожалуйста, расшифровать файлы на hdd.
      Заранее благодарен.
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • igmakarik
      [РЕШЕНО] Зашифровались файлы email-biger@x-mail.pro.ver-CL 1.5.1.0
      Автор igmakarik
      Добрый день! Возникла проблема с шифрованием файлов в файловом хранилище. В основном, оказались зашифрованы jpeg. На компьютере переустановил систему. Есть ли какие-то решения данной проблемы? Заранее, огромное спасибо за помощь.
      email-biger@x-mail.pro.ver-CL 1.5.1.0.rar
×
×
  • Создать...