Перейти к содержанию

Словили Шифровальщик. cryLock 2.0, судя по всему

Денис Добрынин
 Share

Рекомендуемые сообщения

Денис Добрынин Новичок

Денис Добрынин

Опубликовано
Опубликовано

Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 

также начал шифрование доступных открытых папок на других компьютерах сети.
Обнаружили в процессе работы.

Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)


Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)

 

 

 

CollectionLog-2021.06.06-11.12.zip

Ссылка на комментарий
Поделиться на другие сайты
Денис Добрынин Новичок

Денис Добрынин

Опубликовано
  • Автор
Опубликовано (изменено)

Файлы согласно правилам этого раздела готовлю (физически нет доступа сейчас к данному серверу).
На десктопе у фейкового пользователя имеется файл ClearLock.exe (и ini файл от него), может это быть искомым? На всякий случай сохраняю в архив. Не прикрепляю.

Изменено пользователем Денис Добрынин
Ссылка на комментарий
Поделиться на другие сайты
Денис Добрынин Новичок

Денис Добрынин

Опубликовано
  • Автор
Опубликовано

Прилагаю логи FRST и архив с требованием выкупа и зашифрованными файлами. В этом же архиве - незашифрованные версии тех же файлов с архивной копии

Addition.txt encrypted_and_original_txt_files_2021-06-06_19-33-46.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

admin (S-1-5-21-104148929-2719160194-766771546-1019 - Administrator - Enabled) => C:\Users\admin
Administrator (S-1-5-21-104148929-2719160194-766771546-500 - Administrator - Enabled) => C:\Users\Administrator
Default (S-1-5-21-104148929-2719160194-766771546-1018 - Administrator - Enabled) => C:\Users\Default.REKLAMA
Dzen (S-1-5-21-104148929-2719160194-766771546-1028 - Administrator - Enabled) => C:\Users\Dzen
ftp (S-1-5-21-104148929-2719160194-766771546-1020 - Administrator - Enabled) => C:\Users\ftp

не многовато ли пользователей с правами администратора?

 

Шифратор самоудалился после окончания процесса. Оригиналы файлов ничем не помогут для расшифровки.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [wahiver.exe] => C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log\wahiver.exe [9927985 2015-10-20] (WaspAce) [File not signed]
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06] => "C:\Users\lya\appdata\local\temp\208\svcqax.exe" -id "C33E127B-0F71CD06" -wid "888" <==== ATTENTION
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06hta] => c:\users\lya\appdata\local\temp\208\how_to_decrypt.hta <==== ATTENTION
Task: {3B37445D-3697-4EE3-8533-5D3AE16171E1} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f]
Task: {735E4128-3F70-48FC-BE23-8DE2F102F516} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe <==== ATTENTION
Task: {B24B63A7-F577-4172-9618-EC34CD4A807F} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION
S2 Bios; "%WINDIR%\fonts\s\svchost.exe"  "Java Updater" "%WINDIR%\fonts\s\wmisrv.exe" -k -m -rn -f 3 0 -fd 5 1 -lh [X]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 Windows Terminal Service Control (managed by AlwaysUpService); "C:\Windows\Fonts\s\svchost.exe"  "Windows Terminal Service Control (managed by AlwaysUpService)" "c:\windows\fonts\s\www\webisida.browser.exe" -k -m -rn -f 3 0 -fd 5 1
S2 WindowsDefend; C:\Windows\fonts\w\svchost.exe run [X]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [X]
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Documents\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Desktop\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Roaming\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\LocalLow\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Local\Temp\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\how_to_decrypt.hta
2021-06-05 22:36 - 2021-06-05 22:36 - 000000040 ____N C:\Users\lya\Desktop\ClearLock.ini
2021-06-05 22:35 - 2010-09-21 01:47 - 000451221 ____N (Swan River Computers) C:\Users\lya\Desktop\ClearLock.exe
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
Folder: C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Эдуард Прокопенко
      [РАСШИФРОВАНО]Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      От Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • oly8889
      словили шифровальщик platishilidrochish@fear.pw.
      От oly8889
      1.rar Addition.txt FRST.txt
    • Dima322
      Словили шифровальщика platishilidrochish@fear.pw
      От Dima322
      Здравствуйте, предположительно через RDP 02.02 словили вирус на компьютер бухгалтера, все файлы 1с пришли к виду platishilidrochish@fear.pw
      Ниже прикрепил файл с логами из FRST и образцами файла
      Записки о выкупе нет, только зашифрованные данные 1С и всё. 
      Делал проверку через KVRT никаких троянов не обнаружил
      test.7z
      Addition.txt FRST.txt
    • Taboo
      [РЕШЕНО] Словил какой то майнер
      От Taboo
      Доброго дня.
       
      Последнее время ноут работал на износ, решил проверить на вирусы и выявил какой-то вирус майнер ( не шибко силен в этом). Почитал в инете, какая то злостная штука. Скачать антивирус не дает, на часть сайтов зайти не дает, диспетчер задач, как и ряд системных функций включить не дает.
      с помощью телефона и облачного хранилища ужалось поставить DrWeb Curelt, выявил пачку троянов и других вирусов, вылечил вроде как, но с перезапуском системы они вновь расплодились.
      Подскажите плз решение проблемы.
    • Maxim222503F
      Словил майнер
      От Maxim222503F
      Майнер обнаружил с помощью Dr.Web CureIt
      Вероятно майнер был установлен вместе с утилитой для установки драйверов
      CollectionLog-2025.01.28-20.59.zip
×
×
  • Создать...