Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Помощь с очисткой от шифровальщика crylock 2.0.0.0

casdanic
 Поделиться

Рекомендуемые сообщения

casdanic Новичок

casdanic

Опубликовано
Опубликовано

Всем привет, прошу помощи в очистке сервера от шифровальщика crylock 2.0.0.0. Логи, файлы и сообщение злоумышленников прикладываю. Предположительно заражение пошло через один из рдп сеансов, так же в одной же локальной сети пострадало несколько общих папок на разных компьютерах, так и не понял точно откуда пошло заражение.  Есть ли какой-то универсальный скрипт\рекомендации для очистки компьютеров? Известно как распространяется вирус по сети?

123_pass.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Цитата

FirewallRules: [{3C7BEC1C-E6BF-4B3C-9A5F-9A58C719208E}] => (Allow) LPort=6160
FirewallRules: [{74EE4224-19FF-4B13-B8DB-5E2D2CF7ED82}] => (Allow) LPort=475
FirewallRules: [{D6E86D9F-3717-4E31-BB7E-6A3919F9A081}] => (Allow) LPort=475
FirewallRules: [{72549362-CEB8-4A57-8061-3F5F62345F4E}] => (Allow) LPort=3389

Разрешающие правила на эти порты прописывали самостоятельно?

И самостоятельно ли ставили программу?

Цитата

RDP Wrapper Library

В системе пять учётных записей с правами администратора. Не многовато ли?

 

Универсального скрипта нет. После вашего ответа на мои вопросы будет скрипт конкретно для этой системы.

17 минут назад, casdanic сказал:

Известно как распространяется вирус по сети?

Куда получит доступ, туда и дотянется.

Шифрование могло быть запущено вручную, поэтому обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается).

Ссылка на комментарий
Поделиться на другие сайты
casdanic Новичок

casdanic

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Разрешающие правила на эти порты прописывали самостоятельно?

да

1 час назад, Sandor сказал:

И самостоятельно ли ставили программу?

тоже да, много пользователей работает по удаленке на 1с

1 час назад, Sandor сказал:

В системе пять учётных записей с правами администратора. Не многовато ли?

многовато, удалю(одна основная, вторая дополнительная, третья для прогера 1с, две еще встроенные, но они вроде отключены)

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
casdanic Новичок

casdanic

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

также файл how_to_encrypted был в сетевом размещении в моем компьютер, оттуда я его удалил. какие есть еще рекомендации по очистке сервера? переустанавливать систему очень нежелательно.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я ведь сказал:

6 часов назад, Sandor сказал:

обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается)

 

Но если хотите в этом с нашей помощью убедиться, создайте для другого компьютера отдельную тему и соберите на нём логи.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • naxio11
      [РЕШЕНО] Очистка хвостов с помощью FRST
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • vorosshilov_k
      NET:MALWARE.URL помощь в удалении
      Автор vorosshilov_k
      Здравствуйте! Процессор ноутбука начал хорошенько греться даже в идле на батарее и на зарядке. Решил проверить кьюритом и увидел NET:MALWARE.URL winnet.exe. Понял, что лучше оставить заявку на форуме, чем заниматься самодеятельностью. Все файлы прилагаю. Заранее спасибо!

      CollectionLog-2025.04.11-14.05.zip
    • Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Автор Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Помогите расшифровать(((

      В тхт файле пишут следующее:
       
      If you see this, your files were successfully encrypted.
      We advice you not to search free decryption method.
      It's impossible. We are using symmetrical and asymmetric encryption.
      ATTENTION:
          - Don't rename encrypted files.
          - Don't change encrypted files.
          - Don't use third party software.
      TIME IS RUNNING OUT:
          - The longer you wait, the more money you'll have to pay to get your files back.
            If you wait too long, you'll lose them forever.
      To reach an agreement we offer you to contact with us.
      How to contact with us: 
          * Download Tor Browser:
              Get the Tor Browser from https://torproject.org/download
          * Launch Tor Browser:
                  Open the Tor Browser on your device.
          * Connect to Tor Network:
                  Click "Establish a Connection".
          * Go to this address:
                  Copy and paste address below in the address bar:
×
×
  • Создать...