Вирус [email protected] 1.3.1.0 [Trojan-Ransom.Win32.Cryakl.aop ]

**red-panda** · 07.01.2017, 02:04

Добрый день. Прошу помощи. Судя по всему подобрали пароль к удаленному столу и запустили вирус.В приложении файл пример и отчет скана

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.01.2017, 02:06

Уважаемый(ая) red-panda, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 07.01.2017, 10:15

http://virusinfo.info/pravila.html

**mike 1** · 07.01.2017, 12:11

C:\Users\fram\Desktop\tosenderbuild-0.exe

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**red-panda** · 07.01.2017, 12:16

карантин выслалТак же вот файл автологгера

**thyrex** · 08.01.2017, 11:28

Пароль от RDP меняйте.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2017-01-04 05:02 - 2017-01-04 05:02 - 00000390 _____ C:\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\Downloads\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\Documents\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\Desktop\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\Roaming\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\LocalLow\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\СВЕТЛАНА\AppData\Local\README.txt
2017-01-04 02:27 - 2017-01-04 02:27 - 00000390 _____ C:\Users\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\Downloads\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\Documents\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\Desktop\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\README.txt
2017-01-04 02:26 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2017-01-04 02:25 - 2017-01-04 02:26 - 00000390 _____ C:\Users\Администратор\AppData\Local\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\Public\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\Public\Downloads\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\Downloads\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\Documents\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\Desktop\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\Roaming\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\LocalLow\README.txt
2017-01-04 02:25 - 2017-01-04 02:25 - 00000390 _____ C:\Users\olga1c\AppData\Local\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\Downloads\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\Documents\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\Desktop\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\LocalLow\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\MSSQL$MICROSOFT##WID\AppData\Local\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\Downloads\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\Documents\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\Desktop\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\Roaming\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\LocalLow\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\fram\AppData\Local\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\Downloads\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\Documents\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\Desktop\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\Roaming\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\README.txt
2017-01-04 02:24 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\LocalLow\README.txt
2017-01-04 02:22 - 2017-01-04 02:24 - 00000390 _____ C:\Users\dima\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\Default User\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\LocalLow\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhmasha\AppData\Local\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\Downloads\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\Documents\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\Desktop\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\Roaming\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\README.txt
2017-01-04 02:22 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\LocalLow\README.txt
2017-01-04 02:19 - 2017-01-04 02:22 - 00000390 _____ C:\Users\buhgl\AppData\Local\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\Downloads\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\Documents\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\Desktop\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\Roaming\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\README.txt
2017-01-04 02:19 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:27 - 00000390 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:19 - 00000390 _____ C:\Users\buhdasha\AppData\Local\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\Downloads\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\Documents\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\Desktop\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\Roaming\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\Admin\AppData\Local\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\Downloads\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\Documents\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\Desktop\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5\AppData\Local\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
2017-01-04 02:18 - 2017-01-04 02:18 - 00000390 _____ C:\Users\.NET v4.5 Classic\AppData\Local\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\Users\Все пользователи\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\Users\Public\Documents\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\Users\Public\Desktop\README.txt
2017-01-04 01:45 - 2017-01-04 02:27 - 00000390 _____ C:\ProgramData\README.txt
2017-01-04 01:45 - 2017-01-04 01:45 - 00000390 _____ C:\Program Files (x86)\README.txt
2017-01-04 01:40 - 2017-01-04 01:40 - 00000390 _____ C:\Program Files\README.txt
2017-01-04 01:40 - 2017-01-04 01:40 - 00000390 _____ C:\Program Files\Common Files\README.txt
2017-01-04 01:37 - 2017-01-02 02:51 - 02244608 _____ C:\Users\fram\Desktop\tosenderbuild-0.exe

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
7. Перезагрузку компьютера выполните вручную.

**red-panda** · 08.01.2017, 13:25

Полученный файл

**thyrex** · 08.01.2017, 14:48

C расшифровкой помочь не сможем

**red-panda** · 08.01.2017, 15:21

ясно. печаль.
Подскажите хотя бы .. правильно ли я понял что проникли через RDP ?
И пароли я поменял всем в группе Администраторы и Удаленный доступ к рабочему столу.
Может где то еще? И может какие рекомендации на будущее ? (насчет бекапов все ясно)

**thyrex** · 08.01.2017, 15:56

Сообщение от red-panda

правильно ли я понял что проникли через RDP ?

Думаю да, в противном случае терзайте пользователей на предмет запуска вложения скачанного по ссылке из письма или из вложения к письму.

На всякий случай отправил образец файла в ТП антивируса. Вдруг повезет и расшифровка таки будет

**mike 1** · 08.01.2017, 16:50

Подскажите хотя бы .. правильно ли я понял что проникли через RDP ?

Именно так. Я думаю пользователь сам не станет запускать билдер шифровальщика с рабочего стола, в котором в ручном режиме еще нужно выбрать диски и папки для шифрования.

Может где то еще? И может какие рекомендации на будущее ?

Изучайте https://1cloud.ru/help/windows/windowssecurity

**red-panda** · 09.01.2017, 00:06

Сообщение от mike 1

Именно так. Я думаю пользователь сам не станет запускать билдер шифровальщика с рабочего стола, в котором в ручном режиме еще нужно выбрать диски и папки для шифрования.

Изучайте https://1cloud.ru/help/windows/windowssecurity

ого ))) не знал.. надо будет на каком нибудь попробовать запустить.. прям стало интересно)))
меня только терзает зачем делал еще нового пользователя.. почему не запустил от того под кем подключился

- - - - -Добавлено - - - - -

Сообщение от thyrex

На всякий случай отправил образец файла в ТП антивируса. Вдруг повезет и расшифровка таки будет

А как об этом потом узнать если такое случится?

**thyrex** · 09.01.2017, 00:18

Сообщение от red-panda

А как об этом потом узнать если такое случится?

Я напишу в теме

**mike 1** · 09.01.2017, 18:24

меня только терзает зачем делал еще нового пользователя.. почему не запустил от того под кем подключился

Скорее всего ваш дедик просто был выставлен на продажу, а его купил тот, кто зашифровал вам сервер.

**CyberHelper** · 09.01.2017, 18:34

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. \tosenderbuild-0.exe - Trojan-Ransom.Win32.Cryakl.aop

Вирус [email protected] 1.3.1.0 [Trojan-Ransom.Win32.Cryakl.aop ] (заявка № 207777)

Опции темы