Заражен honestandhope

**delph1n** · 27.08.2021, 10:53

Добрый день!
Заразились некоторые машины в домене без антивируса. В результате зашифрована существенная часть файлового сервера. KES вроде бы обезвредил угрозу. Но хорошо бы убедиться наверняка. Систему на файловом сервере пока не переустанавливали, возможно будем позже.
Ну и возможность расшифровки тоже, конечно, интересует.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.08.2021, 10:56

Уважаемый(ая) delph1n, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

SQ · 29.08.2021, 01:56

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 StopService('Networks');
 TerminateProcessByName('C:\WINDOWS\Debug\nat\svchost.exe');
 QuarantineFile('C:\WINDOWS\Debug\nat\svchost.exe', '');
 QuarantineFileF('C:\WINDOWS\Debug\nat', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\WINDOWS\Debug\nat\svchost.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
 DeleteService('Networks');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**delph1n** · 29.08.2021, 23:09

Сообщение от SQ

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 StopService('Networks');
 TerminateProcessByName('C:\WINDOWS\Debug\nat\svchost.exe');
 QuarantineFile('C:\WINDOWS\Debug\nat\svchost.exe', '');
 QuarantineFileF('C:\WINDOWS\Debug\nat', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\WINDOWS\Debug\nat\svchost.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
 DeleteService('Networks');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Благодарю. Почему-то пишет, что данный файл уже загружен.

**thyrex** · 29.08.2021, 23:57

Новые логи Autologger сделайте

**delph1n** · 30.08.2021, 00:21

Сделал.

SQ · 31.08.2021, 01:06

Сообщение от delph1n

Благодарю. Почему-то пишет, что данный файл уже загружен.

Проверьте пожалуйста возможно карантин пустой или имеет нулевой размер.

**delph1n** · 31.08.2021, 10:54

Загрузил, кажется.

- - - - -Добавлено - - - - -

Вот

- - - - -Добавлено - - - - -

Сообщение от SQ

Проверьте пожалуйста возможно карантин пустой или имеет нулевой размер.

Файл пустой, да.

SQ · 01.09.2021, 03:17

Касаемо разшифровки это скорее всего CryLock 2.0.0.0 и расшифровки нет.

Если хотите продолжить чистку то, выполните следующие инструкции:
- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**delph1n** · 01.09.2021, 14:52

Спасибо, сделал.

SQ · 05.09.2021, 06:00

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
Folder: C:\Windows\system32\RsFx
Folder: C:\Windows\SysWOW64\BestPractices
Folder: C:\WINDOWS\Debug
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

В логах больше ничего вредоносное не замечено, только хотелось проверить содержание 3-х папок.

Я заменил, что на вашем файрволе открыт доступ к базе-данных MySQL Server 8.0, убедитесь, чтобы он не был взломан и проверьте если необходимо установить все обновления.

Код:

FirewallRules: [{019191DC-73B8-4ED0-9777-9D131E6C8F3A}] => (Allow) LPort=3306
FirewallRules: [{75E287EC-729E-4AA9-B1A0-30F334498F92}] => (Allow) LPort=33060
FirewallRules: [{425BC18F-C4DB-40A8-92A1-398CA3D02AB8}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )
FirewallRules: [{7972FFEE-1556-41BE-B0D4-FB23CB32EE15}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )
FirewallRules: [{DB64919F-5B18-4CA7-B79C-7C48059DDFA6}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )
FirewallRules: [{E9D7DDC6-6983-44BF-ADF3-38E2B2659E89}] => (Allow) C:\Program Files (x86)\Castle\server\mysqld\bin\mysqld.exe (MariaDB Corporation Ab -> )

- - - - -Добавлено - - - - -

Следующие файлы (угроз злоумышленников) сохраните куда-нибудь, возможно если какая-та антивирусная компания выпустит дещифровшик, то в некоторых случаях они могут понадобится:

Код:

2021-08-22 19:58 - 2021-08-22 19:58 - 000006035 _____ C:\Users\Public\how_to_decrypt.hta
2021-08-22 19:58 - 2021-08-22 19:58 - 000006035 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-08-22 19:58 - 2021-08-22 19:58 - 000006035 _____ C:\Users\Public\Documents\how_to_decrypt.hta

**thyrex** · 05.09.2021, 08:48

Файлы how_to_decrypt.hta не нужны при расшифровке CryLock. Их можно смело удалять.

**delph1n** · 29.09.2021, 14:41

Сообщение от SQ

В логах больше ничего вредоносное не замечено, только хотелось проверить содержание 3-х папок.

Добрый день!

Только вчера удалось запустить проверку.

SQ · 30.09.2021, 02:07

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CMD: type C:\WINDOWS\Debug\nat\config.json
C:\WINDOWS\Debug\nat
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).

**delph1n** · 30.09.2021, 10:30

Сделал.

SQ · 30.09.2021, 12:48

На этом все. К сожалению как было указано ранее с расшифровкой не поможем.

**delph1n** · 30.09.2021, 13:33

Благодарю за помощь!

SQ · 01.10.2021, 04:33

В завершение проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**delph1n** · 01.10.2021, 12:42

Уязвимости не обнаружены, отлично!

SQ · 02.10.2021, 00:59

Утилиты лечения можно просто удалить. На этом всё!

Заражен honestandhope (заявка № 227114)

Опции темы