Решена с расшифровкой. помогите рассшифровать файлы email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-FILENAME.doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

Jenek123

Новый пользователь
Сообщения
5
Реакции
1
Баллы
3
Добрый день, неделю назад шифровальщик поработал на сервере... На рабочем столе Администратора остался файл manual.exe (будет приложен архивом manual.7z с паролем virus). Так же прилагается СollectionLog... от автологгера, пара зашифрованный + незашифрованный файл в архиве file1.zip и README.txt.
Большая просьба помочь в дешифровке, если понадобится дополнительная информация - пишите.

С уважением, Евгений.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,441
Реакции
13,356
Баллы
2,203
Система перезагружалась?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Jenek123

Новый пользователь
Сообщения
5
Реакции
1
Баллы
3
Приветствую, да. Вернее выключалась "от греха" подальше. Но FRST и Addition делались до перезагрузки... Сам вирус назывался помнится 1test.exe хотя это врядли уже имеет значение. Файлы во вложении.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,441
Реакции
13,356
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\AppData\LocalLow\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Гость\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\AppData\LocalLow\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\USR1CV8\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\AppData\LocalLow\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\MSSQLFDLauncher\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ C:\README.txt
    2019-06-23 01:10 - 2019-06-23 01:13 - 000001260 _____ C:\Users\Все пользователи\README.txt
    2019-06-23 01:10 - 2019-06-23 01:13 - 000001260 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 01:10 - 2019-06-23 01:13 - 000001260 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 01:10 - 2019-06-23 01:13 - 000001260 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 01:10 - 2019-06-23 01:13 - 000001260 _____ C:\ProgramData\README.txt
    2019-06-23 01:10 - 2019-06-23 01:13 - 000001260 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 01:10 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-23 01:10 - 2019-06-23 01:13 - 000000061 _____ C:\Users\Public\Desktop\README.txt
    2019-06-23 01:10 - 2019-06-23 01:10 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 01:10 - 2019-06-23 01:10 - 000000061 _____ C:\Program Files\README.txt
    2019-06-23 01:10 - 2019-06-23 01:10 - 000000061 _____ C:\Program Files (x86)\README.txt
    2019-06-23 01:09 - 2019-06-23 01:13 - 000001260 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 01:09 - 2019-06-23 01:09 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-06-23 01:05 - 2019-06-23 01:13 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
    2019-06-23 01:05 - 2019-06-22 16:41 - 000471552 _____ C:\Users\Администратор\Desktop\manual.exe
    2019-06-23 01:10 - 2019-06-23 01:10 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-23 01:10 - 2019-06-23 01:10 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-23 01:09 - 2019-06-23 01:09 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-23 01:10 - 2019-06-23 01:10 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\README.txt
    2019-06-23 01:13 - 2019-06-23 01:13 - 000000061 _____ () C:\Users\Администратор\AppData\Local\README.txt
    FirewallRules: [{09D1FBA7-2558-4415-BC29-7F8AF3D74BF2}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{5C756EE1-BC29-489F-8A25-630C4F85D6A6}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{E23A4AB7-A546-4D23-B89A-8BB317F87916}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{15DBF893-E6F0-4916-8831-3946C6BF94D8}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{32290E41-65B1-4596-AA79-53379F79B891}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{8F208ED3-A199-44D0-99A7-2F2A5CF2F0E0}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{737B5408-F89A-4654-B7F1-D7FF2AC5C896}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{2282CE87-D72E-40FD-A6F3-726481C78CF7}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,441
Реакции
13,356
Баллы
2,203
Проверьте ЛС
 

Jenek123

Новый пользователь
Сообщения
5
Реакции
1
Баллы
3
Спасибо огромное, всё получилось! Система полностью работает, пароли сменил, RDP извне отключил.
Некоторые ярлыки пришлось пересоздать и файлы с экзотическими названиями переименовывать, но тут ничего страшного...
Про Fixlog пропустил сообщение...
 

akok

Команда форума
Администратор
Сообщения
17,441
Реакции
13,356
Баллы
2,203
Если не будете выполнять, то обязательно удалите
Код:
2019-06-23 01:05 - 2019-06-23 01:13 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
2019-06-23 01:05 - 2019-06-22 16:41 - 000471552 _____ C:\Users\Администратор\Desktop\manual.exe

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 

Jenek123

Новый пользователь
Сообщения
5
Реакции
1
Баллы
3
Java Runtime Environment, Adobe Reader и Adobe Flash Player в принципе не стоят, скорее всего RDP подобрали.
 

akok

Команда форума
Администратор
Сообщения
17,441
Реакции
13,356
Баллы
2,203
корее всего RDP подобрали.
Это верное утверждение или воспользовались уязвимостью
 

Jenek123

Новый пользователь
Сообщения
5
Реакции
1
Баллы
3
Но её ещё не слили вроде и 2012+ не подвержены
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу