Решена без расшифровки Зашифрованы данные .doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
Всем доброго времени суток. Сегодня ночью подключившись к серверу компании по RDP, обнаружил что данные на нем зашифрованы, и все файлы имеют формат email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-Этот компьютер.lnk.doubleoffset Подскажите и помогите плиз расшифровать данные.
Я подключился к серверу в 2 часа ночи, и процесс шифрования еще шел, т.к. в диспетчере задач обнаружил выполняющийся файл Ruch.exe Соответственно я прибил этот процесс, а на рабочем столе лежит этот файл. Может это и есть сам вирус?
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Это шифровщик. Запакуйте его и прикрепите к теме. По поводу дешифровки, я уточню, но скорее всего ничего не получится. Данные (скорее всего) можно вытянуть из теневых копий (шифровальщик не отработал полностью, и мог еще не затереть информацию).

+++
 

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
К сожалению и все теневые копии, и копии после Windows image backup были зашифрованы.
Сам вирус запаковал, высылаю. Пароль на архив " infected "
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
К сожалению на Касперского нет, нашел на NOD32, отправил. Правда они просят чтобы на этом компьютере был установлен антивирус с лицензией, а сейчас его туда не установить.
 

Вложения

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
Я запустил Autologger, он пишет что 2ым действием будет перезагрузка. Я так понимаю перезагрузка системы? Уверен что она уже не загрузится
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
Если система 64-битная, то перезагрузки не будет. Если 32-х, отмените (снимите задачу) и после повторного запуска нажмите ОК, удерживая нажатой клавишу Shift.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Сами отладчики подключали? (может использоваться для этого)
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

И нужно будет переделать логи из консоли, терминальная сессия не годиться.
 

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
К сожалению доступ только терминальный, сам сервер арендованый и находится в другом городе.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
Понятно, а по отладчикам что?
 

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
HijackThis сделал. Нужно что-то прислать?
Или теперь нужно снова запустить AVZ?
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
В принципе чисто, проверим еще так для уверенности.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
%systemroot%\system32\calluxxprovider.vbs - ваше?
Порты сами открывали?
FirewallRules: [{8BFD5036-B8E2-47C3-A420-08527A966663}] => (Allow) LPort=80
FirewallRules: [{06D6E31B-0C59-487D-9985-DADDCD4FD22B}] => (Allow) LPort=443
FirewallRules: [{A49B5F43-7F2A-4AB4-98E9-6763C1A38980}] => (Allow) LPort=21
FirewallRules: [{9F898D43-CB3D-4DC7-9CB1-6BC0D2469261}] => (Allow) LPort=17753
FirewallRules: [{8F1E3A85-4DB2-4253-8987-360D47D0EE57}] => (Allow) LPort=17753

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    S3 cpuz139; \??\C:\Users\836D~1\AppData\Local\Temp\1\cpuz139\cpuz139_x64.sys [X] <==== ATTENTION
    S3 cpuz141; \??\C:\Users\836D~1\AppData\Local\Temp\2\cpuz141\cpuz141_x64.sys [X] <==== ATTENTION
    2019-04-09 22:39 - 2019-04-09 22:39 - 000001262 _____ C:\ProgramData\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\TEMP\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\TEMP\AppData\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\TEMP\AppData\LocalLow\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\Desktop\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\Local\Temp\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Program Files (x86)\README.txt
    2019-04-09 22:38 - 2019-04-09 22:39 - 000000061 _____ C:\Users\README.txt
    2019-04-09 22:38 - 2019-04-09 22:38 - 000000061 _____ C:\Program Files\README.txt
    FirewallRules: [{7C19B33E-F745-4FC3-8EED-512AEC849576}] => (Allow) C:\Users\Администратор\Desktop\µTorrent Portable\App\uTorrent\uTorrent.exe No File
    FirewallRules: [{E4236068-25AE-4DA4-91EA-D457E1020F1F}] => (Allow) C:\Users\Администратор\Desktop\µTorrent Portable\App\uTorrent\uTorrent.exe No File
    FirewallRules: [{9D41F38E-BF2A-4CBB-BFD4-1F9D58782553}] => (Allow) C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe No File
    FirewallRules: [{544CD1D2-CC21-4D57-8A5B-2EF7E86FD75A}] => (Allow) C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сервер перезагрузите вручную
 

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
Да, порты открывал сам
calluxxprovider.vbs - в первый раз вижу
Еще один лог
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,261
Реакции
1,797
Баллы
563
По скрину с Eset - вы пытаетесь установить домашнюю версию на серверную систему. Потому и ошибка.
 

akok

Команда форума
Администратор
Сообщения
17,251
Реакции
13,289
Баллы
2,203
calluxxprovider.vbs - в первый раз вижу
Каково содержимое файла? Если точно не легитимный (или прикрепите файл к этой теме, посмотрим), то
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: \Microsoft\Windows\Server Manager\CleanupOldPerfLogs - C:\Windows\system32\cscript.exe /B /nologo C:\Windows\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)
 
Последнее редактирование:

Игорь2017

Новый пользователь
Сообщения
16
Реакции
0
Баллы
1
Антивирус я разный пытался поставить, исход один.
Файл прилагаю
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу