Перейти к содержанию
Авторизация  
rofar

шифровальщик Doubleoffset

Рекомендуемые сообщения

Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 

Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, для начала выполните это https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

+ Прикрепите архив с зашифрованным файлом и его не зашифрованную копию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, для начала выполните это https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

+ Прикрепите архив с зашифрованным файлом и его не зашифрованную копию.

Оу, извините, думал прикрепил логи) ...не нажал кнопку "загрузить")

 

а архив с двумя файлами весит 18Мб, подскажите пожалуйста как его лучше передать?

CollectionLog-2019.12.18-08.10.zip

Изменено пользователем rofar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Загрузите например на Яндекс диск, а здесь ссылку разместите. Логи посмотрю после основной работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

https://yadi.sk/d/CyiR8fJ2fnJ5-g

 

Загрузите например на Яндекс диск, а здесь ссылку разместите. Логи посмотрю после основной работы.

ок, спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
@rofar, и пришлите еще несколько зашифрованных файлов без оригиналов до шифрования

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@rofar, и пришлите еще несколько зашифрованных файлов без оригиналов до шифрования

https://yadi.sk/d/t7LjzP9noWaVSg

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

FRST.txt

Addition.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Незнакомые учетные записи отключите и удалите (если таковые имеются)

 

Раскрыть:


==================== Accounts: =============================

Acronis Agent User (S-1-5-21-1135535595-4110849644-1627670699-1001 - Administrator - Enabled) => C:\Users\Acronis Agent User
admin (S-1-5-21-1135535595-4110849644-1627670699-1008 - Administrator - Enabled)
Administrator (S-1-5-21-1135535595-4110849644-1627670699-500 - Administrator - Enabled) => C:\Users\Administrator
BGSYSTEM (S-1-5-21-1135535595-4110849644-1627670699-1014 - Administrator - Enabled) => C:\Users\BGSYSTEM.FLEXO-ENGINE
digi (S-1-5-21-1135535595-4110849644-1627670699-1010 - Limited - Enabled)
Flexo-raskladka (S-1-5-21-1135535595-4110849644-1627670699-1021 - Administrator - Enabled) => C:\Users\Flexo-raskladka
Flexo-raskladka2 (S-1-5-21-1135535595-4110849644-1627670699-1022 - Administrator - Enabled)
flexproof (S-1-5-21-1135535595-4110849644-1627670699-1013 - Limited - Enabled)
flexrip (S-1-5-21-1135535595-4110849644-1627670699-1012 - Limited - Enabled)
Guest (S-1-5-21-1135535595-4110849644-1627670699-501 - Limited - Enabled)
jdfp (S-1-5-21-1135535595-4110849644-1627670699-1011 - Limited - Enabled)
trap (S-1-5-21-1135535595-4110849644-1627670699-1015 - Limited - Enabled)

 

 

Проверьте эти файлы на virustotal
C:\Windows\SysWOW64\zd13bxc.dll
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Незнакомые учетные записи отключите и удалите (если таковые имеются)

 

Раскрыть:

 

==================== Accounts: =============================

 

Acronis Agent User (S-1-5-21-1135535595-4110849644-1627670699-1001 - Administrator - Enabled) => C:\Users\Acronis Agent User

admin (S-1-5-21-1135535595-4110849644-1627670699-1008 - Administrator - Enabled)

Administrator (S-1-5-21-1135535595-4110849644-1627670699-500 - Administrator - Enabled) => C:\Users\Administrator

BGSYSTEM (S-1-5-21-1135535595-4110849644-1627670699-1014 - Administrator - Enabled) => C:\Users\BGSYSTEM.FLEXO-ENGINE

digi (S-1-5-21-1135535595-4110849644-1627670699-1010 - Limited - Enabled)

Flexo-raskladka (S-1-5-21-1135535595-4110849644-1627670699-1021 - Administrator - Enabled) => C:\Users\Flexo-raskladka

Flexo-raskladka2 (S-1-5-21-1135535595-4110849644-1627670699-1022 - Administrator - Enabled)

flexproof (S-1-5-21-1135535595-4110849644-1627670699-1013 - Limited - Enabled)

flexrip (S-1-5-21-1135535595-4110849644-1627670699-1012 - Limited - Enabled)

Guest (S-1-5-21-1135535595-4110849644-1627670699-501 - Limited - Enabled)

jdfp (S-1-5-21-1135535595-4110849644-1627670699-1011 - Limited - Enabled)

trap (S-1-5-21-1135535595-4110849644-1627670699-1015 - Limited - Enabled)

 

 

Проверьте эти файлы на virustotal
C:\Windows\SysWOW64\zd13bxc.dll
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Я не смогу сказать какие учётные записи нужные, а какие нет... но похоже что все они нужны для работы софта на сервере.

 

И не могу найти  файл zd13bxc.dll https://prnt.sc/qderw7

post-56861-0-87356900-1576826050_thumb.png

Изменено пользователем rofar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И не могу найти  файл zd13bxc.dll

Файл скрытый. В настройках Total Commander включите показ таких файлов. Хотя особого смысла проверять файл размером 16 байт вовсе нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

И не могу найти  файл zd13bxc.dll

Файл скрытый. В настройках Total Commander включите показ таких файлов. Хотя особого смысла проверять файл размером 16 байт вовсе нет.

 

Нашёл, проверил - ничего не обнаружило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\a13qwjc.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\a25tylx.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\aleaxh7.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\am3hya8.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ayyg2pi.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\b5njgpk.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\bdxr0aq.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\bib9rl9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\bzimgcx.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\c0xwz5k.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ce584e0.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\cgfmsav.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\cgw4ia5.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\d5dojhu.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\e51luyv.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\eahtoxv.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\eakrk5c.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ehokls5.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\f20oqgu.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\fjrdf2r.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\fubdohz.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\geu0jc7.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ghl315g.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\govi7a0.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\hxcutpn.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ia62g61.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ibkr89q.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ify9vek.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ih3uca0.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\itbqmsd.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\j0nmgox.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\jcevg23.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\jirwjac.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\jycbrhr.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\k1rmh7v.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ka28x1y.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\l96cz7b.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\l9b1ltt.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lcdsdev.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ljp1ed9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lnbedk7.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\luhrfu4.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lyrfxa6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lz4d44s.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\m7iobxa.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\mfg3d0i.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\mrok6d9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ndngemw.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\nh5guei.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\nl0irjj.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\nz40wvh.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\odx6rnd.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\okusfw9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ou7kk0p.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\p5j2pna.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\pcrh8js.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\qf62lz6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\r0ep77c.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\r2a4y49.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\r6g33te.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\s1fzm4e.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\t7d8vmb.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\t8qwub6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ufbe93z.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ul6phxz.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vg103qi.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vkgoiua.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vmpiv6f.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vtwi8ds.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vy1l3xe.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\w1qm3yk.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\weae419.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\wib1d9n.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\wp0hgwj.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\wwbw203.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\x410gu2.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\x6qm8xp.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xckpvzn.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xdhlot6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xntagtq.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xoly9vu.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xr32egm.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xrelnte.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xrg5p7q.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xs5np50.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\y75kx9y.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\y9z6cez.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\yf3knkn.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\z191ry8.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\zd13bxc.dll
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От Rekalov28
      Подхватили шифровальщик Trojan-Ransom.Win32.Crusis.to
      Все файлы зашифрованы вирусом. Подскажите пожалуйста есть ли возможность их расшифровать. При необходимости можем найти пары из файлов зашифрованный + не зашифрованный.
      Для примера прикрепляю шифрованные файлы 
       
      БОРЫ МАНИ ЦВ,2.jpg.id-30F0F9E5.[3441546223@qq.com].ncov MD520 инструкция.pdf.id-30F0F9E5.[3441546223@qq.com].ncov Кристи прайс 19.03.2018.xlsx.id-30F0F9E5.[3441546223@qq.com].ncov
    • От Олег Геннадьевич
      CollectionLog-2020.05.26-15.54.zip Прошу помощи в восстановлении файлов (doc. exel. jpg) 
    • От aristokrat
      Сегодня ночью были зашифрованы файлы в папке с общим доступом для локальной сети.
      Антивируса не было. Интернет был подключен.
      в имени файлов добавилось .id-603896E0.[pentestlab@aol.com].LaB
      367 Перечень соц-значимых забол.docx.id-603896E0.[pentestlab@aol.com].LaB CollectionLog-2020.05.13-11.06.zip Абдрахманова ОД макула.pdf.id-603896E0.[pentestlab@aol.com].LaB
    • От Addy
      Поймали шифровальщика через удаленный доступ, система Windows Server 2008 R2.
    • От Tolstogan
      Вы победили? Заплатили? Такая же история. Можно объединится если дескриптор подойде

       
      Сообщение от модератора SQ Тема перемещена от сюда. Пожалуста не пишите в чужих темах.  
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.