Перейти к содержанию

Рекомендуемые сообщения

практически все файлы на обменнике зашифровались с расширением doubleoffset

пример имени файла

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset

 

файл с логами прицепил.

 

Прошу поспобствовать в расшифровке фалов.

Спасибо


практически все файлы на обменнике зашифровались с расширением doubleoffset

пример имени файла

email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-4265428218-475339605422575423261620.fname-Навтелеком.jpg.doubleoffset

 

файл с логами прицепил.

 

Прошу поспобствовать в расшифровке фалов.

Спасибо

 

в архиве примеры зашифрованных файлов

CollectionLog-2019.08.27-17.17.zip

Обменник.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Шифрование произошло на этом компьютере (с которого логи)?

 

Platform: x64 Windows 7 (Pro), 6.1.7600.0, Service Pack: 0 <=== Attention! (outdated SP)

SP1 и все обновления безопасности следует как можно быстрее установить.

 

Дополнительно:

1. Несколько зашифрованных офисных документов (или картинок) упакуйте в архив и прикрепите к следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

1. Шифрование произошло на обменнике к которому подключен этот компьютер

2. архив  с примерами зашифрованных файлов прикрепил 

3 отчеты farbar так же в приложении


прошу прощения , в прошлый раз сохранил не на рабочем столе

в приложении новый отчеты

 

Но насколько я могу догадаться , что я делаю совсем не то , при том что заражение произошло не на этом компьютере.

 

Наверное все эти сканирования надо было производить на обменнике?

Обменник.rar

Addition.txt

FRST.txt

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Наверное все эти сканирования надо было производить на обменнике?

Да, именно так.

 

+

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.

Тип файла предпочтительно офисный документ или картинка.

Ссылка на сообщение
Поделиться на другие сайты

1. сканирование farbar проведена на обменнике

2 зашифрованный файл и оригинал в архиве

FRST.txt

Addition.txt

оригинал и шифр.rar

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 5

Web Components

Смените пароли на RDP.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKU\S-1-5-21-3788800251-512136956-1840884067-1125\...\Run: [InstallPath] => C:\Users\104\AppData\Local\Ubisoft\wahiver.exe
    ShortcutTarget: 1C.lnk -> C:\Users\talion\AppData\Local\Ubisoft\wahiver.exe (No File)
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

У нас связи с вирлабом почти нет. Для предыдущей версии был инструмент. Будет ли для этой, вам ответят в ТП.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От rofar
      Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 
      Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
    • От zmunya
      Здравствуйте, прошу помощи в расшифровке файлов. Логи снять не могу, на зараженном компе давно переустановили систему. Прилетел шифратор во вложении почты. Прикрепил три файла в архиве. Могу поискать исходники, если нужны.
      email-biger@x-mail.pro.ZIP
    • От hamaronooo
      Здравствуйте!
       
      Синопсис:
       
      25.06.2019 приблизительно в 2 часа ночи были зашифрованы файлы на ПК и на сетевой папке, к которой у ПК был доступ.
      (Атака предположительно по RDP, так как неосмотрительно был открыть порт на роутере .).
       
      Файлы стали иметь расширение doubleoffset (прилагаю образец такого файла, а также его исходный файл - не зашифрованный - Исходник и Зашифрованный файлы.zip).
       
      По инструкции сделал: 1) чистку антивирусом, 2) сбор логов (архив прилагаю).
       
      Антивирус нашел exe шифровальщик (предположительно) и доп файлы к нему в папке: .../users/administrator/downloads (архив с этими файлами прилагаю - Virus.zip).
       
      Прошу у Вас помощи:
       
      Помогите, пожалуйста найти средство для расшифровки файлов.
       
      Что я уже делал:
       
      Были попытки подобрать rsa1024 секретный ключ народными способами из сети интернет. Успешность - отрицательна.
      CollectionLog-2019.07.02-15.30.zip
      Исходник и Зашифрованный файлы.rar
    • От Sahar
      Добрый день!

      Днем шифровальщик в хаотичном порядке зашифровал файлы (включая БД) на одном сервере с расширением .doubleoffset

      Касперский имел последние обновление и работал в это время.

       

      Лог файлы прилагаю, включая пример зараженного файла и сопроводительного файла с контактами .txt (email-3nity@tuta.io...rar)

       

       

      FRST.rar
      CollectionLog-2019.06.25-17.39.zip
      email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-DoNotCopy.txt.rar
    • От xayct
      Добрый день.
       Помогите восстановить зашифрованную информацию. Запустился вирус пока был на работе 11.05.2019 приблезительно в 16:00
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. doubleoffset.rar
×
×
  • Создать...