Перейти к содержанию

пробрался шифровальщик. прикрепляет к файлам почту honestandhope@qq.com


Рекомендуемые сообщения

Добрый день. Проник шифровальщик 16.07.2021 через  RDP. примерно в 15-48. Вовремя было замечено. Компьютер отключен от сети. была замечена папка ocp с установленной программой everything. Были подключены сетевые диски ко всем расшаренным по сети папкам. Все было срочно удалено.

Успели зашифровать только файлы BOOTSECT  BOOTSTAT в скрытом разделе А: они были удалены. Были установлены обновления.

Помогите пожалуйста очистить компьютер от мусора. Логи прикрепляю

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {2b03cfe7-6f13-11e8-8766-806e6f6e6963} - D:\Run.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    C:\Users\Andrey\AppData\Local\Vivaldi\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Нет файла
    Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1003 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    FirewallRules: [{146B8A39-BB7F-4D4C-9F64-98C72B278D38}] => (Allow) LPort=8502
    FirewallRules: [{92D735DE-1020-4EBC-B39A-2CA243BF3226}] => (Allow) LPort=8501
    FirewallRules: [{8163E242-5FBB-4C04-A3A5-8B02630D30BE}] => (Allow) LPort=8501
    FirewallRules: [{D79B4082-D64E-4FCD-9D5D-EF1904D43A85}] => (Allow) LPort=33202
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.20063 [+]
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.20.0.14.1085 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
LibreOffice 7.0.6.2 v.7.0.6.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.5.9 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 4.0.0 (64-разрядная) v.4.0.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Paint.NET v3.5.8 v.3.58.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2224, 22.07.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.3.181.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 10 Plugin v.10.3.181.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
 

 

Хотфиксы постарайтесь все установить. Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Денис Добрынин
      Windows 2008 R2, взломали предположительно через RDP, создали аккаунт нового пользователя, запустили шифровальщика, который зашифровал большинство файлов на сервере, 
      также начал шифрование доступных открытых папок на других компьютерах сети.
      Обнаружили в процессе работы.
      Предпринято: фейкового пользователя разлогинили, сменили ему пароль, перекрыли доступ к порту RDP извне  (использовался нестандартный с пробросом в роутере на стандартный)

      Есть ли возможность расшифровки, учитывая, что осталась рабочая папка программы? (.....\IntelChip.log\wahiver.exe)
       
       
       
      CollectionLog-2021.06.06-11.12.zip
    • От starrover4
      Через RDP не сервере подловили crylock. Понятно, что файлы дешифровать шансов нет. Помогите пожалуйста почистить систему от мусора шифровальщика. Логи и файлы прилагаются.
      _files.rar Addition.txt FRST.txt
    • От Sergey_Artush
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
      Версию файла шифровальщика не знаю, хотя хотелось бы узнать.
      Просьба помочь с расшифровкой, хотя понимаю что это скорей всего не выполнимо, но все же может повезет!!!
      FRST.7z Files.7z
    • От Цыркин Роман
      Добрый день!
      поймали fairexchange@qq.com crylock. 
       
      crylock.zip
    • От Saaber
      Здравствуйте!
      Поймал Crylock по RDP, прошу помощи в расшифровке данных.
      Файлы с отчетами FRST и html с текстом вымогателей во вложении, файла шифровальщика не нашел.
       
       
      FRST.7z
×
×
  • Создать...