Удаление последствий CryLock

[starrover4]

Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.

_files.rar Addition.txt FRST.txt

[thyrex]

C:\Users\Склад\Desktop\ClearLock.exe - известен этот файл или появился вместе с шифратором?

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747] => "C:\users\0c46~1\appdata\local\temp\5\svcqib.exe" -id "C7159730-D7A45747" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747hta] => c:\users\0c46~1\appdata\local\temp\5\how_to_decrypt.hta <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Downloads\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Documents\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Desktop\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\LocalLow\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\ProgramData\how_to_decrypt.hta
File: C:\users\Склад\appdata\local\temp\5\svcqib.exe
File: C:\users\0c46~1\appdata\local\temp\5\svcqib.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[starrover4]

C:\Users\Склад\Desktop\ClearLock.exe -- этот файл скорее всего появился вместе с шифратором. Профилем пользователя "Склад" уже несколько месяцев в организации не пользуются для работы на сервере. Но папка C:\Users\Склад -- единственная папка пользователя, где был обнаружен файл -- how_to_decrypt.hta. Хотя на диске D этот файл есть в каждой папке. Ну а в папке где этот файл есть -- все файлы зашифрованы.

лог-файл (Fixlog.txt)

Fixlog_28-03-2021 14.49.29.txt

[thyrex]

Мусор почистили. Шифратор самоудалился.

[starrover4]

Спасибо большое за помощь! Что можете еще порекомендовать, чтобы подобное не повторилось в будущем? Какое ПО от Касперского установить на windows server 2016 standard + terminal server для защиты от вирусов-шифровальщиков?