Перейти к содержанию

пробрался шифровальщик. прикрепляет к файлам почту honestandhope@qq.com

Kengor
 Поделиться

Рекомендуемые сообщения

Kengor

Kengor

Опубликовано
Опубликовано

Добрый день. Проник шифровальщик 16.07.2021 через  RDP. примерно в 15-48. Вовремя было замечено. Компьютер отключен от сети. была замечена папка ocp с установленной программой everything. Были подключены сетевые диски ко всем расшаренным по сети папкам. Все было срочно удалено.

Успели зашифровать только файлы BOOTSECT  BOOTSTAT в скрытом разделе А: они были удалены. Были установлены обновления.

Помогите пожалуйста очистить компьютер от мусора. Логи прикрепляю

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {2b03cfe7-6f13-11e8-8766-806e6f6e6963} - D:\Run.exe
HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
C:\Users\Andrey\AppData\Local\Vivaldi\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
U3 aswbdisk; отсутствует ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Нет файла
Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1003 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
FirewallRules: [{146B8A39-BB7F-4D4C-9F64-98C72B278D38}] => (Allow) LPort=8502
FirewallRules: [{92D735DE-1020-4EBC-B39A-2CA243BF3226}] => (Allow) LPort=8501
FirewallRules: [{8163E242-5FBB-4C04-A3A5-8B02630D30BE}] => (Allow) LPort=8501
FirewallRules: [{D79B4082-D64E-4FCD-9D5D-EF1904D43A85}] => (Allow) LPort=33202
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.20063 [+]
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.20.0.14.1085 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
LibreOffice 7.0.6.2 v.7.0.6.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.5.9 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 4.0.0 (64-разрядная) v.4.0.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Paint.NET v3.5.8 v.3.58.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2224, 22.07.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.3.181.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 10 Plugin v.10.3.181.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
 

 

Хотфиксы постарайтесь все установить. Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Эдуард Прокопенко
      [РАСШИФРОВАНО]Расшифровка шифровальщика Crylock 2.0 [honestandhope@qq.com]
      Автор Эдуард Прокопенко
      Здравствуйте! Почти 4 года назад словили шифровальщик и почти весь hdd с файлами попал под него. Просьба посмотреть, можно ли расшифровать. Скидываю пару тестовых файлов
      files.rar
      Addition.txt FRST.txt
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      Автор Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • Daniil-b
      Шифровальщик Crylock 2.0.0.0 (fairexchange@qq.com)
      Автор Daniil-b
      День добрый!
      Как-то давно стандартно через открытый наружу rdp прилетел Crylock 2.0.0.0.
      Через часик всё подняли из бэкапов, но что-то не успело в них попасть.
      Вот, через несколько лет возникла необходимость поднять несколько старых файлов.
      Прошу помощи в расшифровке.
      Тела вируса уже нет, в каждой директории лежал файлик how_to_decrypt.hta со стандартным содержимым.
      Пара зашифрованных файлов во вложении, пароль: help .. )
       
      Спасибо!
       
      ENCRYPTED.zip
    • Кристина1983
      По электронной почте прислали вредоносный файл
      Автор Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • AciDancer
      Шифровальщик "Fast.exe" с почтой вымогателя qqtiq@tuta.io
      Автор AciDancer
      Доброй ночи.
      Поймал мой боец с админским доступом шифровальщик-вымогатель.
      Бэкапы есть только критической инфраструктуры и конечно же туда не входят пользовательские папки терминала и личные папки на файловом хранилище... 
      Сейчас уже всё основное восстановил, но как Вы понимаете - пользователи за свои папки меня растерзают. 
      Слёзно прошу помощи.
      Файлы логов диагностики + архив с 2мя зашифрованными файлами - прилагаю.
      Addition.txt FRST.txt Shortcut.txt zip arhive.zip
×
×
  • Создать...