• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите расшифровать .doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Здравствуйте. Словили шифровальщик, теперь все файлы с расширением .doubleoffset
Логи и примеры прилагаю. Помогите пожалуйста. Спасибо.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Не ваша тема?
 

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
В каком смысл моя? Создавал не я, проблема аналогичная вроде, не факт только, такой же шифровальщик, или нет.
 

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Хорошо.

Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Судя по логу файлы зашифровало вчера, верно? Пароли для RDP смените.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\tutdobro\AppData\Local\Temp\AAABCDDEEE.exe
    HKLM-x32\...\Run: [2172929] => 2172929
    HKLM-x32\...\Run: [1246633] => 1246633
    HKU\S-1-5-21-2243857723-226700282-749124216-1000\...\Run: [3893524413] => C:\Users\tutdobro\AppData\Local\Temp\AAABCDDEEE.exe [607744 2019-11-07] (Linens 'n Things Inc.) [File not signed] <==== ATTENTION
    HKU\S-1-5-21-2243857723-226700282-749124216-1000\...\MountPoints2: {1bc04c28-4651-11e7-8258-806e6f6e6963} - E:\Bin\Instv2.exe
    Task: {C6D2F5CF-3877-4D64-B978-046F9DCB56F6} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\README.txt
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Local\README.txt
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\ProgramData\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\LocalLow\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Local\Apps\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\LocalLow\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Local\Apps\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Public\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Public\Downloads\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\Downloads\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Public\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\tutdobro\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files (x86)\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files\Common Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files (x86)\README.txt
    2019-12-19 09:42 - 2019-12-19 09:43 - 000001359 _____ C:\Users\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ () C:\Users\tutdobro\AppData\Roaming\Microsoft\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Roaming\Microsoft\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files (x86)\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files (x86)\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files\Common Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files (x86)\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ () C:\Users\tutdobro\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Local\README.txt
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Увы, ни одного живого файла, плюс все они переименованы :(
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Ищите. Посмотрите в сторону инструкций идущих к софту, системных картинок и т.д. иначе не расшифровать.
 

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
А если я скину предварительно файлы в определенную папку, и попробую найти письмо с шифровальщиком, и запущу его снова, чтоб он уже новые файлы зашифровал. Так пойдет, или нет?
Просто нет живого ничего, плюс все названия теперь одинаковы, невозможно даже понять какой именно это был файл до шифрования..:(
 

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Нет, там будет уже другой ключ шифрования и дешифруется только свежезашифрованное. Поиск по маске (*запрос*)?
 

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Понял. Вечером думаю найдем. Появилась зацепка. Вроде виновник торжества скидывал накануне с внешнего диска файлы на комп.
Большое спасибо за внимание.
 

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Нашли папку на внешнем, которую сбрасывали на комп. Я так понимаю атрибуты шифровальщик тоже поменял, но один файл совпадает размер, 232 КБ, что у битого, что у оригинала. Надеюсь это сгодится.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Проверьте ЛС. Используйте файл "Паспорт безопасности Метро.doc"
 
Последнее редактирование:

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Вы человечища, спасибо огромное, дешифрую потихоньку уже, все работает!
Скиньте плиз в ЛС какой нибудь Яндекс кошелек, внесем свой вклад в развитие проекта в знак благодарности!
 
  • Like
Реакции: akok

Macq

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Простите, не заметил, спасибо.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
18,244
Реакции
13,717
Баллы
2,203
Подготовьте лог SecurityCheck by glax24 и закройте найденные уязвимости. Тему отмечаю решенной.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Вы прикрепили саму программу, а нужно созданный ей лог.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу