Перейти к содержанию

Поймали шифровальщик Raptorfiles@yahooweb.co

Новый Дом
 Share Подписчики 2

Рекомендуемые сообщения

Новый Дом

Новый Дом 0

Опубликовано
Опубликовано

Вчера вечером взломали по RDP методом подбора паролей....

 

В результате зашифрован 1 компьютер и 1 сетевой диск.

Файлы логов с компьютера прилагаем. Как их получить с сетевого диска пока не ясно - разберемся позже...

 

Очень нужна Ваша помощь!

Файлы прилагаем.

 

Спасибо!

Addition.txt FRST.txt virus.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, это Crylock 2.0 и расшифровки нет.

 

48 минут назад, Новый Дом сказал:

взломали по RDP

Меняйте пароли на подключение, а также пароли на учетную запись администратора.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {261434F8-71E4-4F06-9ABD-38F3947FB678} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1008 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
FirewallRules: [{85F62E6F-9950-4F67-B915-B6462F1E6E04}] => (Allow) LPort=8090
FirewallRules: [{0182BEF1-53AA-4DF1-8621-806C99C13EB0}] => (Allow) LPort=3385
FirewallRules: [{6269B632-A198-45BD-ACC1-7C60913EF9C8}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{266CF77C-0AB2-4C12-B56B-04B114870F35}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{5E229EDE-D3A7-4BD1-AE00-4FAC57A39D05}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{DA62DCEA-4099-44C1-80AE-47D7F6DD67ED}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{7CCA7446-3D29-47EB-8FA9-68F5AE9D803F}] => (Allow) LPort=3389
FirewallRules: [{FC006D58-9664-4329-A311-167C22BEEE23}] => (Allow) C:\Users\Людмила\AppData\Local\Temp\DriverPack-20190911180525\tools\aria2c.exe => Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Новый Дом

Новый Дом 0

Опубликовано
  • Автор
Опубликовано
22.07.2022 в 10:38, Sandor сказал:

Здравствуйте!

 

К сожалению, это Crylock 2.0 и расшифровки нет.

 

Меняйте пароли на подключение, а также пароли на учетную запись администратора.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {261434F8-71E4-4F06-9ABD-38F3947FB678} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe (Нет файла)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-3236313654-975722595-3304282401-1008 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
FirewallRules: [{85F62E6F-9950-4F67-B915-B6462F1E6E04}] => (Allow) LPort=8090
FirewallRules: [{0182BEF1-53AA-4DF1-8621-806C99C13EB0}] => (Allow) LPort=3385
FirewallRules: [{6269B632-A198-45BD-ACC1-7C60913EF9C8}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{266CF77C-0AB2-4C12-B56B-04B114870F35}] => (Allow) C:\Users\Людмила\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{5E229EDE-D3A7-4BD1-AE00-4FAC57A39D05}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{DA62DCEA-4099-44C1-80AE-47D7F6DD67ED}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{7CCA7446-3D29-47EB-8FA9-68F5AE9D803F}] => (Allow) LPort=3389
FirewallRules: [{FC006D58-9664-4329-A311-167C22BEEE23}] => (Allow) C:\Users\Людмила\AppData\Local\Temp\DriverPack-20190911180525\tools\aria2c.exe => Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor, здравствуйте.

Прикрепляю файл (после fIX-а).

 

Сможете ответить, что все хорошо ?

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Да, скрипт отработал успешно.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Новый Дом

Новый Дом 0

Опубликовано
  • Автор
Опубликовано

Прикладываем файл.

 

Уважаемый Sandor, у Вас есть рекомендации, как в дальнейшем защититься от атак через RDP ?

Может быть как-то настроить брандмаузер по разрешенным IP или что-то в этом роде ?

 

Спасибо 🤝 

 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2008 R2 (64-разрядная версия) Данная программа больше не поддерживается разработчиком.
Notepad++ (64-bit x64) v.7.9.5 Внимание! Скачать обновления
Программа устан. Microsoft SQL Server 2008 R2 (на рус. языке) v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Файлы поддержки программы установки Microsoft SQL Server 2008  v.10.1.2731.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Microsoft SQL Server 2008 R2 RsFx Driver v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 R2 Native Client v.10.50.1600.1 Данная программа больше не поддерживается разработчиком.
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Intel® Driver & Support Assistant v.19.10.42.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
VKMusic 4 v.4.77.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
 

 

На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

 

21 минуту назад, Новый Дом сказал:

как в дальнейшем защититься от атак через RDP ?

Доступ RDP давайте только через VPN.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Stepan1992
      [РАСШИФРОВАНО] Попался на шифровальщика
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • davidbayra
      Шифровальщик (fairexchange@qq.com)
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • vangeraman
      [РАСШИФРОВАНО] Шифровальщик (fairexchange@qq.com)
      От vangeraman
      Всем привет) надеюсь всё верно оформил)
      В далёком 21 году на почту пришло письмо, которое открыли, все файлы на харде зашифровались, на тот момент решения не было, отложили винт. Сейчас как понял есть возможность расшифровки.
      Стояла win 7 x64 на тот момент, сейчас её нет, расшифровывать буду (если будет конечно возможность) на win 10 x64.
      Прикрепляю 2 архива, в одном файлы зашифрованные, во втором how_to_decrypt (пароль к обоим "infected" без кавычек).
       
      Прошу помощи в расшифровке.
      how_to_decrypt.zip Диана.zip
    • Shk
      [РАСШИФРОВАНО] Поймали шифровальщик [hopeandhonest@smime.ninja]
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
×
×
  • Создать...