Решена без расшифровки Зашифрованы данные .doubleoffset

[Игорь2017]

Всем доброго времени суток. Сегодня ночью подключившись к серверу компании по RDP, обнаружил что данные на нем зашифрованы, и все файлы имеют формат email-3nity@tuta.io.ver-CL 1.5.1.0.id-proc.fname-Этот компьютер.lnk.doubleoffset Подскажите и помогите плиз расшифровать данные.
Я подключился к серверу в 2 часа ночи, и процесс шифрования еще шел, т.к. в диспетчере задач обнаружил выполняющийся файл Ruch.exe Соответственно я прибил этот процесс, а на рабочем столе лежит этот файл. Может это и есть сам вирус?

 

[akok]

Это шифровщик. Запакуйте его и прикрепите к теме. По поводу дешифровки, я уточню, но скорее всего ничего не получится. Данные (скорее всего) можно вытянуть из теневых копий (шифровальщик не отработал полностью, и мог еще не затереть информацию).

+++

https://safezone.cc/decryption-rules/

 

[Игорь2017]

К сожалению и все теневые копии, и копии после Windows image backup были зашифрованы.
Сам вирус запаковал, высылаю. Пароль на архив " infected "

 

[Sandor]

+++
https://safezone.cc/decryption-rules/

Это не отменяется.

Вымогатель Cryakl, есть данные, что ЛК в некоторых случаях может помочь. Лицензия на антивирус Касперского у вас или у кого-либо из знакомых есть?

 

[Игорь2017]

К сожалению на Касперского нет, нашел на NOD32, отправил. Правда они просят чтобы на этом компьютере был установлен антивирус с лицензией, а сейчас его туда не установить.

 

[Sandor]

сейчас его туда не установить

Вот чтоб это исправить мы и просим логи по правилам.

 

[Игорь2017]

Я запустил Autologger, он пишет что 2ым действием будет перезагрузка. Я так понимаю перезагрузка системы? Уверен что она уже не загрузится

 

[Sandor]

Если система 64-битная, то перезагрузки не будет. Если 32-х, отмените (снимите задачу) и после повторного запуска нажмите ОК, удерживая нажатой клавишу Shift.

 

[Игорь2017]

Вроде получилось

 

[akok]

Сами отладчики подключали? (может использоваться для этого)
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

И нужно будет переделать логи из консоли, терминальная сессия не годиться.

AVZ - справка по работе с программой

 

[Игорь2017]

К сожалению доступ только терминальный, сам сервер арендованый и находится в другом городе.

 

[akok]

Понятно, а по отладчикам что?

 

[Игорь2017]

HijackThis сделал. Нужно что-то прислать?
Или теперь нужно снова запустить AVZ?

 

[akok]

В принципе чисто, проверим еще так для уверенности.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Игорь2017]

Готово. Высылаю

 

[akok]

%systemroot%\system32\calluxxprovider.vbs - ваше?
Порты сами открывали?
FirewallRules: [{8BFD5036-B8E2-47C3-A420-08527A966663}] => (Allow) LPort=80
FirewallRules: [{06D6E31B-0C59-487D-9985-DADDCD4FD22B}] => (Allow) LPort=443
FirewallRules: [{A49B5F43-7F2A-4AB4-98E9-6763C1A38980}] => (Allow) LPort=21
FirewallRules: [{9F898D43-CB3D-4DC7-9CB1-6BC0D2469261}] => (Allow) LPort=17753
FirewallRules: [{8F1E3A85-4DB2-4253-8987-360D47D0EE57}] => (Allow) LPort=17753

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  S3 cpuz139; \??\C:\Users\836D~1\AppData\Local\Temp\1\cpuz139\cpuz139_x64.sys [X] <==== ATTENTION
  S3 cpuz141; \??\C:\Users\836D~1\AppData\Local\Temp\2\cpuz141\cpuz141_x64.sys [X] <==== ATTENTION
  2019-04-09 22:39 - 2019-04-09 22:39 - 000001262 _____ C:\ProgramData\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\TEMP\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\TEMP\AppData\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\TEMP\AppData\LocalLow\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\Downloads\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\Documents\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Public\Desktop\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\Downloads\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\Documents\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\Desktop\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default\AppData\Local\Temp\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\Documents\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  2019-04-09 22:39 - 2019-04-09 22:39 - 000000061 _____ C:\Program Files (x86)\README.txt
  2019-04-09 22:38 - 2019-04-09 22:39 - 000000061 _____ C:\Users\README.txt
  2019-04-09 22:38 - 2019-04-09 22:38 - 000000061 _____ C:\Program Files\README.txt
  FirewallRules: [{7C19B33E-F745-4FC3-8EED-512AEC849576}] => (Allow) C:\Users\Администратор\Desktop\µTorrent Portable\App\uTorrent\uTorrent.exe No File
  FirewallRules: [{E4236068-25AE-4DA4-91EA-D457E1020F1F}] => (Allow) C:\Users\Администратор\Desktop\µTorrent Portable\App\uTorrent\uTorrent.exe No File
  FirewallRules: [{9D41F38E-BF2A-4CBB-BFD4-1F9D58782553}] => (Allow) C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe No File
  FirewallRules: [{544CD1D2-CC21-4D57-8A5B-2EF7E86FD75A}] => (Allow) C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe No File
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Сервер перезагрузите вручную

 

[Игорь2017]

Да, порты открывал сам
calluxxprovider.vbs - в первый раз вижу
Еще один лог

 

[Sandor]

По скрину с Eset - вы пытаетесь установить домашнюю версию на серверную систему. Потому и ошибка.

 

[akok]

calluxxprovider.vbs - в первый раз вижу

Каково содержимое файла? Если точно не легитимный (или прикрепите файл к этой теме, посмотрим), то
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: \Microsoft\Windows\Server Manager\CleanupOldPerfLogs - C:\Windows\system32\cscript.exe /B /nologo C:\Windows\system32\calluxxprovider.vbs $(Arg0) $(Arg1) $(Arg2)

 

[Игорь2017]

Антивирус я разный пытался поставить, исход один.
Файл прилагаю