• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка файлов после 3nity@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

KiLaV

Новый пользователь
Сообщения
10
Реакции
1
Здравствуйте.
Помогите пожалуйста расшифровать файлы.
23 июня 2019г. (выходной день) на компьютер был запущен шифровальщик (откуда именно так и не выяснил), стоит антивирус Microsoft Security Essentials.
Все файлы были зашифрованы в виде email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-ИМЯ_ФАЙЛА.doubleoffset . Компьютер начал тормозить, поэтому загрузился в безопасный режим и сделал отчеты.
Появились файлы Readme.txt с текстом внутри "send your country and ip to 3nity@tuta.io"

Прикрепил отчеты после окончания сканирования FRST.txt, Addition.txt, а также подобрал пару файлов: зашифрованный и его оригинальную версию.
пс. похожая ситуация как тут
 

Вложения

Пройдите по предложенной ссылке и внимательно прочтите.
 
Готовьтесь к полной смене паролей которые использовались на этой машине.... зараза висит 2017 года.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe','');
 QuarantineFile('c:\users\sholomitska\appdata\roaming\svchost.exe','');
 DeleteFile('c:\users\sholomitska\appdata\roaming\svchost.exe','32');
 DeleteFile('C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe','x32');
BC_ImportALL;
 ExecuteRepair(9);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
+++ поищите другую пару файлов, в первом посте не подходит, скорее всего документы не совпадают.
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
файлы отчетов были в первом посте.. а также пара файлов..
+++ поищите другую пару файлов, в первом посте не подходит, скорее всего документы не совпадают.
ок, поищу..
 

Вложения

Не нужно крепить старые логи FRST, нужны свежие после выполнения скрипта AVZ. Ну и старую пару тоже не нужно крепить.
 
Не нужно крепить старые логи FRST, нужны свежие после выполнения скрипта AVZ. Ну и старую пару тоже не нужно крепить.
Отработал скрипты в AVZ. Файл quarantine.zip отправил по форме (там просят сообщить номер в теме, прикрепил скрин quarantine, так как копировать не удалось). Сделал новые отчеты FRST.txt, Addition.txt. А так же нашел новую пару файлов.
 

Вложения

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe;C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
    HKLM\...\Run: [Adobe] => "C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe" <==== ATTENTION
    C:\Users\Sholomitska\AppData\Roaming\Roaming\Microsoft\Crypto\RSA\svchost.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe [2016-04-19] () [File not signed]
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe
    Startup: C:\Users\Sholomitska\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2017-04-13] () [File not signed] <==== ATTENTION C:\Users\Sholomitska\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:21 - 2019-06-23 15:21 - 000001259 _____ C:\Users\Администратор\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\Downloads\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\Documents\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\Sholomitska\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\Users\README.txt
    2019-06-23 15:21 - 2019-06-23 15:21 - 000000061 _____ C:\README.txt
    2019-06-23 15:20 - 2019-06-23 15:20 - 000000061 _____ C:\Users\Sholomitska\Desktop\README.txt
    2019-06-23 15:19 - 2019-06-23 15:19 - 000000061 _____ C:\Users\Sholomitska\AppData\Roaming\README.txt
    2019-06-23 15:19 - 2019-06-23 15:19 - 000000061 _____ C:\Users\Sholomitska\AppData\README.txt
    2019-06-23 15:19 - 2019-06-23 15:19 - 000000061 _____ C:\Users\Sholomitska\AppData\LocalLow\README.txt
    2019-06-23 15:18 - 2019-06-23 15:18 - 000000061 _____ C:\Users\Sholomitska\AppData\Local\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Sholomitska\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Sholomitska\AppData\Local\Apps\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\Downloads\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\AppData\Roaming\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Default User\AppData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Sholomitska\AppData\Local\Apps\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-06-23 15:17 - 2019-06-23 15:17 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Все пользователи\README.txt
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Documents\README.txt
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Desktop\README.txt
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\ProgramData\README.txt
    2019-06-23 15:16 - 2019-06-23 15:17 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-23 15:16 - 2019-06-23 15:16 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-23 15:16 - 2019-06-23 15:16 - 000000061 _____ C:\Program Files\README.txt
    2019-06-23 15:14 - 2019-06-23 15:14 - 000000061 _____ C:\Program Files\Common Files\README.txt
    2019-06-23 15:08 - 2019-06-23 15:17 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    FirewallRules: [{4FB123A3-445B-47D4-A0AC-E554136BB412}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
    FirewallRules: [{14FF229A-C1D8-4BF6-9E4A-E28EF0987F17}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
    FirewallRules: [{9905A1F5-0C64-4BB9-8A10-8F8DF9B69B2C}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
    FirewallRules: [{3A994996-C3F0-4C08-A042-5FA189A4A0AF}] => (Allow) C:\Users\Sholomitska\Downloads\AA_v3.exe No File
    FirewallRules: [{B4EE3344-69CB-437E-B48A-5446FA0B19B2}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{1B426DFA-0ACB-4813-BD7E-867FE1BAA884}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer.exe No File
    FirewallRules: [{51683103-9E04-44C3-AB11-DF47FF17F4CD}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe No File
    FirewallRules: [{E4D91B08-D447-4352-B4AE-1B1DE3FB5E27}] => (Allow) C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe No File
    FirewallRules: [{94B8E5D3-5479-4E4B-BA56-83249E5F1252}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer.exe No File
    FirewallRules: [{4076424E-C0A8-49CE-BF75-9B420D85FE93}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer.exe No File
    FirewallRules: [{0D4D3502-FBF7-4977-9964-E83C94D75071}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe No File
    FirewallRules: [{B5CE47D5-42DE-49C1-A1C1-1DD28EC54595}] => (Allow) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe No File
    FirewallRules: [{2135C33F-5249-42E6-974F-602F3AC30C7B}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
    FirewallRules: [{969CDA51-C2A7-4570-8255-1855645774BB}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
    FirewallRules: [{329DEF60-5CE2-4338-9C86-CC3062E9DD94}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
    FirewallRules: [{E434370D-9A16-4DD2-A2BF-5C9E7A4A1CCC}] => (Allow) C:\Program Files\Microsoft Lync\UcMapi.exe No File
    FirewallRules: [{65A2FDFF-0069-4187-B9B2-B4D8DECEEB60}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
    FirewallRules: [{72B6AF06-0CD4-4466-90FD-1A9DD3A5CB6A}] => (Allow) C:\Program Files\Microsoft Lync\communicator.exe No File
    FirewallRules: [TCP Query User{DB5B3A93-0079-48CF-B55B-9B930D5515F0}C:\users\tolik\desktop\dmt.exe] => (Allow) C:\users\tolik\desktop\dmt.exe No File
    FirewallRules: [UDP Query User{BFE68D3C-04D6-4791-9E0D-CA4FD1EBD13A}C:\users\tolik\desktop\dmt.exe] => (Allow) C:\users\tolik\desktop\dmt.exe No File
    FirewallRules: [{EDE4C026-8AB7-4212-ABF0-A9D209789587}] => (Allow) C:\Program Files\ACSPMonitor\ASMonitor.exe No File
    FirewallRules: [{FFC95D0B-EC15-435C-BA41-F43CECB8A63E}] => (Allow) C:\Program Files\ACSPMonitor\ASMonitor.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
готово
 

Вложения

Нужна другая пара файлов, лучше текстовые больше 255 байт (и в одном архиве, пожалуйста).
 
Проверьте ЛС.
 
спс, дешифровал некоторые документы.
Вопрос, ширатор сьел и файлы установленных программ, их тоже можно дешифоровать или сам программы лучше переинтслировать?
 
Тему можно отмечать решенной?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу