Перейти к содержанию

[Без расшифровки] Помогите пожалуйста с удалением шифровальщика


Рекомендуемые сообщения

Помогите пожалуйста удалить шифровальщик из системы, зашифровался сервер с 1C есть возможность восстановления из бэкапов но нужно вывести заразу.

Шифровальщик скорее всего новый, XMRLocker.

Ссылка на сообщение
Поделиться на другие сайты

Политику на запрет делали самостоятельно?

Цитата

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION

 

Администраторы в системе все ваши? Многовато их.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Тип вымогателя похож на Crysis, расшифровки скорее всего нет.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
    HKLM\...\Winlogon: [LegalNoticeCaption] Does the morning starts with coffee?
    HKLM\...\Winlogon: [LegalNoticeText] All your files are encrypted by [XMRLocker] xmrlocker@goat.si
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe(HowToDecrypt).txt [2020-08-12] () [File not signed]
    Startup: C:\Users\HomeGroupUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe(HowToDecrypt).txt [2020-08-12] () [File not signed]
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Все пользователи\Desktop\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Public\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Public\Desktop\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\ProgramData\Desktop\ReadMe(HowToDecrypt).txt
    FirewallRules: [{5BE2A073-A87A-4CDD-B9E8-FB9F7A6B07F6}] => (Allow) LPort=3389
    FirewallRules: [{D26418CD-2945-4DFD-841F-48616DD413C6}] => (Allow) LPort=5432
    FirewallRules: [{DDA3B573-07BD-4373-909C-8DE776A665FB}] => (Allow) LPort=1433
    FirewallRules: [{02CFEBBB-6608-476F-B931-D75804D932B9}] => (Allow) LPort=1540
    FirewallRules: [{425E9F8A-A82A-492C-AE4A-CFC81E38E617}] => (Allow) LPort=1541
    FirewallRules: [{CF3E8699-8A62-4FD8-8478-1F19810D3FFD}] => (Allow) LPort=1560
    FirewallRules: [{DE54EF09-B816-4E86-B9D9-B4F015D190FE}] => (Allow) LPort=80
    FirewallRules: [{79AC7D0C-5B3A-494E-B8E2-CEE51707000A}] => (Allow) LPort=5051
    FirewallRules: [{042B47E7-3FAB-4932-A6F2-14F343BBCE77}] => (Allow) LPort=445
    FirewallRules: [{7FFB257D-4624-4BA3-A8A1-6FD6BC889E6E}] => (Allow) LPort=445
    FirewallRules: [{48B83BFE-6621-4BCD-9888-532D4A0701D0}] => (Allow) LPort=5055
    FirewallRules: [{46C39CFE-0F30-4E81-9E24-368620458CA8}] => (Allow) LPort=10050
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Пароли на RDP смените.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, уязвимости закрыл. Подскажите еще пожалуйста, на дисках сейчас место уменьшилось в 2 раза по сравнению с тем что было до зашифровки, можно ли что с эти сделать?

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [Без расшифровки] Помогите пожалуйста с удалением шифровальщика
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От it4
      Вымогатель-шифровальщик зашифровал абсолютно всё и файлы бэкап и файлы образов всё что можно было. Подскажите пожалуйста что делать?
      Зашифрованные файлы и требование удалось вытащить подключив диск к другому ПК
      Все данные прикреплены в архиве.
      Что можно с этим сделать?
      29-12-2020_11-07-29.zip
    • От Robo
      На комп с общей папкой для обмена документами (serv 2008) поймал шифровальщик. В сети работало около 10 пользователей. у одного из них те же симптомы. Подозреваю, что атака на сервер была именно с него(хотя админ прав у пользователя нет), потому что остальные пользователи ничего не подцепили. Зашифровал именно 1 папку(самую нужную), хотя там было еще 2 расшаренные. Скорей всего у пользователя была в момент запуска вируса открыта расшаренная папка.
                Сам вирус имена файлов никак не изменял, размер тоже, в конце расширения файлов изменились на некий персональный ID 16C-98D-477(как я понимаю это гораздо хуже чем если бы расширение было общее как в большинстве тем) поэтому не знал что указать в названии темы. Нашел пару копий файлов на другом компьютере, которые были в папке и зашифровались, то есть могу, если надо, предоставить оригинал и зашифроввнный файл.
                Оба компа проверял 3мя антивирусами(Касперсий, др.веб, нод), которые не нашли вируса в системе.
      Шифр.rar
    • От I-Scorpion
      На терминальный сервер (виртуалка) под Win2008R2 попал шифровальщик. Возможно отбрутфорсили пароль. Все зашифровано, система не грузится - запустить диагностику невозможно. На сервере стоял Kaspersky Small Office Security 7 ве рсии - дVirus.zipаже не мяукнул (возможно, что отключили, если забрутфорсили). вынуть зашифрованные файлы удалось, из архива достались не шифрованные. Все в архиве. При проверки этого диска KIS 21.1.15 нашел файл самого вируса. Расширение его тоже, т.ч зашифрован он или нет непонятно. Но KIS его сразу удалил. пришлось восстанавливать из хранилища, что б прислать. Пароль на архив с вирусом - как в требованиях. Текстовый файл - записка о выкупе, есть и в архиве.
      Если есть возможность - помогите.
      Files.rar #ReadThis.TXT
    • От Alexander 69
      есть медиахранилище куда имеют доступ по локальной сети 10 человек
      все зашифровалось
      сканирование аппаратов которые имели доступ ничего не нашло
      на самом медиа хранилище сканирование запустить не удалось потому как оно пока не запускается - переполнилось по какойто причине (пытаюсь почистить и запустить)
      есть только копии файлов которые я успел скачать пока оно было доступно
       
      Farbar Recovery Scan Tool запускал только на той машинке на которой лежат копии зашифрованных файлов но все равно прилагаю
       
      архив с файлами прикрепляю пароль как сказано в инструкции
      *архивы на носителе остались целыми
       
      virus.rar Addition.txt FRST.txt FRST.txt
    • От arhdiman
      Добрый день, зашифровали файлы в сетевой папке
      Addition.txt FRST.txt Новая папка (3).rar
×
×
  • Создать...