Решена с расшифровкой. Прошу помочь с шифровальщиком email-3nity@tuta.io.ver-CL 1.5.1.0(25.06.2019)

Статус
В этой теме нельзя размещать новые ответы.

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Был взломан сервер Windows 2008 R2. Все файлы были зашифрованы и имеют расширение email-3nity@tuta.io.ver-CL 1.5.1.0 .doubleoffset. Часть файлов удалось восстановить с помощью резервных копий.
Зашифрованные файлы .doubleoffsetо вложении, архив с паролем "vir".
Сделал логи с помощью программы AutoLogger.
Прошу помощь в восстановлении работы сервера и файлов.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,275
Реакции
1,797
Баллы
563
Здравствуйте!

Вы собрали логи устаревшей версией Автологера. Не из терминальной сессии есть возможность собрать логи? Т.е. непосредственно на сервере?
Если нет:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,275
Реакции
1,797
Баллы
563
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

Сделал в режиме консоли логи
Только почему-то устаревшей версией Автологера.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Пожалуйста, подскажете. Сделать жесткую перезагрузку? Или можно стандартными средствами windows?
 

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Скрипт AVZ выполнил. Сервер перезагрузил.
Сделал логи программой FRST64. Нет, возможности запустить Автологгер в режиме консоли.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,254
Реакции
13,292
Баллы
2,203
Или можно стандартными средствами windows?
Обычной перезагрузки достаточно.
Что делать с этим файлом? Необходимо удалить
Удаляйте....

Смените пароли на RDP.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\андрей\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user05\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user04\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user03\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user02\AppData\LocalLow\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\Downloads\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\AppData\Roaming\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\Users\user01\AppData\README.txt
    2019-06-25 22:05 - 2019-06-25 22:05 - 000000061 _____ C:\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\user01\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser2\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\rusituser1\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\Lynn\AppData\LocalLow\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\Downloads\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\Roaming\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\README.txt
    2019-06-25 22:04 - 2019-06-25 22:04 - 000000061 _____ C:\Users\jenya\AppData\LocalLow\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\bz\AppData\LocalLow\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\Downloads\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\Roaming\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\README.txt
    2019-06-25 22:03 - 2019-06-25 22:03 - 000000061 _____ C:\Users\Administrator.RUSIT-AUTO\AppData\LocalLow\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\Downloads\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\Roaming\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\README.txt
    2019-06-25 22:02 - 2019-06-25 22:02 - 000000061 _____ C:\Users\administrator\AppData\LocalLow\README.txt
    2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ C:\Program Files (x86)\README.txt
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ C:\Program Files\README.txt
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-06-25 21:38 - 2019-06-25 22:05 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ () C:\Program Files\README.txt
    2019-06-25 22:00 - 2019-06-25 22:00 - 000000061 _____ () C:\Program Files (x86)\README.txt
    2019-06-25 21:58 - 2019-06-25 21:58 - 000000061 _____ () C:\Program Files\Common Files\README.txt
    2019-06-25 21:59 - 2019-06-25 21:59 - 000000061 _____ () C:\Program Files (x86)\Common Files\README.txt
    FirewallRules: [{40D50687-53EA-4FF9-989F-245BBF25A9A4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную

Подробнее читайте в этом руководстве.
 

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
1. Сменить пароли пользователей не удается. Система сообщает, что пароль изменен успешно. А по факту пароль остается прежним. Заблокировал все админские учетные записи кроме одной, на роутере ограничил подключение по ip адресу,

2. Найденные зашифрованные файлы и и оригиналы прикрепил (пароль к архиву "vir"). Позже смогу найти больше файлов.

3. Рядом с программой FRST создал файл fixlist.txt. Скопировал на него скрипт, сохранил в юникод. Запустил программу FRST от имени администратор и нажал FIX. После сообщения об успешного выполнения скрипта, сервер перезагрузился.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,275
Реакции
1,797
Баллы
563
Сменить пароли пользователей не удается
Пробуйте ещё раз после фикса и перезагрузки.

Рядом с программой FRST создал файл fixlist.txt. Скопировал на него скрипт, сохранил в юникод
Чисто из любопытства - зачем вы так делали? Вам показалось, что в инструкции @akok есть ошибка? :)
+
Проверьте ЛС.
 
Последнее редактирование:

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Чисто из любопытства - зачем вы так делали? Вам показалось, что в инструкции @akok есть ошибка? :)
Я сделал по инструкции, которую вы написали ранее:
По этой инструкции выполнил первый пункт:
1. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот).
Скопируйте в него скрипт, предложенный хелпером, и сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод.
 

akok

Команда форума
Администратор
Сообщения
17,254
Реакции
13,292
Баллы
2,203
Откат или переустановка рассматривается?
 

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Если не удается восстановить, переустановка в любом случае.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,275
Реакции
1,797
Баллы
563
Если не удается восстановить
Решение есть. Только мы хотим понять что будет с системой? Переустановка?

пароль не меняется. Так же очень много проблем с самой ОС
Мы дадим инструкцию по расшифровке, а вы опять наступите на те же грабли.
 

Azamatbz

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Немного затянулось. Упала дерево на провода. Сидели выходные без электричества.

1. Дешифратор помог. Все необходимые файлы расшифровали. Не поддались дешифровке только файлы более 20Гб, rar-архивы, но для нас это не нужно. Файлы в имени которых встречались нестандартные символы расшифровались после переименования. Огромное спасибо.

2. Сервер был сегодня переустановлен. Скачены и установлены все обновления. Сменили пароли Администратора сервера. Удалены лишние пользователи. Для всех пользователей сменили пароли. Сменили пароли на сетевое оборудование. Подключение ограничили по ip-адресу.
 

akok

Команда форума
Администратор
Сообщения
17,254
Реакции
13,292
Баллы
2,203
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу