Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Шифровальщик [savemydata@qq.com].harma

harma

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 15

#1 OFF   Evgen2454

Evgen2454

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 01 Июль 2019 - 18:06

Поймал шифровальщика [savemydata@qq.com].harma, Он отработал еще 22 июня.2019 Никто не спохватился пока не полезли в сетевой каталог т.к. 1С базы крутятся на SQL и они работали. Спохватились только во вторник 26 июня 2019. Сервер работает в штатном режиме но вот файлы на сетевом диске все зашифрованы. Читал соседние темы о том что расшифровщика нету. Подскажите а работа ведется над расшифровщиком может стоит подождать? И второй вопрос прошолся по серверу рекомендуемыми антивирусными программами ничего не нашлось помогите найти как говориться дыру из которой эта пакасть проникла на сервер и как ее заделать. Прикрепляю логи собранные по рекомендациям.  

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 01 Июль 2019 - 18:37

Подскажите а работа ведется над расшифровщиком может стоит подождать?

Все помощники в этом разделе не имеют никакого отношения к работе в компании, а потому подобной информацией не владеем.

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Evgen2454

Evgen2454

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 01 Июль 2019 - 19:27

Может всё-таки поможете с расшифровкой тогда?

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 01 Июль 2019 - 19:58

Увы, помочь не сможем.

SpyHunter 5 удалите через Установку программ.

омогите найти как говориться дыру из которой эта пакасть проникла на сервер

Судя по тому единственному зашифрованному файлу, который есть в логах, время было не рабочее, а значит был вход по RDP.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Evgen2454

Evgen2454

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 01 Июль 2019 - 20:31

Так это взлом пароля или по порту дыра есть? Как и с какой стороны закрыть проблему? Без рдп не обойдусь. Работа встанет. Как защитить?
  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 01 Июль 2019 - 21:13

И стандартный порт, и брут легкого пароля. Да и вообще это может быть доступ через недавно обнаруженную уязвимость протокола RDP.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Evgen2454

Evgen2454

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 01 Июль 2019 - 21:18

Что за уязвимость рдп. Можна поподробнее.
  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 459

Награды

           

Отправлено 01 Июль 2019 - 21:35

https://habr.com/ru/...ty/blog/451864/
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Гаргезул

Гаргезул

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 02 Июль 2019 - 11:35

Может кому-то поможет. Для расшифровки г0мики-вымогатели предлагают воспользоваться программой которая формирует некий файл с ключами (ссылка для скачивания https://www.sendspac...m/file/7xgmn5),затем просят предоставить им этот файл для формирования ключа расшифровки. Сейчас они используют e-mail: savemydataqqcom@gmail.com.

Главное ничего им не платить так как ответный файл они все равно не пришлют, а потребуют еще денег.

Прикрепленные файлы


  • 0

#10 OFF   Екатерина Ермалович

Екатерина Ермалович

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 02 Июль 2019 - 13:30

Добрый день. У меня такая же ситуация и такой же ящик. Я заплатила ему 800 долларов, а за ключ он попросил ещё 1000. У Вас точные данные, что он не присылает ключ?
Вам удалось расшифровать Файлы всё же?
  • 0

#11 OFF   Гаргезул

Гаргезул

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 02 Июль 2019 - 14:11

Добрый день. У меня такая же ситуация и такой же ящик. Я заплатила ему 800 долларов, а за ключ он попросил ещё 1000. У Вас точные данные, что он не присылает ключ?
Вам удалось расшифровать Файлы всё же?

 

Расшифровать файлы они сами не могут, так как прецедентов не было. Любая информация что кому-то за деньги расшифровали не подтвердилась. Больше не платите так как не выполняют то что пишут.


  • 0

#12 OFF   Екатерина Ермалович

Екатерина Ермалович

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 02 Июль 2019 - 14:24

Так а Вы здесь к Касперскому не обращались. Здесь написано на форуме, что решили этот вопрос, т.е. дошифровывают
Они мне дали ящик якобы последнего человека, которому всё сбросили. Мы ему написали -он ответил, но на просьбу сбросить ключ-не ответил ни слова. I


Виталий Позднев <v.a.pozdnev@gmail.com>
  • 0

#13 OFF   Evgen2454

Evgen2454

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 02 Июль 2019 - 14:27

Переписывался с одной конторой которая этим занимается вот была наша переписка. И к ней прикреплен расшифрованный файл который я высылал им.


