Показано с 1 по 14 из 14.

Шифровальщик email-3nity@tuta.io.ver-CL 1.5.1.0 (заявка № 223187)

  1. #1
    Junior Member Репутация
    Регистрация
    11.07.2019
    Сообщений
    9
    Вес репутации
    1

    Шифровальщик email-3nity@tuta.io.ver-CL 1.5.1.0

    Здравствуйте! Словил шифровальщика на компе к которому всегда подключались удалённо. Видимо после перезагрузки отработал вирус. Сам вирус вычистил с помощью Kaspersky Virus Removal Tool (нашел ~940 заражённых элементов).
    Все файлы стали с расширением "doubleoffset" и именами вида email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-документ.txt.doubleoffset.

    Помогите пожалуйста с расшифровкой. Заранее спасибо.

    Александр,
    sashkaa96@mail.ru
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,316
    Вес репутации
    353
    Уважаемый(ая) sacred96, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    11.07.2019
    Сообщений
    9
    Вес репутации
    1
    Прикрепил файлы к сообщению
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Учетку, созданную злодеями, удалите
    admins (S-1-5-21-3263575665-3963400818-513878820-1030 - Administrator - Enabled) => C:\Users\admins
    1. Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {0052CA3D-10EA-406F-8CF7-90138E9267FA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {03505DAB-93B6-47FA-A5EA-75DDE8D8BBCF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {142F69EE-CBCE-424B-ABDD-6D1A6356871D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {241EB342-7588-456B-BE62-C13F853A3CA8} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
    Task: {2ACA28EB-7776-4CE1-ABFE-8BAA5AF65C40} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
    Task: {354E89C2-D807-4882-999A-E0F1A5FBC692} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    Task: {3F2BE137-8D1A-42BE-B29F-1C1D299CBE5B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {4BE9BF90-BAF3-4C9E-978D-A322F507702C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {584510AF-C8D4-4D03-A75C-109DFDF4B861} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
    Task: {6653F853-27F1-4567-B36B-9BE38BFD90D0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {8EF75C48-DF8B-4370-9751-E10A64DFBF52} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {95B4C7BC-A4D3-4CC8-92BC-B50A8B688CB8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    Task: {A52394A7-FAB3-41D6-B3B5-7CB2154CC2B5} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
    Task: {C22DCC4D-722D-4F33-A66B-6EA21BD66B11} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {C3D80D78-4C07-41A0-B010-E4D100252EC0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {CECFBF87-07DF-4B63-9814-0663B38454A9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {EA01B3DE-46D8-4EC5-9254-BB1DC08AF13B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    2019-06-25 01:09 - 2019-06-25 01:09 - 000000061 _____ C:\Users\Настя\README.txt
    2019-06-25 01:09 - 2019-06-25 01:09 - 000000061 _____ C:\Users\Настя\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\Downloads\README.txt
    2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\Documents\README.txt
    2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\Desktop\README.txt
    2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\AppData\Roaming\README.txt
    2019-06-25 01:03 - 2019-06-25 01:03 - 000000061 _____ C:\Users\Настя\AppData\README.txt
    2019-06-25 01:00 - 2019-06-25 01:00 - 000000061 _____ C:\Users\Настя\AppData\LocalLow\README.txt
    2019-06-25 01:00 - 2019-06-25 01:00 - 000000061 _____ C:\Users\Настя\AppData\Local\README.txt
    2019-06-25 00:59 - 2019-06-25 00:59 - 000000000 ___HD C:\Users\admins\MicrosoftEdgeBackups
    2019-06-25 00:55 - 2019-06-25 00:59 - 000001259 _____ C:\Users\Настя\AppData\Local\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Public\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Public\Downloads\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\Downloads\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\Documents\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\Desktop\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\Documents\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-25 00:55 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-25 00:53 - 2019-06-25 00:55 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 00:53 - 2019-06-25 00:55 - 000000061 _____ C:\Users\Public\Documents\README.txt
    2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\Users\Все пользователи\README.txt
    2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\ProgramData\README.txt
    2019-06-25 00:52 - 2019-06-25 00:55 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-25 00:36 - 2019-06-25 01:03 - 000472749 _____ C:\Users\Настя\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-manual.exe.doubleoffset
    FirewallRules: [{5526BDC3-5AED-4EA4-ADC0-659F0EC3C0A2}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS1786\hppiw.exe No File
    FirewallRules: [{620061A2-836E-4532-BB0B-E7CDD83E88BC}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS1786\hppiw.exe No File
    FirewallRules: [{D0D93740-3D0B-452A-B539-CE7ACA0083D1}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS633D\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{5F008834-BBF4-48A9-B049-560A25CC41E5}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS633D\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{51BD4224-F59E-45FF-8DC1-2465540201A2}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS6170\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{67104A78-FD71-4202-AF20-8D3556836933}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS6170\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{871EA254-8485-4D7D-8090-FBE78AC0D937}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS5F1B\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{1645F588-3845-42B1-A9DD-E71CC929FC0D}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS5F1B\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{F6C00073-EFB5-4F1D-8F47-CE9813E6DF8E}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS54BF\HPDiagnosticCoreUI.exe No File
    FirewallRules: [{02A61F10-6990-41FA-BF3C-E9256746583F}] => (Allow) C:\Users\Настя\AppData\Local\Temp\7zS54BF\HPDiagnosticCoreUI.exe No File
    Reboot:
    End::
    2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
    3. Запустите Farbar Recovery Scan Tool.
    4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание: будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    11.07.2019
    Сообщений
    9
    Вес репутации
    1
    Выполнил, файл логов прикрепил
    Вложения Вложения

