Решена с расшифровкой. Прошу помочь с шифровальщиком email-3nity@tuta.io.ver-CL 1.5.1.0(25.06.2019)

[Azamatbz]

Был взломан сервер Windows 2008 R2. Все файлы были зашифрованы и имеют расширение email-3nity@tuta.io.ver-CL 1.5.1.0 .doubleoffset. Часть файлов удалось восстановить с помощью резервных копий.
Зашифрованные файлы .doubleoffsetо вложении, архив с паролем "vir".
Сделал логи с помощью программы AutoLogger.
Прошу помощь в восстановлении работы сервера и файлов.

 

[Sandor]

Здравствуйте!

Вы собрали логи устаревшей версией Автологера. Не из терминальной сессии есть возможность собрать логи? Т.е. непосредственно на сервере?
Если нет:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.

 

[Azamatbz]

Сделал в режиме консоли логи. Автологер обновил.

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
end.

Пожалуйста, перезагрузите компьютер вручную.

Сделал в режиме консоли логи

Только почему-то устаревшей версией Автологера.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Azamatbz]

Пожалуйста, подскажете. Сделать жесткую перезагрузку? Или можно стандартными средствами windows?

 

[Azamatbz]

Скрипт AVZ выполнил. Сервер перезагрузил.
Сделал логи программой FRST64. Нет, возможности запустить Автологгер в режиме консоли.

 

[Azamatbz]

Как описано следующей теме, нашел на Рабочем столе администратора файл manual.exe: https://safezone.cc/threads/shifrator-2-pc-manual-email-3nity-tuta-io-ver-cl-1-5-1-0-id.33359/
Что делать с этим файлом? Необходимо удалить?

 

[akok]

Или можно стандартными средствами windows?

Обычной перезагрузки достаточно.

Что делать с этим файлом? Необходимо удалить

Удаляйте....

Смените пароли на RDP.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\LocalLow\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\LocalLow\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\LocalLow\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\LocalLow\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\LocalLow\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\Downloads\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\AppData\Roaming\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\AppData\README.txt
  2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\user01\AppData\LocalLow\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\Downloads\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\Roaming\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\LocalLow\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\Downloads\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\Roaming\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\LocalLow\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\Downloads\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\Roaming\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\LocalLow\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\Downloads\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\Roaming\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\README.txt
  2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\LocalLow\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\Downloads\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\AppData\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\AppData\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\Downloads\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\Roaming\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\LocalLow\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\Downloads\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\Roaming\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\README.txt
  2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\LocalLow\README.txt
  2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\README.txt
  2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\Downloads\README.txt
  2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\Roaming\README.txt
  2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\README.txt
  2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\LocalLow\README.txt
  2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ C:\Program Files (x86)\README.txt
  2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ C:\Program Files\README.txt
  2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ C:\Program Files\Common Files\README.txt
  2019-06-25 21:38 - 2019-06-25 22:05 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
  2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ () C:\Program Files\README.txt
  2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ () C:\Program Files (x86)\README.txt
  2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ () C:\Program Files\Common Files\README.txt
  2019-06-25 21:59 - 2019-06-25 21:59 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
  FirewallRules: [{40D50687-53EA-4FF9-989F-245BBF25A9A4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную

Подробнее читайте в этом руководстве.

 

[Azamatbz]

1. Сменить пароли пользователей не удается. Система сообщает, что пароль изменен успешно. А по факту пароль остается прежним. Заблокировал все админские учетные записи кроме одной, на роутере ограничил подключение по ip адресу,

2. Найденные зашифрованные файлы и и оригиналы прикрепил (пароль к архиву "vir"). Позже смогу найти больше файлов.

3. Рядом с программой FRST создал файл fixlist.txt. Скопировал на него скрипт, сохранил в юникод. Запустил программу FRST от имени администратор и нажал FIX. После сообщения об успешного выполнения скрипта, сервер перезагрузился.

 

[Sandor]

Сменить пароли пользователей не удается

Пробуйте ещё раз после фикса и перезагрузки.

Рядом с программой FRST создал файл fixlist.txt. Скопировал на него скрипт, сохранил в юникод

Чисто из любопытства - зачем вы так делали? Вам показалось, что в инструкции @akok есть ошибка?
+
Проверьте ЛС.

 

[Azamatbz]

Чисто из любопытства - зачем вы так делали? Вам показалось, что в инструкции @akok есть ошибка?

Я сделал по инструкции, которую вы написали ранее:

Подробнее читайте в этом руководстве.

По этой инструкции выполнил первый пункт:
1. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот).
Скопируйте в него скрипт, предложенный хелпером, и сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод.

 

[Sandor]

Сменить пароли пользователей не удается

Пробуйте ещё раз после фикса и перезагрузки

Получилось?

 

[Azamatbz]

Получилось?

К сожалению, пароль не меняется. Так же очень много проблем с самой ОС.

 

[akok]

Откат или переустановка рассматривается?

 

[Azamatbz]

Если не удается восстановить, переустановка в любом случае.

 

[Sandor]

Если не удается восстановить

Решение есть. Только мы хотим понять что будет с системой? Переустановка?

пароль не меняется. Так же очень много проблем с самой ОС

Мы дадим инструкцию по расшифровке, а вы опять наступите на те же грабли.

 

[Azamatbz]

Немного затянулось. Упала дерево на провода. Сидели выходные без электричества.

1. Дешифратор помог. Все необходимые файлы расшифровали. Не поддались дешифровке только файлы более 20Гб, rar-архивы, но для нас это не нужно. Файлы в имени которых встречались нестандартные символы расшифровались после переименования. Огромное спасибо.

2. Сервер был сегодня переустановлен. Скачены и установлены все обновления. Сменили пароли Администратора сервера. Удалены лишние пользователи. Для всех пользователей сменили пароли. Сменили пароли на сетевое оборудование. Подключение ограничили по ip-адресу.

 

[akok]

Удачи!