Здравствуйте, Евгений.

К сожалению, мне самому не удалось подобрать код к Вашим файлам. Это сделал другой программист, с которым мы
работаем на контрактной основе. С кодом такого уровня сложности на настоящий момент могут справиться только
единицы, а услуги таких программистов весьма дороги.
Со своей стороны могу предложить Вам скидку 5%. Стоимость дешифратора не зависит от количества и типа файлов,
которые будут им впоследствии расшифрованы. Расшифруются все файлы, структура папок сохранится, могу сослаться на
рекомендации организаций из разных регионов России и СНГ.
Пример расшифрованного файла прилагаю.

С уважением,
Игорь.
Dr.SHIFRO
www.dr-shifro.ru
+7(916)788-8708 (Telegram,Viber,WhatsApp)

вт, 25 июн. 2019 г. в 13:12, Евгений К <evgen2454@gmail.com>:
180 тыщ очень дорого если учесть что зашифрованы только офисные файлы. Базы данных не затронуты. И если цену предложите разумную можем сработать удаленно т.к. мы находимся в красноярске.
Надеюсь на Ваше разумное предложение цены.

вт, 25 июн. 2019 г., 17:03 Dr Shifro <dshifro@gmail.com>:
Здравствуйте, Евгений

Стоимость дешифратора 180 000 руб. + выезд специалиста 5000 руб (Стоимость выезда указана для Московского региона)
Порядок работы таков:
1. Наш специалист подъезжает к Вам в офис или на дом, мы подписываем договор, в котором фиксируем стоимость работ.
2. Запускаем дешифратор и расшифровываем все файлы.
3. Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт сдачи/приемки выполненных работ.
4. Оплата исключительно по факту успешного результата дешифрации.
Также возможна удаленная работа с оплатой по договору.

Гарантируем расшифровку файлов всех форматов либо возврат денег.
Пример расшифрованного файла прилагаю.

Будьте осторожны!
Многие компании наряду с расшифровкой предлагают и более бюджетный вариант - восстановление.
При восстановлении файлы не расшифровываются, а восстанавливаются из теневых копий. В результате восстановится очень малая часть файлов (10-20%, а не 95%, как обещают) Файлы будут свалены в одну кучу и большая часть из них не будет открываться. Базы данных 1С после восстановления не заработают.
Операцию по восстановлению Вы можете проделать самостоятельно с помощью программ R-studio, Active File Recovery, Photorec, GetDataBack, ShadowExplorer.
Мы занимаемся исключительно расшифровкой файлов. После работы дешифратора каждый зашифрованный файл будет преобразован в исходный формат, файлам будут возвращены оригинальные имена, структура папок также сохранится.
Гарантируем расшифровку 100% файлов и работоспособность баз данных 1С.
Помните, что, выбирая вариант восстановления, Вы рискуете остаться и без файлов, и без денег.

С уважением,
Игорь.
DR.SHIFRO
сайт : www.dr-shifro.ru/
Тел. +7(916)788-8708 (Telegram,Viber,WhatsApp)
  • 0

#14 OFF   Гаргезул

Гаргезул

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 02 Июль 2019 - 14:35

Как Вы думаете, эти ур0ды не могут выдумать некого Виталия Позднева? Только когда будет ключ расшифровки только тогда можно утверждать.


Так а Вы здесь к Касперскому не обращались. Здесь написано на форуме, что решили этот вопрос, т.е. дошифровывают
Они мне дали ящик якобы последнего человека, которому всё сбросили. Мы ему написали -он ответил, но на просьбу сбросить ключ-не ответил ни слова. I

Виталий Позднев <v.a.pozdnev@gmail.com>

 

Могут так же ссылаться на

 

 

Виталий Позднев <v.a.pozdnev@gmail.com> Tech Support Tech Support <techsupport@bataviacomputer.com> Peterson Grayson <graysonpeter155@gmail.com>

 

Но это вымышленные персонажи.


Сообщение отредактировал Гаргезул: 02 Июль 2019 - 14:28

  • 0

#15 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 941

Отправлено 02 Июль 2019 - 14:40

Dr.SHIFRO - это посредники которые покупают дешифровщик, а после перепродают вам.


  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019






Темы с аналогичными тегами: harma

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных