Перейти к содержанию

Помощь с очисткой от шифровальщика crylock 2.0.0.0

casdanic
 Share

Рекомендуемые сообщения

casdanic Новичок

casdanic

Опубликовано
Опубликовано

Всем привет, прошу помощи в очистке сервера от шифровальщика crylock 2.0.0.0. Логи, файлы и сообщение злоумышленников прикладываю. Предположительно заражение пошло через один из рдп сеансов, так же в одной же локальной сети пострадало несколько общих папок на разных компьютерах, так и не понял точно откуда пошло заражение.  Есть ли какой-то универсальный скрипт\рекомендации для очистки компьютеров? Известно как распространяется вирус по сети?

123_pass.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Цитата

FirewallRules: [{3C7BEC1C-E6BF-4B3C-9A5F-9A58C719208E}] => (Allow) LPort=6160
FirewallRules: [{74EE4224-19FF-4B13-B8DB-5E2D2CF7ED82}] => (Allow) LPort=475
FirewallRules: [{D6E86D9F-3717-4E31-BB7E-6A3919F9A081}] => (Allow) LPort=475
FirewallRules: [{72549362-CEB8-4A57-8061-3F5F62345F4E}] => (Allow) LPort=3389

Разрешающие правила на эти порты прописывали самостоятельно?

И самостоятельно ли ставили программу?

Цитата

RDP Wrapper Library

В системе пять учётных записей с правами администратора. Не многовато ли?

 

Универсального скрипта нет. После вашего ответа на мои вопросы будет скрипт конкретно для этой системы.

17 минут назад, casdanic сказал:

Известно как распространяется вирус по сети?

Куда получит доступ, туда и дотянется.

Шифрование могло быть запущено вручную, поэтому обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается).

Ссылка на комментарий
Поделиться на другие сайты
casdanic Новичок

casdanic

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Разрешающие правила на эти порты прописывали самостоятельно?

да

1 час назад, Sandor сказал:

И самостоятельно ли ставили программу?

тоже да, много пользователей работает по удаленке на 1с

1 час назад, Sandor сказал:

В системе пять учётных записей с правами администратора. Не многовато ли?

многовато, удалю(одна основная, вторая дополнительная, третья для прогера 1с, две еще встроенные, но они вроде отключены)

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
casdanic Новичок

casdanic

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

также файл how_to_encrypted был в сетевом размещении в моем компьютер, оттуда я его удалил. какие есть еще рекомендации по очистке сервера? переустанавливать систему очень нежелательно.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я ведь сказал:

6 часов назад, Sandor сказал:

обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается)

 

Но если хотите в этом с нашей помощью убедиться, создайте для другого компьютера отдельную тему и соберите на нём логи.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Константин agromoll34
      Прошу помощи
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Alexk6
      Нужна помощь. *.datastore@cyberfear.com
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • vika_
      Помощь в содержимом компьютера
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


×
×
  • Создать...