Перейти к содержанию

Помощь с очисткой от шифровальщика crylock 2.0.0.0

casdanic
 Поделиться

Рекомендуемые сообщения

casdanic

casdanic

Опубликовано
Опубликовано

Всем привет, прошу помощи в очистке сервера от шифровальщика crylock 2.0.0.0. Логи, файлы и сообщение злоумышленников прикладываю. Предположительно заражение пошло через один из рдп сеансов, так же в одной же локальной сети пострадало несколько общих папок на разных компьютерах, так и не понял точно откуда пошло заражение.  Есть ли какой-то универсальный скрипт\рекомендации для очистки компьютеров? Известно как распространяется вирус по сети?

123_pass.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Цитата

FirewallRules: [{3C7BEC1C-E6BF-4B3C-9A5F-9A58C719208E}] => (Allow) LPort=6160
FirewallRules: [{74EE4224-19FF-4B13-B8DB-5E2D2CF7ED82}] => (Allow) LPort=475
FirewallRules: [{D6E86D9F-3717-4E31-BB7E-6A3919F9A081}] => (Allow) LPort=475
FirewallRules: [{72549362-CEB8-4A57-8061-3F5F62345F4E}] => (Allow) LPort=3389

Разрешающие правила на эти порты прописывали самостоятельно?

И самостоятельно ли ставили программу?

Цитата

RDP Wrapper Library

В системе пять учётных записей с правами администратора. Не многовато ли?

 

Универсального скрипта нет. После вашего ответа на мои вопросы будет скрипт конкретно для этой системы.

17 минут назад, casdanic сказал:

Известно как распространяется вирус по сети?

Куда получит доступ, туда и дотянется.

Шифрование могло быть запущено вручную, поэтому обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается).

casdanic

casdanic

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Разрешающие правила на эти порты прописывали самостоятельно?

да

1 час назад, Sandor сказал:

И самостоятельно ли ставили программу?

тоже да, много пользователей работает по удаленке на 1с

1 час назад, Sandor сказал:

В системе пять учётных записей с правами администратора. Не многовато ли?

многовато, удалю(одна основная, вторая дополнительная, третья для прогера 1с, две еще встроенные, но они вроде отключены)

 

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

casdanic

casdanic

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

также файл how_to_encrypted был в сетевом размещении в моем компьютер, оттуда я его удалил. какие есть еще рекомендации по очистке сервера? переустанавливать систему очень нежелательно.

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Я ведь сказал:

6 часов назад, Sandor сказал:

обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается)

 

Но если хотите в этом с нашей помощью убедиться, создайте для другого компьютера отдельную тему и соберите на нём логи.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • naxio11
      [РЕШЕНО] Очистка хвостов с помощью FRST
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
    • xxxcution
      [Расшифровано] Очистка ПК после шифровальщика ViyAJQnRd
      Автор xxxcution
      Здравствуйте!
       
      По RDP подхватили шифровальщик LockBit Black (.ViyAJQnRd).
       
      Помогите, пожалуйста, очистить следы на ПК после шифровальщика, чтобы можно было продолжить работу на ПК без опасений, что как-то получат доступ через бэкдор.
       
       
       
      Addition.txt FRST.txt Shortcut.txt
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Daniil-b
      Шифровальщик Crylock 2.0.0.0 (fairexchange@qq.com)
      Автор Daniil-b
      День добрый!
      Как-то давно стандартно через открытый наружу rdp прилетел Crylock 2.0.0.0.
      Через часик всё подняли из бэкапов, но что-то не успело в них попасть.
      Вот, через несколько лет возникла необходимость поднять несколько старых файлов.
      Прошу помощи в расшифровке.
      Тела вируса уже нет, в каждой директории лежал файлик how_to_decrypt.hta со стандартным содержимым.
      Пара зашифрованных файлов во вложении, пароль: help .. )
       
      Спасибо!
       
      ENCRYPTED.zip
×
×
  • Создать...