crylock 2.0.0.0 Шифровальщик fairexchange@qq.com

[Uga]

Добрый день.

Словили шифровальщика от fairexchange@qq.com

При шифровании данных в именах файлов добавился адрес fairexchange@qq.com.

Какие действия необходимо сделать для чистки системы от этого трояна.

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Uga]

Прикрепил архив с Addition.txt, FRST.txt, зашифрованный файл и файл html c текстом вымогателя.

логи.rar

[akoK]

Это crylock 2.0.0.0, расшифровки для него нет. Система под переустановку или будем чистить хвосты?

[Uga]

Будем чистить.

Переустановка нам не подходит.

Спасибо.

[akoK]

Сами настраивали?

HKLM Group Policy restriction on software: GWXUXWorker.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXConfigManager.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXGC.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: GWXUX.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: gwx.exe <==== ВНИМАНИЕ

 

Судя по логам, записки вымогателя вы сами почистили, или шифровало только в сетевых папках?

[Uga]

Было обнаружено, что файлы были зашифрованы только в шарах с полными правами для всех пользователей домена.

Записки вымогателя были удалены из этих папок.

Специальных настроек в политиках на запрет запуска программ я не делал.

 

[Uga]

Какие манипуляции по удалению хвостов нам необходимо сделать?

 

[akoK]

16.03.2021 в 11:29, Uga сказал:

Было обнаружено, что файлы были зашифрованы только в шарах с полными правами для всех пользователей домена.

Тогда, скорее всего, неправильно определена точка входа преступников. Если шифровались только шары, то нужно искать полностью зашифрованную систему с выходом в сеть через RDP