Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик Doubleoffset

rofar
 Поделиться

Рекомендуемые сообщения

rofar

rofar

Опубликовано
Опубликовано

Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? 

Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?

rofar

rofar

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте, для начала выполните это https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

+ Прикрепите архив с зашифрованным файлом и его не зашифрованную копию.

Оу, извините, думал прикрепил логи) ...не нажал кнопку "загрузить")

 

а архив с двумя файлами весит 18Мб, подскажите пожалуйста как его лучше передать?

CollectionLog-2019.12.18-08.10.zip

Изменено пользователем rofar
mike 1

mike 1

Опубликовано
Опубликовано

Загрузите например на Яндекс диск, а здесь ссылку разместите. Логи посмотрю после основной работы.

thyrex

thyrex

Опубликовано
Опубликовано
@rofar, и пришлите еще несколько зашифрованных файлов без оригиналов до шифрования
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
rofar

rofar

Опубликовано
  • Автор
Опубликовано

@rofar, и пришлите еще несколько зашифрованных файлов без оригиналов до шифрования

https://yadi.sk/d/t7LjzP9noWaVSg

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

Незнакомые учетные записи отключите и удалите (если таковые имеются)

 

Раскрыть:


==================== Accounts: =============================

Acronis Agent User (S-1-5-21-1135535595-4110849644-1627670699-1001 - Administrator - Enabled) => C:\Users\Acronis Agent User
admin (S-1-5-21-1135535595-4110849644-1627670699-1008 - Administrator - Enabled)
Administrator (S-1-5-21-1135535595-4110849644-1627670699-500 - Administrator - Enabled) => C:\Users\Administrator
BGSYSTEM (S-1-5-21-1135535595-4110849644-1627670699-1014 - Administrator - Enabled) => C:\Users\BGSYSTEM.FLEXO-ENGINE
digi (S-1-5-21-1135535595-4110849644-1627670699-1010 - Limited - Enabled)
Flexo-raskladka (S-1-5-21-1135535595-4110849644-1627670699-1021 - Administrator - Enabled) => C:\Users\Flexo-raskladka
Flexo-raskladka2 (S-1-5-21-1135535595-4110849644-1627670699-1022 - Administrator - Enabled)
flexproof (S-1-5-21-1135535595-4110849644-1627670699-1013 - Limited - Enabled)
flexrip (S-1-5-21-1135535595-4110849644-1627670699-1012 - Limited - Enabled)
Guest (S-1-5-21-1135535595-4110849644-1627670699-501 - Limited - Enabled)
jdfp (S-1-5-21-1135535595-4110849644-1627670699-1011 - Limited - Enabled)
trap (S-1-5-21-1135535595-4110849644-1627670699-1015 - Limited - Enabled)

 

 

Проверьте эти файлы на virustotal 
C:\Windows\SysWOW64\zd13bxc.dll
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 
rofar

rofar

Опубликовано
  • Автор
Опубликовано (изменено)

 

Незнакомые учетные записи отключите и удалите (если таковые имеются)

 

Раскрыть:

 

==================== Accounts: =============================

 

Acronis Agent User (S-1-5-21-1135535595-4110849644-1627670699-1001 - Administrator - Enabled) => C:\Users\Acronis Agent User

admin (S-1-5-21-1135535595-4110849644-1627670699-1008 - Administrator - Enabled)

Administrator (S-1-5-21-1135535595-4110849644-1627670699-500 - Administrator - Enabled) => C:\Users\Administrator

BGSYSTEM (S-1-5-21-1135535595-4110849644-1627670699-1014 - Administrator - Enabled) => C:\Users\BGSYSTEM.FLEXO-ENGINE

digi (S-1-5-21-1135535595-4110849644-1627670699-1010 - Limited - Enabled)

Flexo-raskladka (S-1-5-21-1135535595-4110849644-1627670699-1021 - Administrator - Enabled) => C:\Users\Flexo-raskladka

Flexo-raskladka2 (S-1-5-21-1135535595-4110849644-1627670699-1022 - Administrator - Enabled)

flexproof (S-1-5-21-1135535595-4110849644-1627670699-1013 - Limited - Enabled)

flexrip (S-1-5-21-1135535595-4110849644-1627670699-1012 - Limited - Enabled)

Guest (S-1-5-21-1135535595-4110849644-1627670699-501 - Limited - Enabled)

jdfp (S-1-5-21-1135535595-4110849644-1627670699-1011 - Limited - Enabled)

trap (S-1-5-21-1135535595-4110849644-1627670699-1015 - Limited - Enabled)

 

 

Проверьте эти файлы на virustotal 
C:\Windows\SysWOW64\zd13bxc.dll
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Я не смогу сказать какие учётные записи нужные, а какие нет... но похоже что все они нужны для работы софта на сервере.

 

И не могу найти  файл zd13bxc.dll https://prnt.sc/qderw7

post-56861-0-87356900-1576826050_thumb.png

Изменено пользователем rofar
thyrex

thyrex

Опубликовано
Опубликовано

И не могу найти  файл zd13bxc.dll

Файл скрытый. В настройках Total Commander включите показ таких файлов. Хотя особого смысла проверять файл размером 16 байт вовсе нет.
rofar

rofar

Опубликовано
  • Автор
Опубликовано

 

И не могу найти  файл zd13bxc.dll

Файл скрытый. В настройках Total Commander включите показ таких файлов. Хотя особого смысла проверять файл размером 16 байт вовсе нет.

 

Нашёл, проверил - ничего не обнаружило.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\a13qwjc.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\a25tylx.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\aleaxh7.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\am3hya8.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ayyg2pi.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\b5njgpk.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\bdxr0aq.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\bib9rl9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\bzimgcx.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\c0xwz5k.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ce584e0.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\cgfmsav.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\cgw4ia5.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\d5dojhu.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\e51luyv.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\eahtoxv.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\eakrk5c.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ehokls5.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\f20oqgu.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\fjrdf2r.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\fubdohz.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\geu0jc7.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ghl315g.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\govi7a0.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\hxcutpn.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ia62g61.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ibkr89q.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ify9vek.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ih3uca0.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\itbqmsd.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\j0nmgox.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\jcevg23.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\jirwjac.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\jycbrhr.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\k1rmh7v.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ka28x1y.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\l96cz7b.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\l9b1ltt.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lcdsdev.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ljp1ed9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lnbedk7.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\luhrfu4.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lyrfxa6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\lz4d44s.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\m7iobxa.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\mfg3d0i.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\mrok6d9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ndngemw.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\nh5guei.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\nl0irjj.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\nz40wvh.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\odx6rnd.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\okusfw9.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ou7kk0p.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\p5j2pna.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\pcrh8js.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\qf62lz6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\r0ep77c.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\r2a4y49.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\r6g33te.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\s1fzm4e.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\t7d8vmb.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\t8qwub6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ufbe93z.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\ul6phxz.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vg103qi.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vkgoiua.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vmpiv6f.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vtwi8ds.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\vy1l3xe.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\w1qm3yk.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\weae419.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\wib1d9n.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\wp0hgwj.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\wwbw203.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\x410gu2.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\x6qm8xp.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xckpvzn.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xdhlot6.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xntagtq.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xoly9vu.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xr32egm.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xrelnte.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xrg5p7q.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\xs5np50.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\y75kx9y.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\y9z6cez.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\yf3knkn.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\z191ry8.dll
2010-11-21 06:24 - 2010-11-21 06:24 - 000000016 ____H C:\Windows\SysWOW64\zd13bxc.dll
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zerling777
      Вирус-шифровальщик moshiax@aol.com
      Автор Zerling777
      День добрый!
      Жене на работе "по работе" прислали письмо. Когда она открыла документ-говорит что-то установилось!На рабочем столе вылезла надпись-твои файлы зашифрованы, если хочешь все вернуть-отправь 1 зашифрованный файл на почту : moshiax@aol.com  и так далее.
      Пишу с зараженного компа!!!
       
      Лог прилагаю!
       
      CollectionLog-2015.05.28-19.44.zip
    • Olgasstar
      Надпись на рабочем столе "... файлы зашифрованы..."
      Автор Olgasstar
      Для того чтобы все вернуть предлагают отправить 1 зашифрованный файл на адрес moshiax@aol.com
      Угрожают, что вернуть будет невозможно по прошествии 1 недели. Прошло 3 дня....
      CollectionLog-2015.05.15-13.20.zip
    • olkorg
      Файлы зашифрованы, логи собрал.
      Автор olkorg
      Добрый день, хотя уже и не добрый, с работы переслали письмо, там архив прикреплен, открыл - выхватил баннер "твои файлы зашифрованы и тд и тп". По инструкции проверил касперским, был найден и помещен на карантин один файл, потом по инструкции собрал логи. Во время проверки снимал скриншоты, прикрепил на всякий.Что дальше не знаю. Зашифрованы rar-архивы, фотки, может еще какие типы файлов.Логи делал программой "AutoLogger" и "AutoLogger-test" - прикладываю оба.



      CollectionLog-2015.05.05-16.33.zip
      CollectionLog-2015.05.05-16.37.zip
    • Александр-43-12
      Зашифрованные файлы (watnik91@aol.com-ver-6.1.0.0.b)
      Автор Александр-43-12
      Открыли вложение из письма якобы из Арбитражного суда, теперь файлы зашифрованы
      CollectionLog-2015.04.13-15.41.zip
    • мфв
      Зашифрованные файлы вирус от 10.2014
      Автор мфв
      все файлы имеют вид
      Сан-эпид..doc.id-{RLXLYKVHSFPBMYLVHSDPAMXJTFPBMXHUFQAM-08.10.2014 14@19@289182866}-email-mserbinov@onionmail.in-ver-4.0.0.0.cbf
       
      действовал по инструкции
      http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
      в итоге нашел шифровщик и 6 папок с логами, расшифровать файлы тремя утилитами не получилось  RannohDecryptor.exe XoristDecryptor RectorDecryptor. 
       
      запустил AutoLogger [regist & Drongo] 3.03.2015 
       
      выкладываю результат
       
      заранее благодарю за помощь
       
       
      CollectionLog-2015.03.10-19.23.zip
      report2.log
      report1.log
×
×
  • Создать...