• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите расшифровать .doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

Macq

Новый пользователь
Сообщения
10
Реакции
2
Здравствуйте. Словили шифровальщик, теперь все файлы с расширением .doubleoffset
Логи и примеры прилагаю. Помогите пожалуйста. Спасибо.
 

Вложения

  • Примеры файлов.rar
    60.2 KB · Просмотры: 3
  • Addition.txt
    27.8 KB · Просмотры: 2
  • FRST.txt
    82.8 KB · Просмотры: 2
Не ваша тема?
 
В каком смысл моя? Создавал не я, проблема аналогичная вроде, не факт только, такой же шифровальщик, или нет.
 
Хорошо.

Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Судя по логу файлы зашифровало вчера, верно? Пароли для RDP смените.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\tutdobro\AppData\Local\Temp\AAABCDDEEE.exe
    HKLM-x32\...\Run: [2172929] => 2172929
    HKLM-x32\...\Run: [1246633] => 1246633
    HKU\S-1-5-21-2243857723-226700282-749124216-1000\...\Run: [3893524413] => C:\Users\tutdobro\AppData\Local\Temp\AAABCDDEEE.exe [607744 2019-11-07] (Linens 'n Things Inc.) [File not signed] <==== ATTENTION
    HKU\S-1-5-21-2243857723-226700282-749124216-1000\...\MountPoints2: {1bc04c28-4651-11e7-8258-806e6f6e6963} - E:\Bin\Instv2.exe
    Task: {C6D2F5CF-3877-4D64-B978-046F9DCB56F6} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\README.txt
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Local\README.txt
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ C:\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Все пользователи\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\ProgramData\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\LocalLow\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\Local\Apps\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\tutdobro\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Public\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\Downloads\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\Local\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\Users\Default User\AppData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ C:\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\LocalLow\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\tutdobro\AppData\Local\Apps\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Public\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Public\Downloads\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\Downloads\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Все пользователи\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\Users\Public\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000001359 _____ C:\ProgramData\Desktop\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\tutdobro\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:43 - 2019-12-19 09:43 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ C:\Program Files (x86)\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files\Common Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ C:\Program Files (x86)\README.txt
    2019-12-19 09:42 - 2019-12-19 09:43 - 000001359 _____ C:\Users\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Roaming\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ () C:\Users\tutdobro\AppData\Roaming\Microsoft\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:43 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Roaming\Microsoft\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files (x86)\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files (x86)\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files\Common Files\README.txt
    2019-12-19 09:42 - 2019-12-19 09:45 - 000001359 _____ () C:\Program Files (x86)\Common Files\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:42 - 2019-12-19 09:45 - 000000127 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-12-19 09:43 - 2019-12-19 09:45 - 000001359 _____ () C:\Users\tutdobro\AppData\Roaming\email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3893524413-254648593174084734878841.fname-README.txt.doubleoffset
    2019-12-19 09:45 - 2019-12-19 09:45 - 000000127 _____ () C:\Users\tutdobro\AppData\Local\README.txt
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Увы, ни одного живого файла, плюс все они переименованы :(
 

Вложения

  • Fixlog.txt
    23.1 KB · Просмотры: 1
Ищите. Посмотрите в сторону инструкций идущих к софту, системных картинок и т.д. иначе не расшифровать.
 
А если я скину предварительно файлы в определенную папку, и попробую найти письмо с шифровальщиком, и запущу его снова, чтоб он уже новые файлы зашифровал. Так пойдет, или нет?
Просто нет живого ничего, плюс все названия теперь одинаковы, невозможно даже понять какой именно это был файл до шифрования..:(
 
Нет, там будет уже другой ключ шифрования и дешифруется только свежезашифрованное. Поиск по маске (*запрос*)?
 
Понял. Вечером думаю найдем. Появилась зацепка. Вроде виновник торжества скидывал накануне с внешнего диска файлы на комп.
Большое спасибо за внимание.
 
Нашли папку на внешнем, которую сбрасывали на комп. Я так понимаю атрибуты шифровальщик тоже поменял, но один файл совпадает размер, 232 КБ, что у битого, что у оригинала. Надеюсь это сгодится.
 

Вложения

  • файлы.zip
    6.3 MB · Просмотры: 1
Получилось как-то так.
 

Вложения

  • МЕДИЛАЙН битые файлы.zip
    5.3 MB · Просмотры: 1
Проверьте ЛС. Используйте файл "Паспорт безопасности Метро.doc"
 
Последнее редактирование:
Вы человечища, спасибо огромное, дешифрую потихоньку уже, все работает!
Скиньте плиз в ЛС какой нибудь Яндекс кошелек, внесем свой вклад в развитие проекта в знак благодарности!
 
  • Like
Реакции: akok
Простите, не заметил, спасибо.
 
  • Like
Реакции: akok
Подготовьте лог SecurityCheck by glax24 и закройте найденные уязвимости. Тему отмечаю решенной.
 
Вы прикрепили саму программу, а нужно созданный ей лог.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу