Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Словили Шифровальщик. cryLock 2.0, судя по всему

Денис Добрынин

Автор Денис Добрынин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Денис Добрынин Новичок

Денис Добрынин

Опубликовано
Опубликовано

Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 

также начал шифрование доступных открытых папок на других компьютерах сети.
Обнаружили в процессе работы.

Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)


Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)

 

 

 

CollectionLog-2021.06.06-11.12.zip

Ссылка на комментарий
Поделиться на другие сайты
Денис Добрынин Новичок

Денис Добрынин

Опубликовано
  • Автор
Опубликовано (изменено)

Файлы согласно правилам этого раздела готовлю (физически нет доступа сейчас к данному серверу).
На десктопе у фейкового пользователя имеется файл ClearLock.exe (и ini файл от него), может это быть искомым? На всякий случай сохраняю в архив. Не прикрепляю.

Изменено пользователем Денис Добрынин
Ссылка на комментарий
Поделиться на другие сайты
Денис Добрынин Новичок

Денис Добрынин

Опубликовано
  • Автор
Опубликовано

Прилагаю логи FRST и архив с требованием выкупа и зашифрованными файлами. В этом же архиве - незашифрованные версии тех же файлов с архивной копии

Addition.txt encrypted_and_original_txt_files_2021-06-06_19-33-46.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

admin (S-1-5-21-104148929-2719160194-766771546-1019 - Administrator - Enabled) => C:\Users\admin
Administrator (S-1-5-21-104148929-2719160194-766771546-500 - Administrator - Enabled) => C:\Users\Administrator
Default (S-1-5-21-104148929-2719160194-766771546-1018 - Administrator - Enabled) => C:\Users\Default.REKLAMA
Dzen (S-1-5-21-104148929-2719160194-766771546-1028 - Administrator - Enabled) => C:\Users\Dzen
ftp (S-1-5-21-104148929-2719160194-766771546-1020 - Administrator - Enabled) => C:\Users\ftp

не многовато ли пользователей с правами администратора?

 

Шифратор самоудалился после окончания процесса. Оригиналы файлов ничем не помогут для расшифровки.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [wahiver.exe] => C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log\wahiver.exe [9927985 2015-10-20] (WaspAce) [File not signed]
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06] => "C:\Users\lya\appdata\local\temp\208\svcqax.exe" -id "C33E127B-0F71CD06" -wid "888" <==== ATTENTION
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06hta] => c:\users\lya\appdata\local\temp\208\how_to_decrypt.hta <==== ATTENTION
Task: {3B37445D-3697-4EE3-8533-5D3AE16171E1} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f]
Task: {735E4128-3F70-48FC-BE23-8DE2F102F516} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe <==== ATTENTION
Task: {B24B63A7-F577-4172-9618-EC34CD4A807F} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION
S2 Bios; "%WINDIR%\fonts\s\svchost.exe"  "Java Updater" "%WINDIR%\fonts\s\wmisrv.exe" -k -m -rn -f 3 0 -fd 5 1 -lh [X]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 Windows Terminal Service Control (managed by AlwaysUpService); "C:\Windows\Fonts\s\svchost.exe"  "Windows Terminal Service Control (managed by AlwaysUpService)" "c:\windows\fonts\s\www\webisida.browser.exe" -k -m -rn -f 3 0 -fd 5 1
S2 WindowsDefend; C:\Windows\fonts\w\svchost.exe run [X]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [X]
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Documents\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Desktop\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Roaming\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\LocalLow\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Local\Temp\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\how_to_decrypt.hta
2021-06-05 22:36 - 2021-06-05 22:36 - 000000040 ____N C:\Users\lya\Desktop\ClearLock.ini
2021-06-05 22:35 - 2010-09-21 01:47 - 000451221 ____N (Swan River Computers) C:\Users\lya\Desktop\ClearLock.exe
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
Folder: C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Smorodina
      Словил вирус - URLLINK:MALWARE.URL - помогите избавиться
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

    • roader2000
      Словили шифровальщика FEAR.PW
      Автор roader2000
      Здравствуйте! Словили вирус, требующий денег! Просим о помощи.
      14.02.24.rar
      Сообщение от модератора thyrex Перенесено из Интервью с экспертами
    • Antonyy
      [РЕШЕНО] Здравствуйте, словил вирус, майнер Tool.BtcMine.2794
      Автор Antonyy
      Здравствуйте, словил майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. логи с FRST в архиве
      111.7z
    • Вадим666
      Словил зловреда усложняет работу
      Автор Вадим666
      PUA:Win32/Vigua.A
      PUA:Win32/Packunwan
      PUATorrent:Win32/uTorrent
      PUA:Win32/Softcnapp
       
      Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта  KES и KSC
      Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection
       
    • Dizzmilate
      Словил вирус: not-a-virus:HEUR:RiskTool.Win32.HideProc.gen
      Автор Dizzmilate
      Добрый вечер! Словил вирус на пк качал TL легаси лаунчер с офф сайта и оригинальный, было все нормально но потом вирус начал себя проявлять на клавиатуре поменялись значения цифры заменились на спец.символы и когда зажат CAPS буквы маленькие и наоборот ну и баги с мышкой я обнулил винду с удалением всех данных после этого стало только хуже клавиатура не работает и что-бы она заработала надо что-то сделать, пороль приходилось вбивать через экранную клавиатуру почистил реестр единственное что нашел это то что в Usernit был с запятой я её удалил по советам и клавиатура заработала на время до перезапуска пк, Сканировал антивирусами : Доктор веб курейт + Доктор веб приложение, MRT виндоус, Windows Defender полной проверкой, помог только Касперский тул он нашел not-a-virus:HEUR:RiskTool.Win32.HideProc.gen который был в пути C:\Recovery\WindowsRE\Winre.wim Я его удалил но вирус не ушел, на данный момент мышка работает нормально но клавиатура все так-же шалит главная проблема в том что вирус ворует данные в режиме реального времени и что я не могу : Нормально воспользоваться средой восстановления / безопасным режимом, загрузиться с флешки хотя все условия соблюдены, отформатировать диск через биос я пытался это сделать но привело к ошибке Reboot and select proper boot которая ничем не решается. Подскажите что сделать что-бы : Отформатировать диск, поставить винду с флешки, или хотябы до конца убрать вирус и его возможные последствия!
      CollectionLog-2025.05.09-20.44.zip
×
×
  • Создать...