Перейти к содержанию

В сеть компании попал вирус шифровальщик [flydragon@mailfence.com][sel4auto].[A15F580C-524AC4DB]


Рекомендуемые сообщения

6 минут назад, Sandor сказал:

Ещё раз удалите старые и соберите новые логи FRST, только предварительно отметьте галочкой "90 Days Files".

Вот, сделал. 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
    2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

22 минуты назад, AndrewCott сказал:

У нас они (how to decrypt.hta) практически везде и в каждой папке.

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Ссылка на сообщение
Поделиться на другие сайты
20.11.2020 в 13:26, Sandor сказал:

Меняйте пароли на RDP и на учётные записи администраторов.

Сменили?

 

20.11.2020 в 13:26, Sandor сказал:

Проверьте разрешения в фаерволе на эти порты:

Проверили? Разрешения в последнем логе по-прежнему есть.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1011\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1012\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1057\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    HKU\S-1-5-21-3036972003-2015236240-3138228504-1093\...\Run: [A15F580C-524AC4DB] => "C:\Users\Admim\appdata\local\temp\svcykc.exe" -id "A15F580C-524AC4DB" -wid "sel4auto" <==== ATTENTION
    Task: {BC48AC62-825E-458C-9CF7-BDC3D64A55EE} - System32\Tasks\{78BC3762-A68E-4274-AB1C-F6A8D4F2A5BD} => msiexec.exe /package "C:\Users\Администратор\Desktop\drvupdate-amd64.msi"
    2020-11-17 17:30 - 2020-11-17 17:30 - 000006038 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

  

В этих логах виден был один единственный. Если речь идет про сетевые папки, то надо в отдельной теме собрать логи на компьютере, к которому есть доступ.

Сделал

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Сменили?

 

Проверили? Разрешения в последнем логе по-прежнему есть.

Порты не могу закрыть, через них сидят удалённые сотрудники. Пароли все изменил. Всех пользователей перепроверил, неизвестных удалил. Заметил, что появлялся некий "Admim" дважды. Его удалил и поменял после этого все пароли. На данный момент ничего 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • От Андрей1998
      Здравствуйте!
      Не так давно поймал вирус, который зашифровал мои файлы. ОС переустанавливал с сохранением данных. Откат системы и её восстановление не катит, так как нет резервных копий...
      Пробовал скачивать ваши утилиты, но они не смогли дешифровать файлы(
      В интернете ничего про этот вирус не сказано.
      Прошу Вас, если Вы сталкивались с подобным вирусом, помогите!
      В сообщении будет архив.
      Также вирус зашифровал mp3 файл. Я переименовал файл "песня.mp3.259461356@qq.com.[430....23]" в "песня.mp3" и он открылся. С другими файлами так не сработало.
      Здесь прикреплю информацию о вирусе. Также добавлю, что все зашифрованные файлы имеют расширение e-mail и Unique ID. Например: "Картинка.jpeg.259461356@qq.com.[430....23]"Архив с паролем.rar
    • От александр2020
      Проблема началась со скачивания vpn - proton, далее заметил тормоза и решил удалить - просканировать. Но не тут то было- ваши сайты не открывались, даже доктор веб. Но я при помощи телефона скачал доктор веб. Приложу частично скрины. Ваша прогармма по прежнему не запускается. Мой компьютер хотели преехватиь и уничтожить, был найден radmin
       
      CollectionLog-2020.11.21-16.25.zip
       
    • От Itcode
      День добрый. Сегодня поймали шифровальщик Crylock flydragon. Можете чем-нибудь помочь?
      В файле с требованиями следующий текст: Decrypt files? Write to this mails: flydragon@mailfence.com or @assist_decoder. Telegram https://t.me/assist_decoder.
      You unique ID
       
      Атака началась ночью, часа в 2 по GMT+9. Утром зашли на сервер и увидели результат работы шифровальщика. Шифровальщик создал себе пользователя и выполнял работу из под него.
      Addition.txt FRST.txt шифр файлы.rar
    • От VladimirP
      Вирус [balancebb@mailfence.com].[36ED9E7C-E13F1BF3] зашифровал комп , системные файлы не повреждены, нужно расшифровать только базы 1с 77 (около 250 мб), помогите !
      Addition.txt FRST.txt файлы.zip
×
×
  • Создать...