crylock 2.0.0.0 Помощь с очисткой от шифровальщика crylock 2.0.0.0

[casdanic]

Всем привет, прошу помощи в очистке сервера от шифровальщика crylock 2.0.0.0. Логи, файлы и сообщение злоумышленников прикладываю. Предположительно заражение пошло через один из рдп сеансов, так же в одной же локальной сети пострадало несколько общих папок на разных компьютерах, так и не понял точно откуда пошло заражение.  Есть ли какой-то универсальный скрипт\рекомендации для очистки компьютеров? Известно как распространяется вирус по сети?

123_pass.zip

[Sandor]

Здравствуйте!

 

Цитата

FirewallRules: [{3C7BEC1C-E6BF-4B3C-9A5F-9A58C719208E}] => (Allow) LPort=6160
FirewallRules: [{74EE4224-19FF-4B13-B8DB-5E2D2CF7ED82}] => (Allow) LPort=475
FirewallRules: [{D6E86D9F-3717-4E31-BB7E-6A3919F9A081}] => (Allow) LPort=475
FirewallRules: [{72549362-CEB8-4A57-8061-3F5F62345F4E}] => (Allow) LPort=3389

Разрешающие правила на эти порты прописывали самостоятельно?

И самостоятельно ли ставили программу?

Цитата

RDP Wrapper Library

В системе пять учётных записей с правами администратора. Не многовато ли?

 

Универсального скрипта нет. После вашего ответа на мои вопросы будет скрипт конкретно для этой системы.

17 минут назад, casdanic сказал:

Известно как распространяется вирус по сети?

Куда получит доступ, туда и дотянется.

Шифрование могло быть запущено вручную, поэтому обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается).

[casdanic]

1 час назад, Sandor сказал:

Разрешающие правила на эти порты прописывали самостоятельно?

да

1 час назад, Sandor сказал:

И самостоятельно ли ставили программу?

тоже да, много пользователей работает по удаленке на 1с

1 час назад, Sandor сказал:

В системе пять учётных записей с правами администратора. Не многовато ли?

многовато, удалю(одна основная, вторая дополнительная, третья для прогера 1с, две еще встроенные, но они вроде отключены)

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
  2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
  2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
  2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
  2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
  BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[casdanic]

3 часа назад, Sandor сказал:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
  2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
  2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
  2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
  2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
  2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
  2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
  BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

также файл how_to_encrypted был в сетевом размещении в моем компьютер, оттуда я его удалил. какие есть еще рекомендации по очистке сервера? переустанавливать систему очень нежелательно.

Fixlog.txt

[Sandor]

Я ведь сказал:

6 часов назад, Sandor сказал:

обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается)

 

Но если хотите в этом с нашей помощью убедиться, создайте для другого компьютера отдельную тему и соберите на нём логи.

 

Здесь в завершение:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.