Прошу помочь найти следы вследствии заражения CRYLOCK 2.0.0.

[sunic]

Добрый день, прошу помощи в поиске и удалении следов шифровальщика Crylock в 2.0.0.0
Отчет, сделанный autologger прикладываю
Так же прикладываю логи FRST64,
Заранее спасибо за помощь

[Info_bot]

Уважаемый(ая) sunic, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Folder: C:\Users\Администратор\WINDOWS
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполните скрипт в AVZ при наличии прямого доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

[sunic]

Логи прикрепляю

[Vvvyg]

Папка C:\Users\Администратор\WINDOWS не ваша, скорее всего, удалите.

Следов от шифровальщика нет, скорее всего, сбрутили по RDP, зашифровали и подчистили.

Надо обезопасить сервер от повторных взломов.
1 Сменить всем, у кого есть права входа по RDP, пароли, установите сложные.
2. Убрать права администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны. Не
будет возможности при проникновении с правами обычного пользователя удалить теневые копии.
3 Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
нетипичным, лучше не словарным (типа Natasha, Kirill) именем и сложными паролями.
4. Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения.
5. По возможности ограничить н файрволе/маршрутизаторе сети, из которых возможно подключение по RDP.
6. Обновить систему, если этого ещё не сделали, её уязвимости делают взлом более простым и затратным делом. EternalBlue (CVE-2017-0144), Buekeep (CVE-2019-070 - если эти дыры не закрыты - устанавливать соответствующие патчи. Утилита SecurityCheck by glax24 & Severnyj даёт список уязвимостей для несерверных систем, можете использовать самостоятельно. Определить наличие непропатченных от этих дыр компьютеров можно и по сети, с помощью утилит:
ETERNAL BLUES
rdpscan for CVE-2019-0708 bluekeep vuln

7. Задуматься о внедрении NLA и/или использования какого-либо варианта подключения по VPN. Просто терминальный доступ, даже по нестандартному порту крайне не рекомендуется использовать, если не взломают то заблокируют доступ легитимным пользователям.

[sunic]

Спасибо за рекомендации, некоторые из них уже применил
Подскажите, сегодня решил повторить сканирование MBAM и обнаружил наличие следующего ключа в реестре
Можно ли провести еще раз анализ с вашей стороны, так есть подозрение, что это запись ломанного пользователя, который на данный момент отключен, и тем самым что то при сканировании в предыдущий раз было пропущено

[Vvvyg]

Лог MBAM в текстовом виде выложите.

[sunic]

Прикладываю MBAM последнего сканирования

[Vvvyg]

Удалите (в карантин) только это:

Код:

Generic.Malware/Suspicious, HKU\S-1-5-21-521297191-1106439868-97081050-1044\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Desktop_Locker_456, Проигнорировано пользователем, [0], [392686],1.0.17856
Generic.Malware/Suspicious, C:\USERS\AUDITOR\MUSIC\DESKTOP_LOCKER.EXE, Проигнорировано пользователем, [0], [392686],1.0.17856
RiskWare.Tool.CK, C:\$RECYCLE.BIN\S-1-5-21-521297191-1106439868-97081050-500\$RUSGVPH.EXE, Проигнорировано пользователем, [7323], [25605],1.0.17856
Trojan.MalPack, C:\$RECYCLE.BIN\S-1-5-21-521297191-1106439868-97081050-500\$RYGK0FA.EXE, Проигнорировано пользователем, [622], [557109],1.0.17856
RiskWare.Tool.CK, C:\$RECYCLE.BIN\S-1-5-21-521297191-1106439868-97081050-500\$RV7W8T0.EXE, Проигнорировано пользователем, [7323], [25605],1.0.17856
Adware.OxyPumper, C:\USERS\Администратор\APPDATA\ROAMING\SYSHOST2\SIHOST.EXE, Проигнорировано пользователем, [4208], [834063],1.0.17856
Adware.InstallCore, C:\USERS\Катя\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000083, Проигнорировано пользователем, [507], [676036],1.0.17856
PUP.Optional.Softomate, C:\USERS\Катя\APPDATA\LOCAL\TEMP\IP\INSTALLPACK.EXE, Проигнорировано пользователем, [681], [634167],1.0.17856
Generic.Malware/Suspicious, C:\$RECYCLE.BIN\S-1-5-21-521297191-1106439868-97081050-500\$RLL576U.EXE, Проигнорировано пользователем, [0], [392686],1.0.17856
Generic.Malware/Suspicious, C:\$RECYCLE.BIN\S-1-5-21-521297191-1106439868-97081050-500\$RYIQ6T1.EXE, Проигнорировано пользователем, [0], [392686],1.0.17856

Остальное - ваш варез.