crylock 2.0.0.0 Поймали шифровальшик на сервер

[Angel6891 0]

Добрый день. На сервере поймали вирус шифровальщик CRYLOCK. 

0100101110100111001

Your files will be lost after

2 days 08:46:52

Decrypt files? Write to this mails: paybackformistake@qq.com or . reserve e-mail paybackformistake@qq.com.
Your unique ID [70124F14-2117AED4] [copy]

В архиве: файл с запросом на отправку денежных средств, зашифрованные файлы и два файла один исходный второй зашифрованный

 

Изменено 15 сентября, 2021 пользователем Sandor
Убрал вложение с комм. данными

[Sandor 1 296]

Здравствуйте!

 

Какой пароль на архив?

[Angel6891 0]

123

 

[Sandor 1 296]

К сожалению, для этой версии вымогателя нет расшифровки.

Если нужна помощь в очистке системы, добавьте логи FRST по правилам раздела.

[Angel6891 0]

Addition.txtFRST.txt

[Sandor 1 296]

Логи собирали через терминальную сессию или непосредственно на компьютере?

Если первое, то нужно переделать. Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере. В крайнем случае через TeamViewer.

[Angel6891 0]

Через RDP.

[Sandor 1 296]

16 часов назад, Sandor сказал:

нужно переделать

Ждём.

[Angel6891 0]

Addition.txtFRST.txt

[Sandor 1 296]

17 часов назад, Sandor сказал:

Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере

Делали именно так?

[Angel6891 0]

Через программу Anydesk

[Sandor 1 296]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKU\S-1-5-21-3419535229-2760994027-3351555740-1001\...\Run: [70124F14-2117AED4hta] => C:\Users\01\AppData\Local\Temp\10\how_to_decrypt.hta <==== ВНИМАНИЕ
  Startup: C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-09-14] () [Файл не подписан]
  2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\how_to_decrypt.hta
  2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\how_to_decrypt.hta
  2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Downloads\how_to_decrypt.hta
  2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Documents\how_to_decrypt.hta
  2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Desktop\how_to_decrypt.hta
  2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\Roaming\how_to_decrypt.hta
  2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\LocalLow\how_to_decrypt.hta
  2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\how_to_decrypt.hta
  2021-09-14 21:49 - 2021-09-14 21:49 - 000006235 _____ C:\Users\01\AppData\Local\how_to_decrypt.hta
  2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\ProgramData\how_to_decrypt.hta
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  FirewallRules: [{25E7DAEE-B3F7-41CB-985B-7B8993716836}] => (Allow) LPort=475
  FirewallRules: [{1B5FFE63-0286-4A12-AE94-921BD729F809}] => (Allow) LPort=475
  FirewallRules: [{C6679C08-B7E1-4967-8840-B909F791D6E0}] => (Allow) LPort=1433
  FirewallRules: [{350624D7-D1E4-4549-9E45-F99CC5566F3F}] => (Allow) LPort=1541
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если доступ к портам открывали специально, удалите из скрипта четыре строки.

 

Эту задачу создавали самостоятельно?

Цитата

Tasks\Reboot => C:\Windows\System32\shutdown.exe -r