Перейти к содержанию

Поймали шифровальщик Raptorfiles@yahooweb.co

Новый Дом
 Поделиться

Рекомендуемые сообщения

Новый Дом

Новый Дом

Опубликовано
Опубликовано

Вчера вечером взломали по RDP методом подбора паролей....

 

В результате зашифрован 1 компьютер и 1 сетевой диск.

Файлы логов с компьютера прилагаем. Как их получить с сетевого диска пока не ясно - разберемся позже...

 

Очень нужна Ваша помощь!

Файлы прилагаем.

 

Спасибо!

Addition.txt FRST.txt virus.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, это Crylock 2.0 и расшифровки нет.

 

48 минут назад, Новый Дом сказал:

взломали по RDP

Меняйте пароли на подключение, а также пароли на учетную запись администратора.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {261434F8-71E4-4F06-9ABD-38F3947FB678} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1008 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
FirewallRules: [{85F62E6F-9950-4F67-B915-B6462F1E6E04}] => (Allow) LPort=8090
FirewallRules: [{0182BEF1-53AA-4DF1-8621-806C99C13EB0}] => (Allow) LPort=3385
FirewallRules: [{6269B632-A198-45BD-ACC1-7C60913EF9C8}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{266CF77C-0AB2-4C12-B56B-04B114870F35}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{5E229EDE-D3A7-4BD1-AE00-4FAC57A39D05}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{DA62DCEA-4099-44C1-80AE-47D7F6DD67ED}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{7CCA7446-3D29-47EB-8FA9-68F5AE9D803F}] => (Allow) LPort=3389
FirewallRules: [{FC006D58-9664-4329-A311-167C22BEEE23}] => (Allow) C:\Users\Людмила\AppData\Local\Temp\DriverPack-20190911180525\tools\aria2c.exe => Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Новый Дом

Новый Дом

Опубликовано
  • Автор
Опубликовано
22.07.2022 в 10:38, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0 и расшифровки нет.

 

Меняйте пароли на подключение, а также пароли на учетную запись администратора.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {261434F8-71E4-4F06-9ABD-38F3947FB678} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1008 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
FirewallRules: [{85F62E6F-9950-4F67-B915-B6462F1E6E04}] => (Allow) LPort=8090
FirewallRules: [{0182BEF1-53AA-4DF1-8621-806C99C13EB0}] => (Allow) LPort=3385
FirewallRules: [{6269B632-A198-45BD-ACC1-7C60913EF9C8}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{266CF77C-0AB2-4C12-B56B-04B114870F35}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{5E229EDE-D3A7-4BD1-AE00-4FAC57A39D05}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{DA62DCEA-4099-44C1-80AE-47D7F6DD67ED}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{7CCA7446-3D29-47EB-8FA9-68F5AE9D803F}] => (Allow) LPort=3389
FirewallRules: [{FC006D58-9664-4329-A311-167C22BEEE23}] => (Allow) C:\Users\Людмила\AppData\Local\Temp\DriverPack-20190911180525\tools\aria2c.exe => Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor, здравствуйте.

Прикрепляю файл (после fIX-а).

 

Сможете ответить, что все хорошо ?

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Да, скрипт отработал успешно.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Новый Дом

Новый Дом

Опубликовано
  • Автор
Опубликовано

Прикладываем файл.

 

Уважаемый Sandor, у Вас есть рекомендации, как в дальнейшем защититься от атак через RDP ?

Может быть как-то настроить брандмаузер по разрешенным IP или что-то в этом роде ?

 

Спасибо 🤝 

 

 

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2008 R2 (64-разрядная версия) Данная программа больше не поддерживается разработчиком.
Notepad++ (64-bit x64) v.7.9.5 Внимание! Скачать обновления
Программа устан. Microsoft SQL Server 2008 R2 (на рус. языке) v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Файлы поддержки программы установки Microsoft SQL Server 2008  v.10.1.2731.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Microsoft SQL Server 2008 R2 RsFx Driver v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 R2 Native Client v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Intel® Driver & Support Assistant v.19.10.42.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
VKMusic 4 v.4.77.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
 

 

На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

 

21 минуту назад, Новый Дом сказал:

как в дальнейшем защититься от атак через RDP ?

Доступ RDP давайте только через VPN.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • IrinaC
      Поймали шифровальщика
      Автор IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Insaff
      Поймали Шифровальщика
      Автор Insaff
      Во всех расшареных папках зашифрованы файлы.
      Файлы имеют расширение ELPACO-team-***gCG***
      в некоторых папках лежит письмо с текстом
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by ELPACO-team
      Your decryption ID is *****QR14*ELPACO-team-gCG****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - el_kurva@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Написал я им на почту, пришел ответ, что надо заплатить 0,25 биткоина (получается около 1,5 млн)
      Есть ли Возможность у ко-нить за вознаграждение, чуть меньшее)) помочь с этим шифровальщиком.
       
       
      Молотки Можайск.pdf.zip
    • figabra
      Поймал шифровальщик
      Автор figabra
      Добрый день!
       
      Поймал шифровальщик Trojan-Ransom.Win32.Phobos.vho
      Все файлы имеют расширение .deep
      Помогите пожалуйста с расшифровкой.
       
      Заранее спасибо!
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • yarosvent
      поймали шифровальщика
      Автор yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...