Перейти к содержанию

Рекомендуемые сообщения

Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.

_files.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Склад\Desktop\ClearLock.exe - известен этот файл или появился вместе с шифратором?

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747] => "C:\users\0c46~1\appdata\local\temp\5\svcqib.exe" -id "C7159730-D7A45747" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-1270500529-754288977-589149407-1004\...\Run: [C7159730-D7A45747hta] => c:\users\0c46~1\appdata\local\temp\5\how_to_decrypt.hta <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Downloads\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Documents\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\Desktop\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\LocalLow\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Склад\AppData\how_to_decrypt.hta
2021-03-27 18:35 - 2021-03-27 18:35 - 000006033 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2021-03-27 18:34 - 2021-03-27 18:34 - 000006033 _____ C:\ProgramData\how_to_decrypt.hta
File: C:\users\Склад\appdata\local\temp\5\svcqib.exe
File: C:\users\0c46~1\appdata\local\temp\5\svcqib.exe
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\Склад\Desktop\ClearLock.exe -- этот файл скорее всего появился вместе с шифратором. Профилем пользователя "Склад" уже несколько месяцев в организации не пользуются для работы на сервере. Но папка C:\Users\Склад -- единственная папка пользователя, где был обнаружен файл -- how_to_decrypt.hta. Хотя на диске D этот файл есть в каждой папке. Ну а в папке где этот файл есть -- все файлы зашифрованы.

лог-файл (Fixlog.txt)

Fixlog_28-03-2021 14.49.29.txt

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое за помощь! Что можете еще порекомендовать, чтобы подобное не повторилось в будущем? Какое ПО от Касперского установить на windows server 2016 standard + terminal server для защиты от вирусов-шифровальщиков?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Kengor
      Добрый день. Проник шифровальщик 16.07.2021 через  RDP. примерно в 15-48. Вовремя было замечено. Компьютер отключен от сети. была замечена папка ocp с установленной программой everything. Были подключены сетевые диски ко всем расшаренным по сети папкам. Все было срочно удалено.
      Успели зашифровать только файлы BOOTSECT  BOOTSTAT в скрытом разделе А: они были удалены. Были установлены обновления.
      Помогите пожалуйста очистить компьютер от мусора. Логи прикрепляю
      Addition.txt FRST.txt
    • От tvvvitos
      Добрый день! Поймал шифровальщик, по видимому Cryakl. Файлы прилагаю. Есть ли шанс расшифровать файлы? 
      encrypted.rar
    • От Денис Добрынин
      Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 
      также начал шифрование доступных открытых папок на других компьютерах сети.
      Обнаружили в процессе работы.
      Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)

      Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)
       
       
       
      CollectionLog-2021.06.06-11.12.zip
    • От kostia7alania
      Зашифровали все файлы, в каждой папке есть хелп с таким html:
       
      Your files will be leak after 2 days 21:12:21 Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
      You unique ID [3EBA0CD9-36A432CE] [copy]  
      Написал им на почту honestandhope@qq.com и вот что ответили:
      Я ответил, что у меня нет таких денег. И вот ответ:
      We can make a price of $ 1500 if you pay this week. Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/ Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions Ребята из Белоруссии уже откликнулись:
       
       
      В архиве сам шифровальщик и примеры: ссылка удалена
      (!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !
      Письмо с требованием :


      Шифруют в начале, а в конце - добавочная инфа о восстановлении:
      см скрин:
       
      РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

      Прикреплю по одному зашифрованные файлы
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них. samples.rar
    • От Sergody
      Добрый день, ситуация такая: Есть отдельный серверный комп, вчера когда к нему подключился увидел кучу открытых окон, реестр, какие то текстовые файлы и сразу запаниковав перезагрузил его после запуска компьютера увидел нового пользователя, мой аккаунт с правами администратора стал недоступен, возможность зайти в систему была только через другого пользователя с обычными правами и там уже обнаружил что файлы закодированы. Как и где подхватить не знаю. 
      Addition.txt FRST.txt Зашифрованные файлы и записка.rar
×
×
  • Создать...