Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

[Без расшифровки] Помогите пожалуйста с удалением шифровальщика

AndrewD64
 Поделиться

Рекомендуемые сообщения

AndrewD64 Новичок

AndrewD64

Опубликовано
Опубликовано

Помогите пожалуйста удалить шифровальщик из системы, зашифровался сервер с 1C есть возможность восстановления из бэкапов но нужно вывести заразу.

Шифровальщик скорее всего новый, XMRLocker.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Политику на запрет делали самостоятельно?

Цитата

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION

 

Администраторы в системе все ваши? Многовато их.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Тип вымогателя похож на Crysis, расшифровки скорее всего нет.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
HKLM\...\Winlogon: [LegalNoticeCaption] Does the morning starts with coffee?
HKLM\...\Winlogon: [LegalNoticeText] All your files are encrypted by [XMRLocker] xmrlocker@goat.si
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe(HowToDecrypt).txt [2020-08-12] () [File not signed]
Startup: C:\Users\HomeGroupUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe(HowToDecrypt).txt [2020-08-12] () [File not signed]
2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Все пользователи\Desktop\ReadMe(HowToDecrypt).txt
2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Public\ReadMe(HowToDecrypt).txt
2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\Users\Public\Desktop\ReadMe(HowToDecrypt).txt
2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\ReadMe(HowToDecrypt).txt
2020-08-12 09:06 - 2020-08-12 09:06 - 000000677 _____ C:\ProgramData\Desktop\ReadMe(HowToDecrypt).txt
FirewallRules: [{5BE2A073-A87A-4CDD-B9E8-FB9F7A6B07F6}] => (Allow) LPort=3389
FirewallRules: [{D26418CD-2945-4DFD-841F-48616DD413C6}] => (Allow) LPort=5432
FirewallRules: [{DDA3B573-07BD-4373-909C-8DE776A665FB}] => (Allow) LPort=1433
FirewallRules: [{02CFEBBB-6608-476F-B931-D75804D932B9}] => (Allow) LPort=1540
FirewallRules: [{425E9F8A-A82A-492C-AE4A-CFC81E38E617}] => (Allow) LPort=1541
FirewallRules: [{CF3E8699-8A62-4FD8-8478-1F19810D3FFD}] => (Allow) LPort=1560
FirewallRules: [{DE54EF09-B816-4E86-B9D9-B4F015D190FE}] => (Allow) LPort=80
FirewallRules: [{79AC7D0C-5B3A-494E-B8E2-CEE51707000A}] => (Allow) LPort=5051
FirewallRules: [{042B47E7-3FAB-4932-A6F2-14F343BBCE77}] => (Allow) LPort=445
FirewallRules: [{7FFB257D-4624-4BA3-A8A1-6FD6BC889E6E}] => (Allow) LPort=445
FirewallRules: [{48B83BFE-6621-4BCD-9888-532D4A0701D0}] => (Allow) LPort=5055
FirewallRules: [{46C39CFE-0F30-4E81-9E24-368620458CA8}] => (Allow) LPort=10050
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пароли на RDP смените.

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
AndrewD64 Новичок

AndrewD64

Опубликовано
  • Автор
Опубликовано

Спасибо, уязвимости закрыл. Подскажите еще пожалуйста, на дисках сейчас место уменьшилось в 2 раза по сравнению с тем что было до зашифровки, можно ли что с эти сделать?

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor изменил название на [Без расшифровки] Помогите пожалуйста с удалением шифровальщика
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Александр Черенов
      Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      Автор Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
×
×
  • Создать...