• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите расшифровать .doubleoffset

Статус
В этой теме нельзя размещать новые ответы.
M

Macq

Новый пользователь
Сообщения
10
Реакции
2
Здравствуйте. Словили шифровальщик, теперь все файлы с расширением .doubleoffset
Логи и примеры прилагаю. Помогите пожалуйста. Спасибо.
 

Вложения

Не ваша тема?
forum.kasperskyclub.ru

шифровальщик Doubleoffset

Здравствуйте! Шифровальщик зашифровал файлы на сервере. Возможно вы поможете попробовать восстановить их? Есть пара файлов - зашифрованный и такой как он был до шифровки, их прикреплять нужно?
forum.kasperskyclub.ru forum.kasperskyclub.ru
 
В каком смысл моя? Создавал не я, проблема аналогичная вроде, не факт только, такой же шифровальщик, или нет.
 
Хорошо.

Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Судя по логу файлы зашифровало вчера, верно? Пароли для RDP смените.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
VirusTotal: C:\Users\tutdobro\AppData\Local\Temp\AAABCDDEEE.exe
HKLM-x32\...\Run: [2172929] => 2172929
HKLM-x32\...\Run: [1246633] => 1246633
HKU\S-1-5-21-2243857723-226700282-749124216-1000\...\Run: [3893524413] => C:\Users\tutdobro\AppData\Local\Temp\AAABCDDEEE.exe [607744 2019-11-07] (Linens 'n Things Inc.) [File not signed] <==== ATTENTION
HKU\S-1-5-21-2243857723-226700282-749124216-1000\...\MountPoints2: {1bc04c28-4651-11e7-8258-806e6f6e6963} - E:\Bin\Instv2.exe
Task: {C6D2F5CF-3877-4D64-B978-046F9DCB56F6} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\README.txt
2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Local\README.txt
2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Все пользователи\Desktop\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\ProgramData\Desktop\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\LocalLow\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Local\Apps\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\Desktop\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\Desktop\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Roaming\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\LocalLow\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Local\Apps\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Public\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Public\Downloads\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\Downloads\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\Desktop\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\README.txt
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Public\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\README.txt
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\tutdobro\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files (x86)\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files\Common Files\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files (x86)\README.txt
2019-12-19 09:42 - 2019-12-19 09:43 - 000001359 _____ C:\Users\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Roaming\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ () C:\Users\tutdobro\AppData\Roaming\Microsoft\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Roaming\Microsoft\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files (x86)\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files (x86)\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files\Common Files\README.txt
2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files (x86)\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files (x86)\Common Files\README.txt
2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ () C:\Users\tutdobro\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Local\README.txt
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Увы, ни одного живого файла, плюс все они переименованы :(
 

Вложения

Ищите. Посмотрите в сторону инструкций идущих к софту, системных картинок и т.д. иначе не расшифровать.
 
А если я скину предварительно файлы в определенную папку, и попробую найти письмо с шифровальщиком, и запущу его снова, чтоб он уже новые файлы зашифровал. Так пойдет, или нет?
Просто нет живого ничего, плюс все названия теперь одинаковы, невозможно даже понять какой именно это был файл до шифрования..:(
 
Нет, там будет уже другой ключ шифрования и дешифруется только свежезашифрованное. Поиск по маске (*запрос*)?
 
Понял. Вечером думаю найдем. Появилась зацепка. Вроде виновник торжества скидывал накануне с внешнего диска файлы на комп.
Большое спасибо за внимание.
 
Нашли папку на внешнем, которую сбрасывали на комп. Я так понимаю атрибуты шифровальщик тоже поменял, но один файл совпадает размер, 232 КБ, что у битого, что у оригинала. Надеюсь это сгодится.
 

Вложения

Проверьте ЛС. Используйте файл "Паспорт безопасности Метро.doc"
 
Последнее редактирование:
Вы человечища, спасибо огромное, дешифрую потихоньку уже, все работает!
Скиньте плиз в ЛС какой нибудь Яндекс кошелек, внесем свой вклад в развитие проекта в знак благодарности!
 
  • Like
Реакции: akok
Простите, не заметил, спасибо.
 
  • Like
Реакции: akok
Подготовьте лог SecurityCheck by glax24 и закройте найденные уязвимости. Тему отмечаю решенной.
 
Вы прикрепили саму программу, а нужно созданный ей лог.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

H
Решена без расшифровки BlackBit Decrypt.rz@zohomail.com помогите расшифровать
Ответы
3
Просмотры
222
Sandor
Sandor
cielinfo
Решена без расшифровки Помогите расшифровать шифровальщик deep
Ответы
9
Просмотры
631
akok
akok
A
  • Закрыта
Закрыто Помогите расшифровать файлы, зашифрованные Trojan.Encoder.5035
Ответы
1
Просмотры
503
akok
akok
Назад
Сверху Снизу