crysis Шифровальщик [openpgp@foxmail.com] ОС не загружается.

7 июля, 2020

Добрый день!
На сервер 1С был пойман шифровальщик, скорее всего через RDP.
Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows, AutoLogger либо KVRT.

all your data has been locked us
You want to return?
Write email openpgp@foxmail.com

Изменено 7 июля, 2020 пользователем r2d3

7 июля, 2020

Здравствуйте!

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

1 час назад, r2d3 сказал:

Нет возможности запустить Farbar Recovery Scan Tool из среды восстановления Windows

Такая возможность есть, читайте внимательно правила (по ссылке).

7 июля, 2020

1 час назад, Sandor сказал:

Здравствуйте!

Пару зашифрованных документов вместе с запиской о выкупе упакованных в архив здесь прикрепить можете?

Да, конечно

12.rar

1 час назад, Sandor сказал:

Такая возможность есть, читайте внимательно правила (по ссылке).

Подскажите, об этой возможности идет речь ?

7 июля, 2020

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

1 час назад, r2d3 сказал:

об этой возможности идет речь ?

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

8 июля, 2020

22 часа назад, Sandor сказал:

Увы, это Crysis или Dharma (.cezar Family). Расшифровки нет.

Верно.

Но если вы настроены переустанавливать систему, то логи не нужны.

Логи снять удалось. Подскажите, возможно ли с помощью логов выявить источник заражения и дату?

FRST.txt

8 июля, 2020

Дата и время появления - 2020-06-26 02:47 предположительно через учётную запись buh1.

8 июля, 2020

15 минут назад, Sandor сказал:

Дата и время появления - 2020-06-26 02:47 предположительно через учётную запись buh1.

Спасибо. Сориентируйте пожалуйста как зачистить систему?

8 июля, 2020

22 минуты назад, Sandor сказал:

предположительно через учётную запись buh1

Похоже тут вообще хорошо порезвились с 26.06 по 01.07, заходя еще и под buh4, и под buh5, и под glbuh.

8 июля, 2020

Выделите следующий код:

Start::
HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
End::

Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe
Запустите FRST64 от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.

8 июля, 2020

26 минут назад, Sandor сказал:
Выделите следующий код:
Start::
HKLM\...\Run: [1pgp.exe] => C:\Windows\System32\1pgp.exe [94720 2020-06-26] ()
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13922 2020-06-26] ()
HKLM\...\Run: [C:\Users\buh5\AppData\Roaming\Info.hta] => C:\Users\buh5\AppData\Roaming\Info.hta [13922 2020-06-26] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-07-01] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-26] ()
Startup: C:\Users\buh5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-06-26] ()
Startup: C:\Users\glbuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-29] ()
Task: {4D6E2E61-5283-4C25-BC11-6B176DBE44E5} - System32\Tasks\Realtek Sound Blaster => C:\Users\TEMP\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe <==== ATTENTION
2020-06-29 05:40 - 2020-06-29 05:40 - 000094720 _____ C:\Users\glbuh\AppData\Roaming\1pgp.exe
2020-06-28 07:36 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\VVV.exe
2020-06-28 07:34 - 2020-06-22 05:33 - 016520930 _____ (Adpdanwqao Vggkylledcblwm Whvjwafa) C:\Windows\System32\VVV.exe
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Windows\System32\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000013922 _____ C:\Users\buh5\AppData\Roaming\Info.hta
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-06-26 03:42 - 2020-06-26 03:42 - 000000172 _____ C:\FILES ENCRYPTED.txt
2020-06-26 02:47 - 2020-06-26 02:47 - 000094720 _____ C:\Windows\System32\1pgp.exe
End::
Скопируйте выделенный текст (правой кнопкой - Копировать) и вставьте в Блокнот. Сохраните под именем fixlist.txt в кодировке unicode. Поместите его рядом с файлом FRST64.exe

Запустите FRST64 от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите систему и пробуйте войти в нормальном режиме (или в безопасном).

Подробнее читайте в этом руководстве.

Готово.

Fixlog.txt

8 июля, 2020

Не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

30 минут назад, Sandor сказал:

пробуйте войти в нормальном режиме (или в безопасном)

Получилось?

8 июля, 2020

1 минуту назад, Sandor сказал:

Получилось?

Да, в таком виде, что дальше?

8 июля, 2020

Нижнее сообщение - придется вручную пересоздать ярлыки запуска программ и утилит. Верхнее - попробуйте перегрузить.

10 июля, 2020

08.07.2020 в 20:22, Sandor сказал:

вручную пересоздать ярлыки

Пробовал, все программы зашифрованы. Размер файлов сильно разнится, объем жесткого диска показывает не корректно. Какие будут дальнейшие шаги?

10 июля, 2020

Это уже проблемы с системными файлами. Если вы не планируете переустановку системы, а хотите восстановить существующую, обратитесь в соседний раздел.

Ссылку на эту тему там укажите.

crysis Шифровальщик [openpgp@foxmail.com] ОС не загружается.

Рекомендуемые сообщения

r2d3

Sandor

r2d3

Sandor

r2d3

Sandor

r2d3

thyrex

Sandor

r2d3

Sandor

r2d3

Sandor

r2d3

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum