Решена без расшифровки Зашифровали сервер через RPD [honestandhope@qq.com]

[zudila]

Зашифровали сервер через RPD. в окне вымогателя пишет ID [EBB36411-EFBCAB46] e-mail: honestandhope@qq.com.Просят за расшифровку 3000$ логи во вложении, файлы шифровальщика, вроде бы, все выдернул и закинул в архив 1(ru,sng)1.zip в другом архиве зашифрованные файлы. Система пока не планируется к переустановке

 

[akok]

Какой пароль на архив?

Это Cryakl 2.0.0.0, расшифровки для нет нет. И шифровальщик не единственная проблема, у вас майнер активно работает, он же блокирует работу антивирусного ПО. +

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

После подготовьте логи при помощи этой утилиты

https://safezone.cc/resources/autologger-regist-drongo.59/

 

[zudila]

архивировал удаленно, язык не сменился, когда задавал пароль. в итоге пароль мшкгы (virus на русской раскладке)

 

[zudila]

есть ли смысл платить злоумышленникам? или никто не даст гарантии, что получив деньги они расшифруют?

 

[zudila]

Собрал логи обеими утилитами. Результат прикладываю

 

[akok]

есть ли смысл платить злоумышленникам? или никто не даст гарантии, что получив деньги они расшифруют?

Никто не даст гарантий.

И не цитируйте большие объемы текста, сбивает.

 

[akok]

AVZ запущен из терминальной сессии (RDP-Tcp#0)

Нужно собрать логи через консоль или TeamViewer. AVZ не совсем корректно работает через терминальную сессию.

 

[zudila]

Выполнил по-новой

 

[akok]

RDP Wrapper - сами устанавливали?
На системе работал "вор паролей" нужно менять все пароли накатывать все патчи безопасности. ++ скрыть RDP за VPN. Эта машина работала как сервер или ее зашифровали по внутренней сети?


!!! перед выполнением скрипта погасите активности на БД, перезагрузка будет "на жесткую" с принудительным завершением всех процессов.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\install\cheat.exe', '');
 QuarantineFile('C:\ProgramData\install\sys.exe', '');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('c:\programdata\rundll\system.exe', '');
 QuarantineFile('c:\programdata\windows\rfusclient.exe', '');
 QuarantineFile('c:\programdata\windows\rutserv.exe', '');
 QuarantineFile('c:\programdata\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\winlogon.exe', '');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('f:\av_block_remover\taskhostw.exe', '');
 QuarantineFileF('C:\ProgramData\install\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\rundll', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\install\cheat.exe', '32');
 DeleteFile('C:\ProgramData\install\sys.exe', '32');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '32');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('c:\programdata\rundll\system.exe', '32');
 DeleteFile('c:\programdata\rundll\system.exe', '64');
 DeleteFile('c:\programdata\windows\rfusclient.exe', '32');
 DeleteFile('c:\programdata\windows\rutserv.exe', '32');
 DeleteFile('c:\programdata\windows\rutserv.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\winlogon.exe', '32');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFileMask('C:\ProgramData\install\', '*.*', true);
 DeleteFileMask('C:\ProgramData\rundll', '*.*', true);
 DeleteFileMask('c:\programdata\windows', '*.*', true);
 DeleteFileMask('C:\ProgramData\windowstask', '*.*', true);
 DeleteDirectory('C:\ProgramData\install\');
 DeleteDirectory('C:\ProgramData\rundll');
 DeleteDirectory('c:\programdata\windows');
 DeleteDirectory('C:\ProgramData\windowstask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
 ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O1 - Hosts: Reset contents to default
O21 - HKLM\..\ShellIconOverlayIdentifiers\GDriveSharedOverlay: (no name) - {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} - (no file)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[zudila]

RDP Wrapper не ставил, система досталась "как есть". Возможности "обнулить" систему так же не было ввиду работы 24\7. Машина работала как сервер, шифровали, скорее всего, извне. Скрипты сейчас сделаю и приложу

 

[zudila]

Скрипты выполнил. Через форму отправил. Проверку прикладываю

 

[akok]

Тогда взломали через RDP (уязвимость, кража или подбор пароля.. на выбор). Подготовьте свежие логи FRST проверим не осталось ли хвостов.

 

[zudila]

Выполнил по новой

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  2021-08-15 19:30 - 2021-08-15 20:10 - 000000000 ____D C:\ProgramData\RealtekHD
  2021-08-15 11:19 - 2021-08-15 11:19 - 000006035 _____ C:\how_to_decrypt.hta
  2021-08-15 11:12 - 2021-08-15 11:12 - 000006035 _____ C:\Users\Public\how_to_decrypt.hta
  2021-08-15 11:12 - 2021-08-15 11:12 - 000006035 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 ___SH C:\Users\john\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\Downloads\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\Documents\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\Desktop\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\Roaming\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\LocalLow\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\Local\how_to_decrypt.hta
  2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\how_to_decrypt.hta
  2021-08-15 11:07 - 2021-08-15 11:07 - 000006035 _____ C:\Users\admin\how_to_decrypt.hta
  2021-08-15 11:07 - 2021-08-15 11:07 - 000006035 _____ C:\Users\admin\Downloads\how_to_decrypt.hta
  2021-08-15 11:07 - 2021-08-15 11:07 - 000006035 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-08-15 11:06 - 2021-08-15 11:06 - 000006035 _____ C:\Users\admin\Documents\how_to_decrypt.hta
  2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
  2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
  2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ C:\Users\admin\AppData\how_to_decrypt.hta
  2021-08-15 11:03 - 2021-08-15 11:03 - 000006035 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
  2021-08-15 11:00 - 2021-08-15 11:00 - 000006035 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2021-08-15 11:00 - 2021-08-15 11:00 - 000006035 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-08-15 10:56 - 2021-08-15 10:56 - 000006035 _____ C:\Users\how_to_decrypt.hta
  2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\kz.exe
  2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\lsass.exe
  2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\lsass2.exe
  2021-08-15 19:30 - 2021-08-15 19:30 - 000000000 ___SH () C:\ProgramData\olly.exe
  2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\script.exe
  2015-05-23 22:01 - 2015-10-11 21:27 - 000000119 _____ () C:\ProgramData\sp_OAMethod.dll
  2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ () C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
  2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ () C:\Users\admin\AppData\Roaming\Microsoft\how_to_decrypt.hta
  2021-08-15 11:03 - 2021-08-15 11:03 - 000006035 _____ () C:\Users\admin\AppData\Local\how_to_decrypt.hta
  FCheck: C:\Windows\boy.exe [2021-08-11] <==== ВНИМАНИЕ (Доступ не разрешён)
  FirewallRules: [{D3FDDF8E-9F5E-4D27-BE90-C2341E76D225}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{E6268F49-D3D1-40A5-913E-C85094431280}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
  FirewallRules: [{CE1C0CD3-5D2F-4F78-BCDB-257419C23FF0}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
  FirewallRules: [{0F733A5B-46CD-48F4-A648-16D0E2843B4D}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{9102D862-7E4F-40F4-B579-10B15CADF59A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{CEA807B6-D508-4C6A-830D-9E3874F4A979}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
  FirewallRules: [{D9C0C8B3-6513-4413-969A-4555FFA63BF8}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
  FirewallRules: [{CCF9B572-F2D9-42A1-AF00-5B224B617AA4}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
  FirewallRules: [{B4819D25-AFFA-409F-9489-018B4C06C9C0}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
  FirewallRules: [{5A9656A1-D1F3-4EAE-948C-F4DC99ED83F9}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
  FirewallRules: [{8DD0B6C8-E20E-498E-B3F2-CC4788405604}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{98DF02E8-795A-4451-A4EB-AA6E59E6FE3B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
  FirewallRules: [{3F6EC1F1-B18D-4A4A-9200-9447469275FC}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{78EB6E3A-0D2B-4665-BC2A-D2E9064F0BC6}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{1C036739-7E44-4B8E-86F4-E664E29E6FE2}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
  FirewallRules: [{A2F06A5F-3ED8-4307-9DCA-6001997F1D55}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{EFCE8758-A910-421E-917D-B7E4AD704BB7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{4CCB2E30-6C1C-469D-B062-D4B8989F422F}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
  FirewallRules: [{84F00FDA-A79A-4AA4-925A-682D83FF0E26}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
  FirewallRules: [{A1EC861C-EFE1-4B4F-A002-C814536FD000}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
  FirewallRules: [{81C4A888-961C-487D-A9E8-9828ADBC011F}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
  FirewallRules: [{D1851B38-3F30-4B29-824F-58BDBE696939}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
  2021-08-11 00:36 C:\Program Files (x86)\Zaxar
  2021-08-11 00:36 C:\Windows\boy.exe
  EmptyTemp:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную

Подробнее читайте в этом руководстве.

 

[akok]

+++

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[zudila]

Прикладываю fixlog и лог adwcleaner

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

 

[zudila]

лог securitychek

 

[akok]

Исправьте найденные уязвимости, по возможности
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18059 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Office Access 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Excel 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Outlook 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office PowerPoint 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Visio Профессиональный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Word 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Visio Professional 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.3.17 gost v.2.3.17 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9.2 - Russian v.9.2.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 81.0.1 (x64 ru) v.81.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Ну и жду лог AdwCleaner

 

[zudila]

Лог adwclear был выше. Или уже после устранения уязвимостей?