Перейти к содержанию

Словили Шифровальщик. cryLock 2.0, судя по всему


Рекомендуемые сообщения

Денис Добрынин

Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 

также начал шифрование доступных открытых папок на других компьютерах сети.
Обнаружили в процессе работы.

Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)


Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)

 

 

 

CollectionLog-2021.06.06-11.12.zip

Ссылка на сообщение
Поделиться на другие сайты

wahiver - это от удаленного администрирования, а не сам шифратор.

 

Правила оформления запроса о помощи

 

Ссылка на сообщение
Поделиться на другие сайты
Денис Добрынин

Файлы согласно правилам этого раздела готовлю (физически нет доступа сейчас к данному серверу).
На десктопе у фейкового пользователя имеется файл ClearLock.exe (и ini файл от него), может это быть искомым? На всякий случай сохраняю в архив. Не прикрепляю.

Изменено пользователем Денис Добрынин
Ссылка на сообщение
Поделиться на другие сайты
Денис Добрынин

Прилагаю логи FRST и архив с требованием выкупа и зашифрованными файлами. В этом же архиве - незашифрованные версии тех же файлов с архивной копии

Addition.txt encrypted_and_original_txt_files_2021-06-06_19-33-46.zip FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Цитата

admin (S-1-5-21-104148929-2719160194-766771546-1019 - Administrator - Enabled) => C:\Users\admin
Administrator (S-1-5-21-104148929-2719160194-766771546-500 - Administrator - Enabled) => C:\Users\Administrator
Default (S-1-5-21-104148929-2719160194-766771546-1018 - Administrator - Enabled) => C:\Users\Default.REKLAMA
Dzen (S-1-5-21-104148929-2719160194-766771546-1028 - Administrator - Enabled) => C:\Users\Dzen
ftp (S-1-5-21-104148929-2719160194-766771546-1020 - Administrator - Enabled) => C:\Users\ftp

не многовато ли пользователей с правами администратора?

 

Шифратор самоудалился после окончания процесса. Оригиналы файлов ничем не помогут для расшифровки.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [wahiver.exe] => C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log\wahiver.exe [9927985 2015-10-20] (WaspAce) [File not signed]
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06] => "C:\Users\lya\appdata\local\temp\208\svcqax.exe" -id "C33E127B-0F71CD06" -wid "888" <==== ATTENTION
HKU\S-1-5-21-104148929-2719160194-766771546-1014\...\Run: [C33E127B-0F71CD06hta] => c:\users\lya\appdata\local\temp\208\how_to_decrypt.hta <==== ATTENTION
Task: {3B37445D-3697-4EE3-8533-5D3AE16171E1} - System32\Tasks\systems => taskkill [Argument = /im prefmon.exe /f]
Task: {735E4128-3F70-48FC-BE23-8DE2F102F516} - System32\Tasks\WindowsUpdate => C:\Program Files\Common Files\Intel\svchost.exe <==== ATTENTION
Task: {B24B63A7-F577-4172-9618-EC34CD4A807F} - System32\Tasks\system => taskkill [Argument = /im taskmgr.exe /f] <==== ATTENTION
S2 Bios; "%WINDIR%\fonts\s\svchost.exe"  "Java Updater" "%WINDIR%\fonts\s\wmisrv.exe" -k -m -rn -f 3 0 -fd 5 1 -lh [X]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 Windows Terminal Service Control (managed by AlwaysUpService); "C:\Windows\Fonts\s\svchost.exe"  "Windows Terminal Service Control (managed by AlwaysUpService)" "c:\windows\fonts\s\www\webisida.browser.exe" -k -m -rn -f 3 0 -fd 5 1
S2 WindowsDefend; C:\Windows\fonts\w\svchost.exe run [X]
S2 WinMediaService; C:\Windows\msapss\bin\msapp.exe [X]
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Documents\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\Desktop\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 ____N C:\Users\lya\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Roaming\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\LocalLow\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\Local\Temp\how_to_decrypt.hta
2021-06-05 22:47 - 2021-06-05 22:47 - 000006029 _____ C:\Users\lya\AppData\how_to_decrypt.hta
2021-06-05 22:36 - 2021-06-05 22:36 - 000000040 ____N C:\Users\lya\Desktop\ClearLock.ini
2021-06-05 22:35 - 2010-09-21 01:47 - 000451221 ____N (Swan River Computers) C:\Users\lya\Desktop\ClearLock.exe
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-05 22:22 - 2021-06-05 22:22 - 000006029 _____ C:\ProgramData\Documents\how_to_decrypt.hta
Folder: C:\Users\lya\AppData\Local\Microsoft\Internet Explorer\IntelChip.log
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • 3dforever
      От 3dforever
      Здравствуйте, а не могли бы и мне подсказать решение? Тоже crylock, но, возможно, первая версия. Заражен был году в 2019, лежал в гараже до лучших времен.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • MdkForever
      От MdkForever
      Здравствуйте.

      Есть возможность расшифровать данный вирус? 
      Один из зашифрованных файлов. https://disk.yandex.ru/d/QG2wqmbE3cG2XQ
      Если будет возможность предоставьте пожалуйста расшифрованный вариант
      Как я понял это CryLock
    • DEFALT
      От DEFALT
      Поймали шифровальщик fileraptor@protonmail.com 
        Есть возможность что то сделать?

      Инструкция участнику видеоконференций Trueconf.pdf[fileraptor@protonmail.com].rar
    • Asvard
      От Asvard
      Заразился windows server 2008r2, пока неизвестно по какой причине. Зашифровал на себе почти всё и куда смог дотянуться по сети к общему доступу других компьютеров.
      Во вложении так же оригинал одного из зашифрованных файлов.

      files.7z FRST_14-06-2022 13.09.50.txt Addition_14-06-2022 13.09.50.txt
    • jackyzzz
      От jackyzzz
      Помогите расшифровать
       
      how_to_decrypt.zip №24.jpg[lamaskara@mailfence.com][vis].[1B4B4149-698AD13F].zip vir.zip
×
×
  • Создать...