Перейти к содержанию

Поймали шифровальшик на сервер


Рекомендуемые сообщения

Добрый день. На сервере поймали вирус шифровальщик CRYLOCK. 

0100101110100111001
Your files will be lost after
2 days 08:46:52
Decrypt files? Write to this mails: paybackformistake@qq.com or . reserve e-mail paybackformistake@qq.com.
Your unique ID [70124F14-2117AED4] [copy]

В архиве: файл с запросом на отправку денежных средств, зашифрованные файлы и два файла один исходный второй зашифрованный

 

Изменено пользователем Sandor
Убрал вложение с комм. данными
Ссылка на сообщение
Поделиться на другие сайты

К сожалению, для этой версии вымогателя нет расшифровки.

Если нужна помощь в очистке системы, добавьте логи FRST по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Логи собирали через терминальную сессию или непосредственно на компьютере?

Если первое, то нужно переделать. Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере. В крайнем случае через TeamViewer.

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, Sandor сказал:

Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере

Делали именно так?

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKU\S-1-5-21-3419535229-2760994027-3351555740-1001\...\Run: [70124F14-2117AED4hta] => C:\Users\01\AppData\Local\Temp\10\how_to_decrypt.hta <==== ВНИМАНИЕ
    Startup: C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-09-14] () [Файл не подписан]
    2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\how_to_decrypt.hta
    2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Downloads\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Documents\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Desktop\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\Roaming\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\LocalLow\how_to_decrypt.hta
    2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\how_to_decrypt.hta
    2021-09-14 21:49 - 2021-09-14 21:49 - 000006235 _____ C:\Users\01\AppData\Local\how_to_decrypt.hta
    2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\ProgramData\how_to_decrypt.hta
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{25E7DAEE-B3F7-41CB-985B-7B8993716836}] => (Allow) LPort=475
    FirewallRules: [{1B5FFE63-0286-4A12-AE94-921BD729F809}] => (Allow) LPort=475
    FirewallRules: [{C6679C08-B7E1-4967-8840-B909F791D6E0}] => (Allow) LPort=1433
    FirewallRules: [{350624D7-D1E4-4549-9E45-F99CC5566F3F}] => (Allow) LPort=1541
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если доступ к портам открывали специально, удалите из скрипта четыре строки.

 

Эту задачу создавали самостоятельно?

Цитата

Tasks\Reboot => C:\Windows\System32\shutdown.exe -r

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • JayDee
      От JayDee
      Добрый вечер, система не переустановлена. Необходимо попытаться восстановить только файлы, это ВМ, на ней находится общая папка пользователей.
       
      Addition.txt FRST.txt Файлы и требования.7z
    • maravan1
      От maravan1
      Добрый день в 2021м через слабый пароль rdp залили и запустили шифровальщика в локальной сети.
      пострадали данные как только было замечено шифрование сразу была остановлена система и сделан образ диска. (возможно к текущему моменту он потерян)
      на сетевом диске осталось много зашифрованных данных . мы сейчас переносим старые диски на новую машину и наткнулись на эти данные.
      Пожалуйста посмотрите возможно ли их расшифровать. 
       
      crylock.zip
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • MilaG
      От MilaG
      Прошу помочь с расшифровкой, шифрование было где-то полгода назад, есть важные файлы.
      Пример файла
      Гимн СССР.docx[honestandhope@qq.com].rar
    • Andrey1976
      От Andrey1976
      Доброе время суток.
      Зашифровал файлы в сетевой папке NAS!!!!
       
      Может можно что то сделать?.  Заранее спасибо за помощь!
      Зашифрованные файлы.rar
×
×
  • Создать...