Перейти к содержанию

[Без расшифровки] Помогите пожалуйста с удалением шифровальщика


Рекомендуемые сообщения

Помогите пожалуйста удалить шифровальщик из системы, зашифровался сервер с 1C есть возможность восстановления из бэкапов но нужно вывести заразу.

Шифровальщик скорее всего новый, XMRLocker.

Ссылка на сообщение
Поделиться на другие сайты

Политику на запрет делали самостоятельно?

Цитата

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION

 

Администраторы в системе все ваши? Многовато их.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Тип вымогателя похож на Crysis, расшифровки скорее всего нет.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
    HKLM\...\Winlogon: [LegalNoticeCaption] Does the morning starts with coffee?
    HKLM\...\Winlogon: [LegalNoticeText] All your files are encrypted by [XMRLocker] xmrlocker@goat.si
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe(HowToDecrypt).txt [2020-08-12] () [File not signed]
    Startup: C:\Users\HomeGroupUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe(HowToDecrypt).txt [2020-08-12] () [File not signed]
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Все пользователи\Desktop\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Public\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Public\Desktop\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\ReadMe(HowToDecrypt).txt
    2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\ProgramData\Desktop\ReadMe(HowToDecrypt).txt
    FirewallRules: [{5BE2A073-A87A-4CDD-B9E8-FB9F7A6B07F6}] => (Allow) LPort=3389
    FirewallRules: [{D26418CD-2945-4DFD-841F-48616DD413C6}] => (Allow) LPort=5432
    FirewallRules: [{DDA3B573-07BD-4373-909C-8DE776A665FB}] => (Allow) LPort=1433
    FirewallRules: [{02CFEBBB-6608-476F-B931-D75804D932B9}] => (Allow) LPort=1540
    FirewallRules: [{425E9F8A-A82A-492C-AE4A-CFC81E38E617}] => (Allow) LPort=1541
    FirewallRules: [{CF3E8699-8A62-4FD8-8478-1F19810D3FFD}] => (Allow) LPort=1560
    FirewallRules: [{DE54EF09-B816-4E86-B9D9-B4F015D190FE}] => (Allow) LPort=80
    FirewallRules: [{79AC7D0C-5B3A-494E-B8E2-CEE51707000A}] => (Allow) LPort=5051
    FirewallRules: [{042B47E7-3FAB-4932-A6F2-14F343BBCE77}] => (Allow) LPort=445
    FirewallRules: [{7FFB257D-4624-4BA3-A8A1-6FD6BC889E6E}] => (Allow) LPort=445
    FirewallRules: [{48B83BFE-6621-4BCD-9888-532D4A0701D0}] => (Allow) LPort=5055
    FirewallRules: [{46C39CFE-0F30-4E81-9E24-368620458CA8}] => (Allow) LPort=10050
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Пароли на RDP смените.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, уязвимости закрыл. Подскажите еще пожалуйста, на дисках сейчас место уменьшилось в 2 раза по сравнению с тем что было до зашифровки, можно ли что с эти сделать?

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [Без расшифровки] Помогите пожалуйста с удалением шифровальщика
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От arhdiman
      Добрый день, зашифровали файлы в сетевой папке
      Addition.txt FRST.txt Новая папка (3).rar
    • От Peter15
      В соседнем разделе пролечился от вирусов, но восстановление системы не работает, кнопки в окне восстановления свойств системы неактивны. Можно ли обойтись без переустановки?
      GSI6_AAPC_Aa_09_09_2020_12_07_34.zip
    • От apxahreleon
      Добрый день, зашифрованы данные. Взлом был через RDP
      Addition.txt FRST.txt Шифрованные данные.zip Предположительно тело шифровальщика.zip Предположительно другое тело.zip Сообщение не экране.zip
    • От OxoTHuk
      Добрый день!
        тело шифровальщика в файле body.zip, расширение изменено на .virus пароль от архива 12345 также приложены логи скрипта AVZ и FRST64  
      На сервер 2008 r2 поймал шифровальщика [r3ad4@aol.com].r3f5s
       
      Утром обнаружил, что сервер не пускает по RDP, жалуется на логин/пароль всех уз. Выключил сервер. 
      Позже, попав на сервер (способом с загрузкой с установочной флэшки/восстановление/командная строка/подмена utilman на cmd в system32), обнаружил 5 окон на рабочем столе с информацией о том, что файлы зашифрованы.
      Поубирал подзрительные процессы winhost.exe из автозагрузки, перезагрузил систему.
       
      файлы зашифрованы,  
      в корне дисков файлы с информацией:
       
      all your data has been locked us
      You want to return?
      write email r3ad4@aol.com or r3ad4@cock.li
       
      рядом с winhost.exe во всех каталогах его нахождения присутствовал файл Info.hta, в котором:
        YOUR FILES ARE ENCRYPTED Don't worry,you can return all your files!</span></div> If you want to restore them, follow this link: r3ad4@aol.com YOUR ID 6E3F0584   If you have not been answered via the link within 12 hours, write to us by e-mail: r3ad4@cock.li Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.  
       
      CollectionLog-2020.06.10-17.59.zip body.zip FRST.txt Addition.txt
    • От BorNIk
      Добрый день. Также придя утром на работу обнаружил всё зашифрованым .
      Почти всё стало типа так.
      Справочник АТС на 20 мая 2020.doc.id-CA97219A.[r3ad4@aol.com].r3f5s
      Подскажите возможно ли расшифровывание ? 
×
×
  • Создать...