crylock 2.0.0.0 шифровальщик paybackformistake@qq.com

[jankas]

на сервере расшариные папки и в этих папках все зашифровано. в основном картинки. В других папках и дисках вроде все норма только везде файл how_to_decrypt.hta

FRST запускал на сервере. Подозрение что вирус схватили компьютеры в сети, а эти папки были подключены как сетевые диски.

 

2.rar Addition.txt FRST.txt

Изменено 24 ноября, 2021 пользователем jankas
добавил вложение

[thyrex]

С расшифровкой помочь не сможем.

[jankas]

сможете помочь в очистке системы от его следов? какие еще рекомендации чтоб через месяц опять не прилетело. Спасибо

[thyrex]

Цитата

Администратор (S-1-5-21-4013951740-3160013732-2958741134-500 - Administrator - Enabled)

а почему встроенный Администратор даже не отключен?

 

Пароль от RDP смените на более сложный. Потому как доступ к компьютеру с этим шифровальщиком получают после него. Шифровали Вас под учеткой USER-1.

 

Зачем Вам столько утилит удаленного доступа: AnyDesk, Radmin, TeamViewer?

 

MediaGet удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1866048529-1479512438-1126473740-1186\...\Run: [E30D09FC-CD77FA34hta] => D:\Users\USER-1\AppData\Local\Temp\4\how_to_decrypt.hta [1792 2021-11-23] () [Файл не подписан] <==== ВНИМАНИЕ
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Downloads\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Documents\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Desktop\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\LocalLow\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Local\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\Public\how_to_decrypt.hta
2021-11-23 18:55 - 2021-11-23 19:00 - 000000851 _____ D:\Users\USER-1\Desktop\ClearLock.ini[paybackformistake@qq.com].[E30D09FC-CD77FA34]
FirewallRules: [{286F190E-5265-470A-9637-EC9814752E8F}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
FirewallRules: [{9BE85269-4D7C-44C3-A81B-F30D1EC20629}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
   

[jankas]

11 часов назад, thyrex сказал:

а почему встроенный Администратор даже не отключен?

 

Пароль от RDP смените на более сложный. Потому как доступ к компьютеру с этим шифровальщиком получают после него. Шифровали Вас под учеткой USER-1.

 

Зачем Вам столько утилит удаленного доступа: AnyDesk, Radmin, TeamViewer?

 

MediaGet удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1866048529-1479512438-1126473740-1186\...\Run: [E30D09FC-CD77FA34hta] => D:\Users\USER-1\AppData\Local\Temp\4\how_to_decrypt.hta [1792 2021-11-23] () [Файл не подписан] <==== ВНИМАНИЕ
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Downloads\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Documents\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\Desktop\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Roaming\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\LocalLow\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\Local\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\USER-1\AppData\how_to_decrypt.hta
2021-11-23 19:00 - 2021-11-23 19:00 - 000001792 _____ D:\Users\Public\how_to_decrypt.hta
2021-11-23 18:55 - 2021-11-23 19:00 - 000000851 _____ D:\Users\USER-1\Desktop\ClearLock.ini[paybackformistake@qq.com].[E30D09FC-CD77FA34]
FirewallRules: [{286F190E-5265-470A-9637-EC9814752E8F}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
FirewallRules: [{9BE85269-4D7C-44C3-A81B-F30D1EC20629}] => (Allow) C:\Programs\LiteManager\ROMServer.exe => Нет файла
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
   

Достался недавно сервер по наследству.

сделал.

Fixlog.txt

[thyrex]

Больше помочь нечем

[jankas]

каким антивирусом или утилитами прогнать компьютеры в сети? куда делся сам вирус ?

[thyrex]

Он самоудаляется, как и большинство других шифровальщиков. Тем более, даже имея его, расшифровки не будет.

[jankas]

да на расшифровку я уже забил , просто чтоб следующий раз не вылез