Перейти к содержанию

Поймали шифровальщик Raptorfiles@yahooweb.co


Рекомендуемые сообщения

Вчера вечером взломали по RDP методом подбора паролей....

 

В результате зашифрован 1 компьютер и 1 сетевой диск.

Файлы логов с компьютера прилагаем. Как их получить с сетевого диска пока не ясно - разберемся позже...

 

Очень нужна Ваша помощь!

Файлы прилагаем.

 

Спасибо!

Addition.txt FRST.txt virus.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, это Crylock 2.0 и расшифровки нет.

 

48 минут назад, Новый Дом сказал:

взломали по RDP

Меняйте пароли на подключение, а также пароли на учетную запись администратора.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {261434F8-71E4-4F06-9ABD-38F3947FB678} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
    Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1008 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    FirewallRules: [{85F62E6F-9950-4F67-B915-B6462F1E6E04}] => (Allow) LPort=8090
    FirewallRules: [{0182BEF1-53AA-4DF1-8621-806C99C13EB0}] => (Allow) LPort=3385
    FirewallRules: [{6269B632-A198-45BD-ACC1-7C60913EF9C8}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{266CF77C-0AB2-4C12-B56B-04B114870F35}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{5E229EDE-D3A7-4BD1-AE00-4FAC57A39D05}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
    FirewallRules: [{DA62DCEA-4099-44C1-80AE-47D7F6DD67ED}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
    FirewallRules: [{7CCA7446-3D29-47EB-8FA9-68F5AE9D803F}] => (Allow) LPort=3389
    FirewallRules: [{FC006D58-9664-4329-A311-167C22BEEE23}] => (Allow) C:\Users\Людмила\AppData\Local\Temp\DriverPack-20190911180525\tools\aria2c.exe => Нет файла
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
22.07.2022 в 10:38, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0 и расшифровки нет.

 

Меняйте пароли на подключение, а также пароли на учетную запись администратора.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {261434F8-71E4-4F06-9ABD-38F3947FB678} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
    Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1008 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    FirewallRules: [{85F62E6F-9950-4F67-B915-B6462F1E6E04}] => (Allow) LPort=8090
    FirewallRules: [{0182BEF1-53AA-4DF1-8621-806C99C13EB0}] => (Allow) LPort=3385
    FirewallRules: [{6269B632-A198-45BD-ACC1-7C60913EF9C8}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{266CF77C-0AB2-4C12-B56B-04B114870F35}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{5E229EDE-D3A7-4BD1-AE00-4FAC57A39D05}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
    FirewallRules: [{DA62DCEA-4099-44C1-80AE-47D7F6DD67ED}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
    FirewallRules: [{7CCA7446-3D29-47EB-8FA9-68F5AE9D803F}] => (Allow) LPort=3389
    FirewallRules: [{FC006D58-9664-4329-A311-167C22BEEE23}] => (Allow) C:\Users\Людмила\AppData\Local\Temp\DriverPack-20190911180525\tools\aria2c.exe => Нет файла
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor, здравствуйте.

Прикрепляю файл (после fIX-а).

 

Сможете ответить, что все хорошо ?

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Да, скрипт отработал успешно.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Прикладываем файл.

 

Уважаемый Sandor, у Вас есть рекомендации, как в дальнейшем защититься от атак через RDP ?

Может быть как-то настроить брандмаузер по разрешенным IP или что-то в этом роде ?

 

Спасибо 🤝 

 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2008 R2 (64-разрядная версия) Данная программа больше не поддерживается разработчиком.
Notepad++ (64-bit x64) v.7.9.5 Внимание! Скачать обновления
Программа устан. Microsoft SQL Server 2008 R2 (на рус. языке) v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Файлы поддержки программы установки Microsoft SQL Server 2008  v.10.1.2731.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Microsoft SQL Server 2008 R2 RsFx Driver v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 R2 Native Client v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Intel® Driver & Support Assistant v.19.10.42.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
VKMusic 4 v.4.77.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
 

 

На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

 

21 минуту назад, Новый Дом сказал:

как в дальнейшем защититься от атак через RDP ?

Доступ RDP давайте только через VPN.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • TNA
      От TNA
      Добрый вечер, вирус зашифровал данные на нескольких компьютерах по сети. Система не переустановлена. Помогите пожалуйста восстановить файлы.
    • Zima001
      От Zima001
      Помогите пожалуйста, зашифровали все данные на сервере, бэкап делали больше 3 месяцев назад, работа организации парализована. помогите!!!!!  
    • СМСергей
      От СМСергей
      Зашифровали компьютер, прошу помочь в расшифровке
      hopeandhonest@smime.ninja  ИД 2A89FD49-15216118
      Файлы сгенерированы как описано в инструкции
      files.rar Addition.txt FRST.txt
    • perfual
      От perfual
      Здравствуйте! Помогите расшифровать paybackformistake@qq.com. файлы были зашифрованы 9 месяцев назад вирус прошел по локальной сети с другого пк. ОС переустановлена. прикрепляю файлы и дамп вируса по ссылки на диск изиа того что размер 499 МБ.  https://disk.yandex.ru/d/TS1FO_q8djamvg
      pdf.zip ДОКУМЕНТЫ для ОЗНАКОМЛЕНИЯ.zip Фото.zip
    • Algon
      От Algon
      Здравствуйте.
      Прошу помощи с расшифровкой файлов.
       
      Addition.txt files.rar FRST.txt
×
×
  • Создать...