crylock 2.0.0.0 Raptorfiles@yahooweb.co

[RabbitNRJ]

Доброго всем времени суток. Подверглись взлому через rdp. Понимаю, что расшифровке пока не подлежит, но хотя бы почистить от мусора. 

virus.zip FRST.txt Addition.txt

[Sandor]

Здравствуйте!

 

Это так, расшифровки нет.

 

18 минут назад, RabbitNRJ сказал:

Подверглись взлому через rdp

Пароль на подключение меняйте и прячьте само подключение за VPN.

 

Чистим:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1389191553-932516398-3193568154-1000\...\Run: [14493C85-12269D66hta] => c:\users\hotel\appdata\local\temp\how_to_decrypt.hta [6027 2022-07-10] () [Файл не подписан] <==== ВНИМАНИЕ
  HKU\S-1-5-21-1389191553-932516398-3193568154-1000\...\MountPoints2: {1dc6fff8-866e-11ec-a85a-14dae9c4e9c7} - D:\SISetup.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1000\...\MountPoints2: {7bedba34-f7ac-11e8-85ba-14dae9c4e9c7} - E:\Autorun.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1000\...\MountPoints2: {ae78d4c2-47d0-11e8-9975-14dae9c4e9c7} - D:\SISetup.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1000\...\MountPoints2: {f516259c-d182-11ea-9361-14dae9c4e9c7} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1000\...\MountPoints2: {f6fa6729-5a54-11ea-9a24-14dae9c4e9c7} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1001\...\MountPoints2: {f516259c-d182-11ea-9361-14dae9c4e9c7} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1004\...\MountPoints2: {1dc6fff8-866e-11ec-a85a-14dae9c4e9c7} - D:\SISetup.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1004\...\MountPoints2: {ae78d4c2-47d0-11e8-9975-14dae9c4e9c7} - D:\SISetup.exe
  HKU\S-1-5-21-1389191553-932516398-3193568154-1004\...\Run: [GoogleChromeAutoLaunch_7B1FF1F7C5B37902C0C74DA06FB37D7B] => "C:\Users\Reception\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
  2022-07-10 16:27 - 2022-07-10 16:27 - 000006027 _____ C:\Users\Reception\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:27 - 2022-07-10 16:27 - 000006027 _____ C:\Users\Reception\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:27 - 2022-07-10 16:27 - 000006027 _____ C:\Users\Reception\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:27 - 2022-07-10 16:27 - 000006027 _____ C:\Users\Reception\AppData\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\Reception\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\Reception\AppData\Local\Apps\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\Public\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\Downloads\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\Desktop\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\MSSQL$SQLEXPRESS\AppData\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\LogusWebApi\how_to_decrypt.hta
  2022-07-10 16:25 - 2022-07-10 16:25 - 000006027 _____ C:\Users\LogusWebApi\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\LogusWebApi\Downloads\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\LogusWebApi\Desktop\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\LogusWebApi\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\LogusWebApi\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\LogusWebApi\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\LogusWebApi\AppData\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\Hotel\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\Hotel\Downloads\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\Hotel\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\Hotel\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\Hotel\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:24 - 2022-07-10 16:24 - 000006027 _____ C:\Users\Hotel\AppData\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Hotel\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Hotel\AppData\Local\Apps\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\Downloads\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\Desktop\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\Den\AppData\how_to_decrypt.hta
  2022-07-10 16:22 - 2022-07-10 16:22 - 000006027 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Den\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Default\AppData\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\ASP.NET v4.0\how_to_decrypt.hta
  2022-07-10 16:21 - 2022-07-10 16:21 - 000006027 _____ C:\Users\ASP.NET v4.0\Downloads\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\Classic .NET AppPool\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\ASP.NET v4.0\Desktop\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\ASP.NET v4.0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\ASP.NET v4.0\AppData\Roaming\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\ASP.NET v4.0\AppData\LocalLow\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\ASP.NET v4.0\AppData\Local\how_to_decrypt.hta
  2022-07-10 16:20 - 2022-07-10 16:20 - 000006027 _____ C:\Users\ASP.NET v4.0\AppData\how_to_decrypt.hta
  2022-07-10 16:17 - 2022-07-10 16:17 - 000006027 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-10 16:17 - 2022-07-10 16:17 - 000006027 _____ C:\ProgramData\how_to_decrypt.hta
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
  AlternateDataStreams: C:\Users\Public\.DS_Store[Raptorfiles@yahooweb.co].[14493C85-12269D66]:AFP_AfpInfo [122]
  FirewallRules: [{A2B0E0FE-0952-44B9-9083-FAEB05DF6BE8}] => (Allow) LPort=53111
  FirewallRules: [{C13D889B-3E4C-4298-8F4C-B13BE5E06DBD}] => (Allow) LPort=5357
  FirewallRules: [{28A73323-9519-4A0D-9237-B3C1FBFFDAD5}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[RabbitNRJ]

ОК. Есть ли вероятность, что расшифровщик появится? Базы данных полегли... обидно, что бэкапов неосталось.

Fixlog.txt

[Sandor]

Вымогатель активен уже много лет и шансов на то, что прекратит, ничтожно мало, к сожалению.

[RabbitNRJ]

Нашел вот эту гадость в папке Pictures/AniDesk. Возможно ли, что вирусню занесли через AnyDesk? Пароль virus. НЕ ЗАПУСКАТЬ! Можно ли как-то из него достать ключи или они могли храниться в логах, которые удалены? Кстати, батник чистит журнал. Думал достать удаленные логи и журналы через Active File Recovery, но не знаю какой тип файла. Нет сигнатур под журналы системы. Лайфхак, который меня реально спас: ежедневный заархивированный бэкап СУБД был удален, (до него шифровальщик не добрался) я восстановил без потери.  

AnyDesk.zip

[thyrex]

Ключ шифрования хранится в зашифрованных файлах, но сам он тоже зашифрован с использование криптостойкого алгоритма RSA с длинным ключом. Увы, такое не сбрутить за всю жизнь.