Шифровальщик [email protected] 1.5.1.0

Здравствуйте! Словил шифровальщика на компе к которому всегда подключались удалённо. Видимо после перезагрузки отработал вирус. Сам вирус вычистил с помощью Kaspersky Virus Removal Tool (нашел ~940 заражённых элементов).
[COLOR=#333333][COLOR=#333333]Все файлы стали с расширением "doubleoffset" и именами вида [/COLOR][/COLOR][COLOR=#333333][email protected] 1.5.1.0.id-.fname-документ.txt.doubleoffset.

Помогите пожалуйста с расшифровкой. Заранее спасибо.

Александр,
[/COLOR][email protected]

Уважаемый(ая) [B]sacred96[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Прикрепил файлы к сообщению

Учетку, созданную злодеями, удалите
[QUOTE]admins (S-1-5-21-3263575665-3963400818-513878820-1030 - Administrator - Enabled) => C:\Users\admins[/QUOTE]

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {0052CA3D-10EA-406F-8CF7-90138E9267FA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {03505DAB-93B6-47FA-A5EA-75DDE8D8BBCF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {142F69EE-CBCE-424B-ABDD-6D1A6356871D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {241EB342-7588-456B-BE62-C13F853A3CA8} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {2ACA28EB-7776-4CE1-ABFE-8BAA5AF65C40} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {354E89C2-D807-4882-999A-E0F1A5FBC692} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {3F2BE137-8D1A-42BE-B29F-1C1D299CBE5B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {4BE9BF90-BAF3-4C9E-978D-A322F507702C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {584510AF-C8D4-4D03-A75C-109DFDF4B861} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {6653F853-27F1-4567-B36B-9BE38BFD90D0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8EF75C48-DF8B-4370-9751-E10A64DFBF52} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {95B4C7BC-A4D3-4CC8-92BC-B50A8B688CB8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {A52394A7-FAB3-41D6-B3B5-7CB2154CC2B5} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {C22DCC4D-722D-4F33-A66B-6EA21BD66B11} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {C3D80D78-4C07-41A0-B010-E4D100252EC0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {CECFBF87-07DF-4B63-9814-0663B38454A9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {EA01B3DE-46D8-4EC5-9254-BB1DC08AF13B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
2019-06-25 01:09 - 2019-06-25 01:09 - 000000061 _____ C:\Users\Настя\README.txt
2019-06-25 01:09 - 2019-06-25 01:09 - 000000061 _____ C:\Users\Настя\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\Downloads\README.txt
2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\Documents\README.txt
2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\Desktop\README.txt
2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\AppData\Roaming\README.txt
2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\AppData\README.txt
2019-06-25 01:00 - 2019-06-25 01:00 - 000000061 _____ C:\Users\Настя\AppData\LocalLow\README.txt
2019-06-25 01:00 - 2019-06-25 01:00 - 000000061 _____ C:\Users\Настя\AppData\Local\README.txt
2019-06-25 00:59 - 2019-06-25 00:59 - 000000000 ___HD C:\Users\admins\MicrosoftEdgeBackups
2019-06-25 00:55 - 2019-06-25 00:59 - 000001259 _____ C:\Users\Настя\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Public\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-25 00:53 - 2019-06-25 00:55 - 000001259 _____ C:\Users\Public\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 00:53 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Public\Documents\README.txt
2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\Users\Все пользователи\README.txt
2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\Users\Все пользователи\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\ProgramData\README.txt
2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\ProgramData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-06-25 00:36 - 2019-06-25 01:03 - 000472749 _____ C:\Users\Настя\Desktop\[email protected] 1.5.1.0.id-.fname-manual.exe.doubleoffset
FirewallRules: [{5526BDC3-5AED-4EA4-ADC0-659F0EC3C0A2}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS1786\hppiw.exe No File
FirewallRules: [{620061A2-836E-4532-BB0B-E7CDD83E88BC}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS1786\hppiw.exe No File
FirewallRules: [{D0D93740-3D0B-452A-B539-CE7ACA0083D1}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS633D\HPDiagnosticCoreUI.exe No File
FirewallRules: [{5F008834-BBF4-48A9-B049-560A25CC41E5}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS633D\HPDiagnosticCoreUI.exe No File
FirewallRules: [{51BD4224-F59E-45FF-8DC1-2465540201A2}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS6170\HPDiagnosticCoreUI.exe No File
FirewallRules: [{67104A78-FD71-4202-AF20-8D3556836933}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS6170\HPDiagnosticCoreUI.exe No File
FirewallRules: [{871EA254-8485-4D7D-8090-FBE78AC0D937}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS5F1B\HPDiagnosticCoreUI.exe No File
FirewallRules: [{1645F588-3845-42B1-A9DD-E71CC929FC0D}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS5F1B\HPDiagnosticCoreUI.exe No File
FirewallRules: [{F6C00073-EFB5-4F1D-8F47-CE9813E6DF8E}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS54BF\HPDiagnosticCoreUI.exe No File
FirewallRules: [{02A61F10-6990-41FA-BF3C-E9256746583F}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS54BF\HPDiagnosticCoreUI.exe No File
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполнил, файл логов прикрепил

Поищите пару - шифрованный_файл/оригинал_до_шифрования - и прикрепите в архиве к сообщению. Размер оригинального файла должен быть не менее 256 байт. В этот же архив можете поместить образцы нескольких других зашифрованных файлов.

[QUOTE=thyrex;1502213]Поищите пару - шифрованный_файл/оригинал_до_шифрования - и прикрепите в архиве к сообщению. Размер оригинального файла должен быть не менее 256 байт. В этот же архив можете поместить образцы нескольких других зашифрованных файлов.[/QUOTE]

Сделал, нашел по несколько примеров разного типа.

Отвечу вечером или завтра.

Проверьте ЛС.

Попробуйте поискать другие пары популярных форматов (документы Office, картинки) большего размера

Ошибка 103 связана с установленным зачем-то атрибутом "только чтение" у оригинального файла. Но все равно присланные пары не пригодны для расшифровки других зашифрованных файлов.

[QUOTE=thyrex;1502613]Ошибка 103 связана с установленным зачем-то атрибутом "только чтение" у оригинального файла. Но все равно присланные пары не пригодны для расшифровки других зашифрованных файлов.[/QUOTE]

Удалось найти другие оригинальные файлы и всё получилось, спасибо огромное!
Но нашли одну особенность - ключ не подходит для зашифрованных файлов на разных локальных дисках. То есть, нам пришлось найти пару файлов на диске С:\ и затем пару на диске D:\. И ключ расчитаный для пары с конкретного диска работал только на нём.

Да, такое возможно, если злоумышленники для шифрования каждого диска или доступных сетевых ресурсов перезапускали шифратор