Перейти к содержанию

Поймали шифровальшик на сервер


Рекомендуемые сообщения

Добрый день. На сервере поймали вирус шифровальщик CRYLOCK. 

0100101110100111001
Your files will be lost after
2 days 08:46:52
Decrypt files? Write to this mails: paybackformistake@qq.com or . reserve e-mail paybackformistake@qq.com.
Your unique ID [70124F14-2117AED4] [copy]

В архиве: файл с запросом на отправку денежных средств, зашифрованные файлы и два файла один исходный второй зашифрованный

 

Изменено пользователем Sandor
Убрал вложение с комм. данными
Ссылка на сообщение
Поделиться на другие сайты

К сожалению, для этой версии вымогателя нет расшифровки.

Если нужна помощь в очистке системы, добавьте логи FRST по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Логи собирали через терминальную сессию или непосредственно на компьютере?

Если первое, то нужно переделать. Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере. В крайнем случае через TeamViewer.

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, Sandor сказал:

Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере

Делали именно так?

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3419535229-2760994027-3351555740-1001\...\Run: [70124F14-2117AED4hta] => C:\Users\01\AppData\Local\Temp\10\how_to_decrypt.hta <==== ВНИМАНИЕ
    Startup: C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-09-14] () [Файл не подписан]
    2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\how_to_decrypt.hta
    2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Downloads\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Documents\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Desktop\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\Roaming\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\LocalLow\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\how_to_decrypt.hta
    2021-09-14 21:49 - 2021-09-14 21:49 - 000006235 _____ C:\Users\01\AppData\Local\how_to_decrypt.hta
    2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\ProgramData\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{25E7DAEE-B3F7-41CB-985B-7B8993716836}] => (Allow) LPort=475
    FirewallRules: [{1B5FFE63-0286-4A12-AE94-921BD729F809}] => (Allow) LPort=475
    FirewallRules: [{C6679C08-B7E1-4967-8840-B909F791D6E0}] => (Allow) LPort=1433
    FirewallRules: [{350624D7-D1E4-4549-9E45-F99CC5566F3F}] => (Allow) LPort=1541
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если доступ к портам открывали специально, удалите из скрипта четыре строки.

 

Эту задачу создавали самостоятельно?

Цитата

Tasks\Reboot => C:\Windows\System32\shutdown.exe -r

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • LEC_AL
      От LEC_AL
      Доброго времени суток.
      В канун рождества "поймали" шифровщик.  И подарил "подарочек" в виде зашифрованных файлов. Зашифровано всё, база 1С, система, да вообще всё  
      Файлы зашифрованы lnk.[paybackformistake@qq.com].[B4C69923-2F90E5C6]
      Этот мамкин хацкер оставил на диске оставил иходник своих фикалей   
      Exp.rar
      FRST.txtAddition.txt
       
    • localhost
      От localhost
      Добрый день, словили шифровальщик, в итоге все файлы зашифрованы. Подскажите, пожалуйста, возможна ли расшифровка? Если нет - то какие действия от меня требуются для очистки системы от последствий? Заранее благодарен. 
      Ниже прикладываю требуемые файлы (логи FRST, два зашифрованных файла).
      FRST.txt Касса.xlsx[paybackformistake@qq.com].zip надпись реализация.odt[paybackformistake@qq.com].zip Addition.txt
    • ernesto93
      От ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • dminin
      От dminin
      Был взломан по RDP, зашифрован, система побита, не грузится. Шифрованые файлы имеют вид AiOLog.txt[paybackformistake@qq.com].[55F6AD3E-663A4D30].  Подцепил диск к здоровому ПК, посылаю файлы с больного диска. Обращений с вымогательством не нашел.
      Есть ли шанс спасти данные...
      Addition.txt FRST.txt how_to_decrypt.7z больные файлы - без пароля.7z
    • gnm82
      От gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...