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Поищите пару - шифрованный_файл/оригинал_до_шифрования - и прикрепите в архиве к сообщению. Размер оригинального файла должен быть не менее 256 байт. В этот же архив можете поместить образцы нескольких других зашифрованных файлов.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    11.07.2019
    Сообщений
    9
    Вес репутации
    1
    Цитата Сообщение от thyrex Посмотреть сообщение
    Поищите пару - шифрованный_файл/оригинал_до_шифрования - и прикрепите в архиве к сообщению. Размер оригинального файла должен быть не менее 256 байт. В этот же архив можете поместить образцы нескольких других зашифрованных файлов.
    Сделал, нашел по несколько примеров разного типа.
    Вложения Вложения

  13. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Отвечу вечером или завтра.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Проверьте ЛС.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Попробуйте поискать другие пары популярных форматов (документы Office, картинки) большего размера
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Ошибка 103 связана с установленным зачем-то атрибутом "только чтение" у оригинального файла. Но все равно присланные пары не пригодны для расшифровки других зашифрованных файлов.
    Последний раз редактировалось thyrex; 23.07.2019 в 11:07.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #13
    Junior Member Репутация
    Регистрация
    11.07.2019
    Сообщений
    9
    Вес репутации
    1
    Цитата Сообщение от thyrex Посмотреть сообщение
    Ошибка 103 связана с установленным зачем-то атрибутом "только чтение" у оригинального файла. Но все равно присланные пары не пригодны для расшифровки других зашифрованных файлов.
    Удалось найти другие оригинальные файлы и всё получилось, спасибо огромное!
    Но нашли одну особенность - ключ не подходит для зашифрованных файлов на разных локальных дисках. То есть, нам пришлось найти пару файлов на диске С:\ и затем пару на диске D:\. И ключ расчитаный для пары с конкретного диска работал только на нём.

  19. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,548
    Вес репутации
    3071
    Да, такое возможно, если злоумышленники для шифрования каждого диска или доступных сетевых ресурсов перезапускали шифратор
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. 3nity@tuta.io.ver-CL-CL 1.5.1.0.id-.frame-@@@@@.doubleoffset
    От unicode_master в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 04.07.2019, 14:51
  2. Шифровальщик email-3nity@tuta.io.ver-CL 1.5.1.0
    От an_mvv в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 01.07.2019, 14:43
  3. шифровальщик keyforyou@tuta.io
    От 4ufolog в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 17.10.2017, 13:04
  4. Шифровальщик averia@tuta.io
    От VerterTRG в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 26.09.2017, 18:42
  5. Шифровальщик email-komar@tuta.io.ver-CL 1.3.1.0.
    От Dimax2006 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 26.08.2017, 14:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00008 seconds with 20 queries