Перейти к содержанию

Рекомендуемые сообщения

Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.

_files.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Склад\Desktop\ClearLock.exe - известен этот файл или появился вместе с шифратором?

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747] => "C:\users\0c46~1\appdata\local\temp\5\svcqib.exe" -id "C7159730-D7A45747" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747hta] => c:\users\0c46~1\appdata\local\temp\5\how_to_decrypt.hta <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Downloads\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Documents\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Desktop\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\LocalLow\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\ProgramData\how_to_decrypt.hta
File: C:\users\Склад\appdata\local\temp\5\svcqib.exe
File: C:\users\0c46~1\appdata\local\temp\5\svcqib.exe
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Склад\Desktop\ClearLock.exe -- этот файл скорее всего появился вместе с шифратором. Профилем пользователя "Склад" уже несколько месяцев в организации не пользуются для работы на сервере. Но папка C:\Users\Склад -- единственная папка пользователя, где был обнаружен файл -- how_to_decrypt.hta. Хотя на диске D этот файл есть в каждой папке. Ну а в папке где этот файл есть -- все файлы зашифрованы.

лог-файл (Fixlog.txt)

Fixlog_28-03-2021 14.49.29.txt

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое за помощь! Что можете еще порекомендовать, чтобы подобное не повторилось в будущем? Какое ПО от Касперского установить на windows server 2016 standard + terminal server для защиты от вирусов-шифровальщиков?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От drivezt
      Во вложениях зашифрованные файлы и их оригиналы. Помогите расшифровать файлы остальные файлы.
      Зашифрованы.zip Оригиналы.zip
    • От Sergey_Artush
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
      Версию файла шифровальщика не знаю, хотя хотелось бы узнать.
      Просьба помочь с расшифровкой, хотя понимаю что это скорей всего не выполнимо, но все же может повезет!!!
      FRST.7z Files.7z
    • От Цыркин Роман
      Добрый день!
      поймали fairexchange@qq.com crylock. 
       
      crylock.zip
    • От Saaber
      Здравствуйте!
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
       
       
      FRST.7z
    • От maximl
      Добрый день. Прошу помощи в расшифровке файлов. Логи прилагаю. Заранее спасибо.
      Addition.txt Files.zip FRST.txt virus.zip
×
×
  • Создать...