Перейти к содержанию

Рекомендуемые сообщения

Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 

также начал шифрование доступных открытых папок на других компьютерах сети.
Обнаружили в процессе работы.

Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)


Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)

 

 

 

CollectionLog-2021.06.06-11.12.zip

Ссылка на сообщение
Поделиться на другие сайты

Файлы согласно правилам этого раздела готовлю (физически нет доступа сейчас к данному серверу).
На десктопе у фейкового пользователя имеется файл ClearLock.exe (и ini файл от него), может это быть искомым? На всякий случай сохраняю в архив. Не прикрепляю.

Изменено пользователем Денис Добрынин
Ссылка на сообщение
Поделиться на другие сайты

Прилагаю логи FRST и архив с требованием выкупа и зашифрованными файлами. В этом же архиве - незашифрованные версии тех же файлов с архивной копии

Addition.txt encrypted_and_original_txt_files_2021-06-06_19-33-46.zip FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Цитата

admin (S-1-5-21-104148929-2719160194-766771546-1019 - Administrator - Enabled) => C:\Users\admin
Administrator (S-1-5-21-104148929-2719160194-766771546-500 - Administrator - Enabled) => C:\Users\Administrator
Default (S-1-5-21-104148929-2719160194-766771546-1018 - Administrator - Enabled) => C:\Users\Default.REKLAMA
Dzen (S-1-5-21-104148929-2719160194-766771546-1028 - Administrator - Enabled) => C:\Users\Dzen
ftp (S-1-5-21-104148929-2719160194-766771546-1020 - Administrator - Enabled) => C:\Users\ftp

не многовато ли пользователей с правами администратора?

 

Шифратор самоудалился после окончания процесса. Оригиналы файлов ничем не помогут для расшифровки.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [wahiver.exe] => C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log\wahiver.exe [9927985 2015-10-20] (WaspAce) [File not signed]
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06] => "C:\Users\lya\appdata\local\temp\208\svcqax.exe" -id "C33E127B-0F71CD06" -wid "888" <==== ATTENTION
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06hta] => c:\users\lya\appdata\local\temp\208\how_to_decrypt.hta <==== ATTENTION
Task: {3B37445D-3697-4EE3-8533-5D3AE16171E1} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f]
Task: {735E4128-3F70-48FC-BE23-8DE2F102F516} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe <==== ATTENTION
Task: {B24B63A7-F577-4172-9618-EC34CD4A807F} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION
S2 Bios; "%WINDIR%\fonts\s\svchost.exe"  "Java Updater" "%WINDIR%\fonts\s\wmisrv.exe" -k -m -rn -f 3 0 -fd 5 1 -lh [X]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 Windows Terminal Service Control (managed by AlwaysUpService); "C:\Windows\Fonts\s\svchost.exe"  "Windows Terminal Service Control (managed by AlwaysUpService)" "c:\windows\fonts\s\www\webisida.browser.exe" -k -m -rn -f 3 0 -fd 5 1
S2 WindowsDefend; C:\Windows\fonts\w\svchost.exe run [X]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [X]
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Documents\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Desktop\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Roaming\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\LocalLow\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Local\Temp\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\how_to_decrypt.hta
2021-06-05 22:36 - 2021-06-05 22:36 - 000000040 ____N C:\Users\lya\Desktop\ClearLock.ini
2021-06-05 22:35 - 2010-09-21 01:47 - 000451221 ____N (Swan River Computers) C:\Users\lya\Desktop\ClearLock.exe
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
Folder: C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От FarshikARC
      Словили вирус шифровальщик, как и почему пока не разобрались. по скринам поход на crylock. но подобрать программу для дешифровки не вышло, по этому предполагаю что он модифицирован. https://cloud.mail.ru/public/B6iu/vtpYdA7QJ - скриншот. Логи с Farbar Recovery Scan Tool в архиве, так же 2 зашифрованных файла. это файлы апачи 2.4 так что если нужны будут оригиналы могу приложить. Еще в архиве .exe который и объясняет как связаться с вымогателями. Вроде все. Пароль к архиву: virus
       
      123 (1).rar
    • От serioga
      Добрый день, столкнулся с шифровщиком/вымогателем, порталы для идентификации указывают на версию "Cryakl" пробовал 2 утилиты Касперского RakhniDecryptor и rannohdecryptor, но они не берут, как узнать какой версии cryakl и возможно ли восстановить информацию, в сообщении прикрепил архив с зашифрованными файлами 
      crypted files.rar
    • От XoRo1987
      Добрый день!
      Прошу помощи в расшифровке файлов, зашифрованных lightloo@mailfence.com (Crylock)
      Архив с отчетом и файлами прикрепил
      Спасибо
      arh.7z
    • От Kengor
      Добрый день. Проник шифровальщик 16.07.2021 через  RDP. примерно в 15-48. Вовремя было замечено. Компьютер отключен от сети. была замечена папка ocp с установленной программой everything. Были подключены сетевые диски ко всем расшаренным по сети папкам. Все было срочно удалено.
      Успели зашифровать только файлы BOOTSECT  BOOTSTAT в скрытом разделе А: они были удалены. Были установлены обновления.
      Помогите пожалуйста очистить компьютер от мусора. Логи прикрепляю
      Addition.txt FRST.txt
    • От starrover4
      Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.
      _files.rar Addition.txt FRST.txt
×
×
  • Создать...