Вирус tendercrisp_sandwich@aol.com.ver-CL 1.3.1.0 [Trojan-Ransom.Win32.Cryakl.aop ]

Вложений: 3

Вирус [email protected] 1.3.1.0 [Trojan-Ransom.Win32.Cryakl.aop ]

Добрый день. Прошу помощи. Судя по всему подобрали пароль к удаленному столу и запустили вирус.В приложении файл пример и отчет скана

Уважаемый(ая) [B]red-panda[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

[QUOTE]C:\Users\fram\Desktop\tosenderbuild-0.exe[/QUOTE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Вложений: 1

карантин выслалТак же вот файл автологгера

Пароль от RDP меняйте.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
2017-01-04 05:02 - 2017-01-04 05:02 - 00000390 _____ C:\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\Downloads\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\Documents\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\Desktop\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\Roaming\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\LocalLow\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\Local\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\Downloads\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\Documents\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\Desktop\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2017-01-04 02:25 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\Local\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\Public\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\Public\Downloads\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\Downloads\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\Documents\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\Desktop\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\Roaming\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\LocalLow\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\Local\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\Downloads\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\Documents\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\Desktop\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\Roaming\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\LocalLow\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\Local\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\Downloads\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\Documents\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\Desktop\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\Roaming\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\LocalLow\README.txt
2017-01-04 02:22 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\LocalLow\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\LocalLow\README.txt
2017-01-04 02:19 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\Local\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\Downloads\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\Documents\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\Desktop\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\Roaming\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:27 - 00000390 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\Local\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\Downloads\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\Documents\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\Desktop\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\Roaming\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\Local\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\Downloads\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\Documents\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\Desktop\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\Local\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\Local\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\Users\Все пользователи\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\Users\Public\Documents\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\Users\Public\Desktop\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\ProgramData\README.txt
2017-01-04 01:45 - 2017-01-04 01:45 - 00000390 _____ C:\Program Files (x86)\README.txt
2017-01-04 01:40 - 2017-01-04 01:40 - 00000390 _____ C:\Program Files\README.txt
2017-01-04 01:40 - 2017-01-04 01:40 - 00000390 _____ C:\Program Files\Common Files\README.txt
2017-01-04 01:37 - 2017-01-02 02:51 - 02244608 _____ C:\Users\fram\Desktop\tosenderbuild-0.exe
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
7. [b]Перезагрузку компьютера[/b] выполните вручную.

Вложений: 1

Полученный файл

Полученный файл

C расшифровкой помочь не сможем

ясно. печаль.
Подскажите хотя бы .. правильно ли я понял что проникли через RDP ?
И пароли я поменял всем в группе Администраторы и Удаленный доступ к рабочему столу.
Может где то еще? И может какие рекомендации на будущее ? (насчет бекапов все ясно)

[quote="red-panda;1425028"]правильно ли я понял что проникли через RDP ?[/quote]Думаю да, в противном случае терзайте пользователей на предмет запуска вложения скачанного по ссылке из письма или из вложения к письму.

На всякий случай отправил образец файла в ТП антивируса. Вдруг повезет и расшифровка таки будет :)

[QUOTE]Подскажите хотя бы .. правильно ли я понял что проникли через RDP ?
[/QUOTE]
Именно так. Я думаю пользователь сам не станет запускать билдер шифровальщика с рабочего стола, в котором в ручном режиме еще нужно выбрать диски и папки для шифрования. ;)

[QUOTE]Может где то еще? И может какие рекомендации на будущее ?[/QUOTE]
Изучайте [url]https://1cloud.ru/help/windows/windowssecurity[/url]

[QUOTE=mike 1;1425066]Именно так. Я думаю пользователь сам не станет запускать билдер шифровальщика с рабочего стола, в котором в ручном режиме еще нужно выбрать диски и папки для шифрования. ;)

Изучайте [url]https://1cloud.ru/help/windows/windowssecurity[/url][/QUOTE]

ого ))) не знал.. надо будет на каком нибудь попробовать запустить.. прям стало интересно)))
меня только терзает зачем делал еще нового пользователя.. почему не запустил от того под кем подключился :O

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=thyrex;1425044]
На всякий случай отправил образец файла в ТП антивируса. Вдруг повезет и расшифровка таки будет :)[/QUOTE]

А как об этом потом узнать если такое случится?

[quote="red-panda;1425174"]А как об этом потом узнать если такое случится?[/quote]Я напишу в теме

[QUOTE]меня только терзает зачем делал еще нового пользователя.. почему не запустил от того под кем подключился [/QUOTE]
Скорее всего ваш дедик просто был выставлен на продажу, а его купил тот, кто зашифровал вам сервер.

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \tosenderbuild-0.exe - [B]Trojan-Ransom.Win32.Cryakl.aop[/B][/LIST][/LIST]