Перейти к содержанию

Рекомендуемые сообщения

Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 

также начал шифрование доступных открытых папок на других компьютерах сети.
Обнаружили в процессе работы.

Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)


Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)

 

 

 

CollectionLog-2021.06.06-11.12.zip

Ссылка на сообщение
Поделиться на другие сайты

Файлы согласно правилам этого раздела готовлю (физически нет доступа сейчас к данному серверу).
На десктопе у фейкового пользователя имеется файл ClearLock.exe (и ini файл от него), может это быть искомым? На всякий случай сохраняю в архив. Не прикрепляю.

Изменено пользователем Денис Добрынин
Ссылка на сообщение
Поделиться на другие сайты

Прилагаю логи FRST и архив с требованием выкупа и зашифрованными файлами. В этом же архиве - незашифрованные версии тех же файлов с архивной копии

Addition.txt encrypted_and_original_txt_files_2021-06-06_19-33-46.zip FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Цитата

admin (S-1-5-21-104148929-2719160194-766771546-1019 - Administrator - Enabled) => C:\Users\admin
Administrator (S-1-5-21-104148929-2719160194-766771546-500 - Administrator - Enabled) => C:\Users\Administrator
Default (S-1-5-21-104148929-2719160194-766771546-1018 - Administrator - Enabled) => C:\Users\Default.REKLAMA
Dzen (S-1-5-21-104148929-2719160194-766771546-1028 - Administrator - Enabled) => C:\Users\Dzen
ftp (S-1-5-21-104148929-2719160194-766771546-1020 - Administrator - Enabled) => C:\Users\ftp

не многовато ли пользователей с правами администратора?

 

Шифратор самоудалился после окончания процесса. Оригиналы файлов ничем не помогут для расшифровки.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [wahiver.exe] => C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log\wahiver.exe [9927985 2015-10-20] (WaspAce) [File not signed]
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06] => "C:\Users\lya\appdata\local\temp\208\svcqax.exe" -id "C33E127B-0F71CD06" -wid "888" <==== ATTENTION
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06hta] => c:\users\lya\appdata\local\temp\208\how_to_decrypt.hta <==== ATTENTION
Task: {3B37445D-3697-4EE3-8533-5D3AE16171E1} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f]
Task: {735E4128-3F70-48FC-BE23-8DE2F102F516} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe <==== ATTENTION
Task: {B24B63A7-F577-4172-9618-EC34CD4A807F} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION
S2 Bios; "%WINDIR%\fonts\s\svchost.exe"  "Java Updater" "%WINDIR%\fonts\s\wmisrv.exe" -k -m -rn -f 3 0 -fd 5 1 -lh [X]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 Windows Terminal Service Control (managed by AlwaysUpService); "C:\Windows\Fonts\s\svchost.exe"  "Windows Terminal Service Control (managed by AlwaysUpService)" "c:\windows\fonts\s\www\webisida.browser.exe" -k -m -rn -f 3 0 -fd 5 1
S2 WindowsDefend; C:\Windows\fonts\w\svchost.exe run [X]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [X]
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Documents\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Desktop\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Roaming\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\LocalLow\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Local\Temp\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\how_to_decrypt.hta
2021-06-05 22:36 - 2021-06-05 22:36 - 000000040 ____N C:\Users\lya\Desktop\ClearLock.ini
2021-06-05 22:35 - 2010-09-21 01:47 - 000451221 ____N (Swan River Computers) C:\Users\lya\Desktop\ClearLock.exe
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
Folder: C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От starrover4
      Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.
      _files.rar Addition.txt FRST.txt
    • От Sergey_Artush
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
      Версию файла шифровальщика не знаю, хотя хотелось бы узнать.
      Просьба помочь с расшифровкой, хотя понимаю что это скорей всего не выполнимо, но все же может повезет!!!
      FRST.7z Files.7z
    • От Цыркин Роман
      Добрый день!
      поймали fairexchange@qq.com crylock. 
       
      crylock.zip
    • От Saaber
      Здравствуйте!
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
       
       
      FRST.7z
    • От maximl
      Добрый день. Прошу помощи в расшифровке файлов. Логи прилагаю. Заранее спасибо.
      Addition.txt Files.zip FRST.txt virus.zip
×
×
  • Создать...