Перейти к содержанию

Шифровальщик Анилорак


Рекомендуемые сообщения

Злоумышленники  получили доступ к AD  и собственно  подсунули  шифровальщика
причем на несколько машин  входящих  в этот AD   просто зашифровали файлы а  Текст сообщения вымогателя  только  на контроллере AD

собственно   результаты FRST  текст в вымогателя  и в  архиве  три файла  зашифрованных данной пакостью  в virus.rar

 

Addition.txt Anilorak_Decryption.txt FRST.txt VIRUS.rar

Ссылка на комментарий
Поделиться на другие сайты

давайте попробуем почистить 

 

и  возможно ли в ближайшем обозримом будущем появление дешифровки  данной пакости ? 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption]  
    HKLM\...\Policies\system: [legalnoticetext] ￐゚￐ᅠ￐リ￐メ￐ユ￐ᄁ, ￐ワ￐゙￐ル ￐ヤ￐゙￐ᅠ￐゙￐モ￐゙￐ル ￐ᄂ￐ミ￐ン￐ミ￐ᄁ! ￐ᄁ￐メ￐゙￐リ ￐ᄂ￐ミ￐ル￐ロ￐ᆱ ￐ラ￐ミ￐ᄄ￐リ￐ᄂ￐ᅠ￐゙￐メ￐ミ￐ン￐ᆱ!!!
    Task: {9EF232EF-A049-49F1-9743-DF1E7AE83BDA} - System32\Tasks\Erase Tmp => C:\Users\Администратор.WIN-DLTKKDFIVAV\Desktop\erase.bat  (Нет файла)
    2023-06-13 13:54 - 2023-06-14 00:33 - 000002180 _____ C:\Users\Администратор.WIN-DLTKKDFIVAV\Desktop\Anilorak_Decryption.txt
    2023-06-13 13:12 - 2023-06-14 00:33 - 000002180 _____ C:\Anilorak_Decryption.txt
    2023-06-13 13:12 - 2023-06-14 00:32 - 000002180 _____ C:\Users\Администратор.WIN-DLTKKDFIVAV\AppData\Local\Anilorak_Decryption.txt
    AlternateDataStreams: C:\Windows\system32\msln.exe:facb5613cdcbcdff2d68cecf28adc35a [340]
    HKU\S-1-5-21-980693298-1010973879-3089007739-500\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{F5D66FA5-6DA6-4778-B91C-131EFBC47046}] => (Allow) LPort=443
    FirewallRules: [{843D17AF-853C-4B06-8ADA-029459098836}] => (Allow) LPort=475
    FirewallRules: [{1823A507-39DE-4F99-A9AE-74D8F01DD316}] => (Allow) LPort=475
    FirewallRules: [{AAB145D3-B398-4E19-A847-D60A1AD6689C}] => (Allow) LPort=475
    FirewallRules: [{F64127B7-6C95-4AAE-BD6C-6CD14C782959}] => (Allow) LPort=475
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли администраторов меняйте.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

получается  они  используют лазейки  через уязвимости РДП ? 

 

поможет ли  в таком случае  замена  дефолтного порта РДП  на Любой другой ? 

 

Ссылка на комментарий
Поделиться на другие сайты

к примеру

193.ххх.ххх.ххх:648хх

 

кстати но машина все равно не в адеквате 

 

кнопки выключения и перезагрузки отсутсвуют ((( 

Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, wsndemon сказал:

получается  они  используют лазейки  через уязвимости РДП ? 

Не только. https://forum.kasperskyclub.ru/topic/361980-vebinar-omerzitelnaja-vosmyorka-tehniki-taktiki-i-procedury-ttps-gruppirovok-shifrovalshhikov/

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
15.06.2023 в 16:19, Sandor сказал:

Подключение по RDP, если требуется, прячьте за VPN. Иначе опять сломают.

 

Читайте Рекомендации после удаления вредоносного ПО

Уязвимость RDP смогут использовать даже если Антивирус Касперского стоит?

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...