Проверка компьютера после шифровки сервера Crylock 2.0.0.0

**winstonqq** · 25.08.2020, 12:42

Добрый день!
CryLock 2.0.0.0 шифронул сервер на прошлой неделе
Сейчас занимаемся новым сервером и параллельно собираем логи, чтобы обезопасить себя в будущем.
Предположительно, бахнули сервер через удаленку из того компа, где я собрал логи.
Поэтому очень интересно, что тут произошло и что еще осталось на компе, что, возможно, передает информацию дальше.
Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.08.2020, 12:43

Уважаемый(ая) winstonqq, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 25.08.2020, 19:17

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CorelDRAW Technical Suite 2018 (64-bit)\Corel Font Manager 2018 (64-Bit).lnk"     -> ["C:\Program Files\Corel\CorelDRAW Technical Suite 2018\Programs64\FontManager.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CorelDRAW Technical Suite 2018 (64-bit)\Corel CONNECT 2018 (64-Bit).lnk"          -> ["C:\Program Files\Corel\CorelDRAW Technical Suite 2018\Connect64\Connect.exe"]
>>>  "C:\Users\Bezpeka-Work\Documents\Corel\CorelDRAW 2018 Samples\target.lnk"   -> ["C:\Program Files\Corel\CorelDRAW Technical Suite 2018\Draw\Samples"]
>>>  "C:\Users\Bezpeka-Work\Documents\Corel\Corel DESIGNER 2018 Samples\target.lnk"        -> ["C:\Program Files\Corel\CorelDRAW Technical Suite 2018\Designer\Samples"]
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL"  ->                       hxxp://ovgorskiy.ru/

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10454__191224
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [SuggestionsURL,TopResultURL] = https://defaultsearch.co?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo
O4 - HKCU\..\Run: [Opera Browser Assistant] = C:\Users\Bezpeka-Work\AppData\Local\Programs\Opera\assistant\browser_assistant.exe  (file missing)

Это хозяйство ваше?

Код:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Han.lnk [backup] => C:\iaq\Han.exe (2019/12/11)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Visio.lnk [backup] => C:\iaq\ersanana-ong.exe -B -r 3 --donate-level=1 -o stratum+tcp://pool-pay.com:14469 -u 48tKKdl9ClKL2LH6Kr2t6eTk1ULJekk2kEofr2TrivxRwridfgljkjkhp3FGr7OKlLudjqoK1llWEjksss345K22Na3TTLJGFRTkKkuiitkjub.id13 -p x -t 1 (2019/12/11)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Visio_x64.lnk [backup] => C:\iaq\ec.exe -r 3 --url=stratum+tcp://hodl.suprnova.cc:4693 -u kkyuyerrtew.02_id13 -p x -t 1 (2019/12/11)

Если нет - тоже пофиксите и удалите C:\iaq со всем содержимым.

Деинсталлируйте Web Companion.
Java 8 обязательно обновите до текущего билда.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**winstonqq** · 26.08.2020, 17:37

Добрый день, Вадим, спасибо за помощь!
Сделал все, как сказали, отчет прикрепляю, а логи FRST64 после скана пустые.

- - - - -Добавлено - - - - -

вырубил антивирус,заново запустил frst

**Vvvyg** · 26.08.2020, 21:13

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Task: {1847ACB4-2606-4BE0-8F62-1FDE83C4FB84} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {F64C4B8A-0835-4F41-AE92-143CE495F4B9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
2020-08-20 14:52 - 2020-08-20 14:52 - 000005923 _____ C:\Users\Public\how_to_decrypt.hta
2020-08-20 14:52 - 2020-08-20 14:52 - 000005923 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-08-20 14:52 - 2020-08-20 14:52 - 000005923 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-08-20 14:52 - 2020-08-20 14:52 - 000005923 _____ C:\ProgramData\Documents\how_to_decrypt.hta
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-4284548885-2758606958-895277947-1000\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{1F7A6E98-6499-4C0C-8831-EDEE5BF6796D}] => (Block) c:\Program Files\Corel\CorelDRAW Technical Suite 2018\Programs64\CorelDrw.exe => No File
FirewallRules: [{4AEFA09D-4ED1-4708-B7A9-431140F0A12A}] => (Block) c:\Program Files\Corel\CorelDRAW Technical Suite 2018\Programs64\CorelPP.exe => No File
FirewallRules: [TCP Query User{5FCFCAD4-41F2-47B8-A614-8DE66536F980}C:\program files\java\jre1.8.0_231\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_231\bin\javaw.exe => No File
FirewallRules: [UDP Query User{6F2142AA-E003-498B-872C-D9FB42D1DF67}C:\program files\java\jre1.8.0_231\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_231\bin\javaw.exe => No File
FirewallRules: [{C04B8299-D37D-49B3-80E9-536517E5F987}] => (Allow) C:\Program Files\Java\jre1.8.0_231\bin\java.exe => No File
FirewallRules: [{95F263E4-693A-4C0A-9C29-654A2FA0334D}] => (Allow) C:\Program Files\Java\jre1.8.0_231\bin\java.exe => No File
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**winstonqq** · 27.08.2020, 11:27

есть

**Vvvyg** · 27.08.2020, 11:56

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
К тому же

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

Давно пора обновить систему полностью, уязвимости делают взлом более простым и менее затратным делом.

7-Zip 9.38 (x64 edition) v.9.38.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

Архиваторы тоже используются в нехороших целях: Критический баг в 7-Zip приводит к выполнению произвольного кода.

**winstonqq** · 27.08.2020, 12:05

Спасибо за уделенное время, Вадим!

**Vvvyg** · 27.08.2020, 13:07

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Проверка компьютера после шифровки сервера Crylock 2.0.0.0 (заявка № 225538)

Опции темы