Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Помощь с очисткой от шифровальщика crylock 2.0.0.0

casdanic
 Поделиться

Рекомендуемые сообщения

casdanic Новичок

casdanic

Опубликовано
Опубликовано

Всем привет, прошу помощи в очистке сервера от шифровальщика crylock 2.0.0.0. Логи, файлы и сообщение злоумышленников прикладываю. Предположительно заражение пошло через один из рдп сеансов, так же в одной же локальной сети пострадало несколько общих папок на разных компьютерах, так и не понял точно откуда пошло заражение.  Есть ли какой-то универсальный скрипт\рекомендации для очистки компьютеров? Известно как распространяется вирус по сети?

123_pass.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Цитата

FirewallRules: [{3C7BEC1C-E6BF-4B3C-9A5F-9A58C719208E}] => (Allow) LPort=6160
FirewallRules: [{74EE4224-19FF-4B13-B8DB-5E2D2CF7ED82}] => (Allow) LPort=475
FirewallRules: [{D6E86D9F-3717-4E31-BB7E-6A3919F9A081}] => (Allow) LPort=475
FirewallRules: [{72549362-CEB8-4A57-8061-3F5F62345F4E}] => (Allow) LPort=3389

Разрешающие правила на эти порты прописывали самостоятельно?

И самостоятельно ли ставили программу?

Цитата

RDP Wrapper Library

В системе пять учётных записей с правами администратора. Не многовато ли?

 

Универсального скрипта нет. После вашего ответа на мои вопросы будет скрипт конкретно для этой системы.

17 минут назад, casdanic сказал:

Известно как распространяется вирус по сети?

Куда получит доступ, туда и дотянется.

Шифрование могло быть запущено вручную, поэтому обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается).

Ссылка на комментарий
Поделиться на другие сайты
casdanic Новичок

casdanic

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Разрешающие правила на эти порты прописывали самостоятельно?

да

1 час назад, Sandor сказал:

И самостоятельно ли ставили программу?

тоже да, много пользователей работает по удаленке на 1с

1 час назад, Sandor сказал:

В системе пять учётных записей с правами администратора. Не многовато ли?

многовато, удалю(одна основная, вторая дополнительная, третья для прогера 1с, две еще встроенные, но они вроде отключены)

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
casdanic Новичок

casdanic

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1326217039-3798520836-2838405988-1001\...\Run: [607249B2-8622E5B8hta] => C:\Users\111\AppData\Local\Temp\how_to_decrypt.hta [6029 2021-06-01] () [Файл не подписан] <==== ВНИМАНИЕ
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-01 16:42 - 2021-06-01 16:42 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Downloads\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Documents\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\Desktop\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\Local\how_to_decrypt.hta
2021-06-01 16:41 - 2021-06-01 16:41 - 000006029 _____ C:\Users\kosenkoks\AppData\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Downloads\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Documents\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\Desktop\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:40 - 2021-06-01 16:40 - 000006029 _____ C:\Users\admin_it46\AppData\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\admin_it46\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:39 - 2021-06-01 16:39 - 000006029 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Downloads\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Documents\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\Desktop\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Roaming\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\LocalLow\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\Local\Apps\how_to_decrypt.hta
2021-06-01 16:36 - 2021-06-01 16:36 - 000006029 _____ C:\Users\111\AppData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-01 16:35 - 2021-06-01 16:35 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

также файл how_to_encrypted был в сетевом размещении в моем компьютер, оттуда я его удалил. какие есть еще рекомендации по очистке сервера? переустанавливать систему очень нежелательно.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я ведь сказал:

6 часов назад, Sandor сказал:

обычно сам шифровщик по окончании своей деятельности удаляется (или само уничтожается)

 

Но если хотите в этом с нашей помощью убедиться, создайте для другого компьютера отдельную тему и соберите на нём логи.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • RQST
      Помощь по шифровальщику HEUR:Trojan-Ransom.Win32.Mimic.gen
      Автор RQST
      Добрый день!

      Прошу помощи с шифровальщиком mimic / elpaco. Поражена инфраструктура офиса.

      -----------

      Сообщение шифровальщика:

      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is D6F1UYsBfAD8vuYRO-7qBajEYC86q4SkUIPo7z8LpE0*ELPACO-team
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - de_tech@tuta.io
      2) Telegram - @Online7_365  or https://t.me/Online7_365
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.

      -----------

      Пароль на архивы - "virus" (без кавычек)

      root.zip - Файлы из корня диска, в том числе зашифрованные (расширение зашифрованных файлов - .ELPACO-team)
      temp.zip - временные файлы вируса
      F6A3737E-E3B0-8956-8261-0121C68105F3.zip - вирус (запуск через ветку реестра run) по ссылке https://disk.yandex.ru/d/dkHtydu6GhGFEA

      ----

      frst.zip и FS01-S-2024-07-21_09-25-57_v4.15.7v.7z - отчеты
      frst.zip root.zip temp.zip FS01-S-2024-07-21_09-25-57_v4.15.7v.7z
    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • naxio11
      [РЕШЕНО] Очистка хвостов с помощью FRST
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
×
×
  • Создать...