Перейти к содержанию

Рекомендуемые сообщения

Добрый день. На сервере поймали вирус шифровальщик CRYLOCK. 

0100101110100111001
Your files will be lost after
2 days 08:46:52
Decrypt files? Write to this mails: paybackformistake@qq.com or . reserve e-mail paybackformistake@qq.com.
Your unique ID [70124F14-2117AED4] [copy]

В архиве: файл с запросом на отправку денежных средств, зашифрованные файлы и два файла один исходный второй зашифрованный

 

Изменено пользователем Sandor
Убрал вложение с комм. данными
Ссылка на сообщение
Поделиться на другие сайты

К сожалению, для этой версии вымогателя нет расшифровки.

Если нужна помощь в очистке системы, добавьте логи FRST по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Логи собирали через терминальную сессию или непосредственно на компьютере?

Если первое, то нужно переделать. Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере. В крайнем случае через TeamViewer.

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, Sandor сказал:

Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере

Делали именно так?

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3419535229-2760994027-3351555740-1001\...\Run: [70124F14-2117AED4hta] => C:\Users\01\AppData\Local\Temp\10\how_to_decrypt.hta <==== ВНИМАНИЕ
    Startup: C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-09-14] () [Файл не подписан]
    2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\how_to_decrypt.hta
    2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Downloads\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Documents\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Desktop\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\Roaming\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\LocalLow\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\how_to_decrypt.hta
    2021-09-14 21:49 - 2021-09-14 21:49 - 000006235 _____ C:\Users\01\AppData\Local\how_to_decrypt.hta
    2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\ProgramData\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{25E7DAEE-B3F7-41CB-985B-7B8993716836}] => (Allow) LPort=475
    FirewallRules: [{1B5FFE63-0286-4A12-AE94-921BD729F809}] => (Allow) LPort=475
    FirewallRules: [{C6679C08-B7E1-4967-8840-B909F791D6E0}] => (Allow) LPort=1433
    FirewallRules: [{350624D7-D1E4-4549-9E45-F99CC5566F3F}] => (Allow) LPort=1541
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если доступ к портам открывали специально, удалите из скрипта четыре строки.

 

Эту задачу создавали самостоятельно?

Цитата

Tasks\Reboot => C:\Windows\System32\shutdown.exe -r

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
    • От Алексей_dandiv
      Здравствуйте! На работе поймали шифровальщика, кое-как выяснили с какого компьютера шло заражение. Утилита Kaspersky Virus Removal Tool, нашла вирус на одном компьютере, определила его как Trojan-Ransom.MSIL.Cryakl.gen. В архиве приложен файлик Скрин.jpg. В памяти был еще загружен Trojan.Win32.SEPEH.gen. Утилита удалила вирус, а вот теперь как быть с зашифрованными файлами на компьютерах, есть ли возможность их расшифровать? У зашифрованных файлов дописывается что-то типа [honestandhope@qq.com].[1808347A-9C6B4B40]. В папке с зашифрованными файлами появляется файлик how_to_decrypt. Утилиты RakhniDecryptor и rannohdecryptor не помогают. Логи анализа системы при помощи  Farbar Recovery Scan Tool приложены в архиве вместе с документами Наушники оригинал и он же зашифрованный плюс дополнительный зашифрованный документ. В отдельном архиве файл how_to_decrypt с паролем на архив согласно правилам оформления запроса о помощи.
      how_to_decrypt.zip Documents.zip
    • От county
      Добрый день!
       
      Поймал вирус шифровальщик, скорее всего после RDP подключения с зараженного ПК с монтированием дисков. Подскажите, можно ли это расшифровать?
      files.zip Addition.txt FRST.txt
    • От serioga
      Добрый день, столкнулся с шифровщиком/вымогателем, порталы для идентификации указывают на версию "Cryakl" пробовал 2 утилиты Касперского RakhniDecryptor и rannohdecryptor, но они не берут, как узнать какой версии cryakl и возможно ли восстановить информацию, в сообщении прикрепил архив с зашифрованными файлами 
      crypted files.rar
    • От XoRo1987
      Добрый день!
      Прошу помощи в расшифровке файлов, зашифрованных lightloo@mailfence.com (Crylock)
      Архив с отчетом и файлами прикрепил
      Спасибо
      arh.7z
×
×
  • Создать...