Перейти к содержанию

Шифровальщик. [Raptorfiles@yahooweb.co].[AB3F62F5-F38B2CA6]


Рекомендуемые сообщения

Доброго времени суток. 

После открытия RDP порта, буквально через сутки-полтора подвергся атаке шифровальщика. Шифровальщик забрался на два сервера и убил порядочное кол-во файлов.
Существует ли расшифровка? Если нет, то можно как то подчистить за ним реестр и мусор удалить его? Буду благодарен. 

Прикрепляю данные с двух серверов.

Addition-1.txt Addition-2.txt FRST-1.txt FRST-2.txt virus-1.zip virus-2.zip

Изменено пользователем Vitaly9367
Ссылка на сообщение
Поделиться на другие сайты

Это Cryakl 2.0.0.0. Для этого вымогателя пока нет способа дешифровки данных. Системы под переустановку или будем смотреть?

Ссылка на сообщение
Поделиться на другие сайты
21 час назад, akoK сказал:

Это Cryakl 2.0.0.0. Для этого вымогателя пока нет способа дешифровки данных. Системы под переустановку или будем смотреть?

Без переустановки. Надо подчистить его мусор и реестр желательно, если он что то вносил

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Здесь будем продолжать с компьютером, логи которого помечены "-1". Для второго создайте отдельную тему во избежание путаницы.

 

Скачайте вложенный файл fixlist.txt и поместите его рядом с файлом FRST64.exe на этот Рабочий стол (C:\Users\v.dementiev\Desktop\)

Запустите FRST64.exe и нажмите кнопку "Исправить".

 

Перезагрузите компьютер вручную.

Там же на рабочем столе появится файл Fixlog.txt, прикрепите его к следующему сообщению.

 

Деинсталлируйте устаревший и прекративший поддержку Adobe Flash Player 26 PPAPI, а также все версии нежелательной "Кнопка "Яндекс" на панели задач".

 

Уменьшите количество администраторов и смените их пароли, также, как и пароли на RDP.

 

fixlist.txt

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

Здравствуйте!

 

Здесь будем продолжать с компьютером, логи которого помечены "-1". Для второго создайте отдельную тему во избежание путаницы.

 

Скачайте вложенный файл fixlist.txt и поместите его рядом с файлом FRST64.exe на этот Рабочий стол (C:\Users\v.dementiev\Desktop\)

Запустите FRST64.exe и нажмите кнопку "Исправить".

 

Перезагрузите компьютер вручную.

Там же на рабочем столе появится файл Fixlog.txt, прикрепите его к следующему сообщению.

 

Деинсталлируйте устаревший и прекративший поддержку Adobe Flash Player 26 PPAPI, а также все версии нежелательной "Кнопка "Яндекс" на панели задач".

 

Уменьшите количество администраторов и смените их пароли, также, как и пароли на RDP.

 

fixlist.txtНедоступно

Файл удален пишет.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Кто пишет? Файл Fixlog.txt не появился?

пишет такое сообщение


 

Извините, возникла проблема

Это вложение недоступно. Оно могло быть удалено или у вас недостаточно прав для просмотра данного файла.

Код ошибки: 2C171/1

Ссылка на сообщение
Поделиться на другие сайты

Если решите сохранить зашифрованные файлы "до лучших времен" (в надежде на появление ключа), то вместе с файлами сохраните папку C:\FRST. Там находятся копии удаленных записок с требованием выкупа.

 

04.07.2022 в 08:32, Vitaly9367 сказал:

После открытия RDP порта

Закрывайте или прячьте за VPN, а также смените пароли администраторов и для RDP.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Radmin174
      От Radmin174
      Добрый день!
      1. win10 x64
      2. Kaspersky small office Security 21.7.7.393(a)
      3. Нашёл на диске зашифрованные файлы, видимо при работе другого сисадмина был пойман шифровальщик, на тот момент не было способов дешифровки, сейчас вроде на форумах пишут что есть инструкции для этого шифрования, хотелось бы уточнить возможность расшифровки файлов.

      simple.7z
    • Дмитрий Блохин
      От Дмитрий Блохин
      Заявка на панельные ограждения.docx[hopeandhonest@smime.ninja].rar
       
      Поймали вирус. Помогите расшифровать.
    • Lucidlynx
      От Lucidlynx
      Доброго дня, коллеги!
      Словили дрянь которая зашифровало все файлы. (в аттаче пример файлов)
      Подскажите что можно сделать?
      Documents.rar
    • Иван Баженов
      От Иван Баженов
      Добрый день!
      Сервер  Win 2012 R2 был заражен вирусом smime.ninja. Машина была остановлена и восстановлена система из резервной копии. Файлы дополнительного F диска не резервировались и имеют рас название типа: Тортилья с курицей.jpg[hopeandhonest@smime.ninja].[94CECC88-67302ADD]
       
      Также в сервер была включена флеш карта которая была зашифрована и на неё был внедрён вирус. При включении данной флэш карты на другой ПК вирус был обезврежен McAfee и размещён системой в архивный каталог на диске C:\QUARANTINE   Приложить его вам не получилось из за лимита ограничения 12,7 МБ (13 324 899 байт)   Если он понадобится то можно скачать по ссылке с Гугл диска https://drive.google.com/file/d/18p6Lx6HrHlGkDUce6JQbuYtwEBzYMgWF/view?usp=share_link
       
      А также прикладываю файл ТТК.rar зашифрованных файлов с паролем virus
       
       
      ТТК.rar
    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
×
×
  • Создать...