Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.

_files.rar Addition.txt FRST.txt

Опубликовано

C:\Users\Склад\Desktop\ClearLock.exe - известен этот файл или появился вместе с шифратором?

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747] => "C:\users\0c46~1\appdata\local\temp\5\svcqib.exe" -id "C7159730-D7A45747" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747hta] => c:\users\0c46~1\appdata\local\temp\5\how_to_decrypt.hta <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Downloads\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Documents\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Desktop\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\LocalLow\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\ProgramData\how_to_decrypt.hta
File: C:\users\Склад\appdata\local\temp\5\svcqib.exe
File: C:\users\0c46~1\appdata\local\temp\5\svcqib.exe
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Опубликовано

C:\Users\Склад\Desktop\ClearLock.exe -- этот файл скорее всего появился вместе с шифратором. Профилем пользователя "Склад" уже несколько месяцев в организации не пользуются для работы на сервере. Но папка C:\Users\Склад -- единственная папка пользователя, где был обнаружен файл -- how_to_decrypt.hta. Хотя на диске D этот файл есть в каждой папке. Ну а в папке где этот файл есть -- все файлы зашифрованы.

лог-файл (Fixlog.txt)

Fixlog_28-03-2021 14.49.29.txt

Опубликовано

Мусор почистили. Шифратор самоудалился.

Опубликовано

Спасибо большое за помощь! Что можете еще порекомендовать, чтобы подобное не повторилось в будущем? Какое ПО от Касперского установить на windows server 2016 standard + terminal server для защиты от вирусов-шифровальщиков?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • hook009
      Автор hook009
      Добрый вечер. Вирус зашифровал документы, в интернете не могу найти дешифратор, в каком направлении найти дешифратор и расшифровать документы. файла decrypt.txt нет, если только файлы с переименованными названиями. файл прилагаю. файл находиться в архиве.
      email-draggonblack@yahoo.com.ver-CL 1.4.0.0.id-207711995-10.12.2017 2@28@520.fname-ЕВГУЛ ГРУПП гараж.doc.rar
      CollectionLog-2017.12.12-08.43.zip
    • edeklar
      Автор edeklar
      Запустил вложенный файл из почты, сейчас нет возможности их выслать. Но есть файлы, которые зашифровались, логи Autologger, FRST64.
      CollectionLog-2017.12.18-21.46.zip
      OTCHET_SCAN_FRST64.zip
      зашифрованный_файл.rar
    • dezent17
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
    • Nemir
      Автор Nemir
      Добрый день! Успешно словили шифровальщика scratch99@protonmail.com Если есть возможность расшифровать, прошу помочь. Прикладываю лог.
      CollectionLog-2020.01.23-21.03.zip
    • akozlov
      Автор akozlov
      прикрепил вредоносный файл 
      выяснил что это крякл но все файлы разных расширений 
      1 Result Cryakl  
      README.txt

×
×
  • Создать...