Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Вирус шифровальщик [savemydata@qq.com].harma

Rudolph
 Поделиться

Рекомендуемые сообщения

Rudolph

Rudolph

Опубликовано
Опубликовано

Добрый день! Помогите расшифровать файлы с таким расширением .id-96A6B97A.[savemydata@qq.com].harma. Не успели нам все зашифровать, случайно человек под своим пользователем вошел на сервер и сделал скриншоты, может помогут. Они даже не успели условия оставить, написал им на почту, пишут следующее: 

 

 

All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!

1.  Price for decryption.
The price for decryption is 3000 $. We receive payment only in BITCOINS. (Bitcoin it is first cryptocurrency)

2.  Attention!
Do not rename encrypted files. 
Do not try to decrypt your files using third party software, it may cause permanent data loss. 
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 

3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.

4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM". As we receive the money we will send you:
1.     Decryption program.
2.     Detailed instruction for decryption. 
3.     And individual keys for decrypting your files.

5.  The process of buying bitcoins:
The easiest way to buy bitcoins: https://localbitcoins.com/
                                 https://bitbay.net   https://www.bitquick.co/   
                                 https://www.xmlgold.eu/  
                                 https://coinmama.com/  
                                 https://cex.io/  
IMPORTANT! Don`t use coinbase! it take more than 2 week to make coinbase verification. P.S. The easiest way to buy bitcoins in CHINA: https://www.huobi.com/  https://www.bitoex.com/

 

post-54685-0-34680900-1561978244_thumb.jpeg

post-54685-0-09137200-1561978255_thumb.jpeg

post-54685-0-03077500-1561978262_thumb.jpeg

post-54685-0-19172300-1561978268_thumb.jpeg

post-54685-0-55064900-1561978273_thumb.jpeg

Sandor

Sandor

Опубликовано
Опубликовано

Я ведь вам писал в соседней теме: Порядок оформления запроса о помощи

 

Расшифровки этой версии нет. Если нужна помощь в очистке от вредоноса и его следов, соберите и прикрепите нужные логи.

Rudolph

Rudolph

Опубликовано
  • Автор
Опубликовано

Я ведь вам писал в соседней теме: Порядок оформления запроса о помощи

 

Расшифровки этой версии нет. Если нужна помощь в очистке от вредоноса и его следов, соберите и прикрепите нужные логи.

 

Прикрепляю логи

Еще раз прикрепляю.

CollectionLog-2019.06.30-19.00.zip

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

zaovs

zaovs

Опубликовано
Опубликовано

Добрый день! Такая же проблема, но есть exe самого шифровальщика, это не как не поможет в расшифровке?

thyrex

thyrex

Опубликовано
Опубликовано
@zaovs, не поможет. Не стоит писать в чужой теме.
Rudolph

Rudolph

Опубликовано
  • Автор
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Здравствуйте! Файлы прикрепил. Хочу добить его окончательно)

FRST.txt

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Task: {5F0E7F89-FC38-464E-8655-6038171CFF89} - System32\Tasks\AdobeUpdate => C:\Users\Andrey\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Rudolph

Rudolph

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Task: {5F0E7F89-FC38-464E-8655-6038171CFF89} - System32\Tasks\AdobeUpdate => C:\Users\Andrey\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Прикрепляю лог.

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

На этом с очисткой всё.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

Изменено пользователем Sandor
Rudolph

Rudolph

Опубликовано
  • Автор
Опубликовано

На этом с очисткой всё.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

 

Спасибо большое! Где будет информация если выйдет расшифровщик для зашифрованных файлов?

На этом с очисткой всё.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Читайте Рекомендации после удаления вредоносного ПО

 

Скрипт в AVZ ответил что уязвимостей не обнаружено. Он проник через RDP, у юзера одного пароль стоял 111)) Забыли про этого юзера, сейчас выставил настройку чтобы только сложные пароли были.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Не хочу огорчать, но в ближайшее время не рассчитывайте.

Следите за нашим форумом, или на сайтах

https://noransom.kaspersky.com/ru/

https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

Изменено пользователем Sandor
Rudolph

Rudolph

Опубликовано
  • Автор
Опубликовано

Не хочу огорчать, но в ближайшее время не рассчитывайте.

Следите за нашим форумом, или на сайтах

https://noransom.kaspersky.com/ru/

https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

Может еще подскажете или скрипт есть, чтобы быстро пройтись и все файлы зашифрованный им удалить?

Sandor

Sandor

Опубликовано
Опубликовано

Обычным поиском по адресу вымогателя пробуйте.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ArtemEvans
      Медленно работает ПК, есть подозрения на скрытые угрозы
      Автор ArtemEvans
      Здравствуйте, не скажу что очень давно обновлял систему через центр обновлений, компьютер стал зависать, работаю удаленно, как-то на смене он у меня стал выключаться, возможно от перегрева, пришлось его на время сменить, а этот отдать малому. Почистил его от пыли, термопасту, радиатор посмотрел, все вычистил, но проблема осталась, менял БП, толку мало, немного нагревается, в момент сильных нагрузок может вырубиться, раньше такого даже после покупки такого не было,стоит дать нагрузку и все тухнет, а для удаленной работы этот жесткий триггер, в момент нагрева, выключается, включить сможешь только через 10 минут пока немного остынет.
       
      Я уже все протестировал, я не знаю куда копать, начнет нагреваться, неожиданно вырубится и конец рабочей смене (мои тех.неполадки с данным ПК.)
      Может систему на полегче поставить, 10 домашняя для одного язык, для работы как раз нужна десятка, раньше работал, души не чаял, сейчас какие-то проблемы постоянно, то браузер долго открывается, долгий отклик, если нагревается начинает троить. я уже не знаю, может драйвера обновить или систему переустановить, БП менял, все чистил, но проблема осталась.
       
      Подскажите, пожалуйста, что можно сделать с моим ПК?
      ПК: Acer Aspire C27-962 Series, помогите пожалуйста!
       
      Прикрепляю логи:
       
      CollectionLog-2025.10.14-15.09.zip
    • Екатерина28
      Помогите удалить вирус
      Автор Екатерина28
      Здравствуйте. Пожалуйста, помогите удалить вирус с ПК. Сегодня искала одну книгу и при заходе на сайт Флибуста (я так понимаю, что это был фейковый сайт-клон), копм сразу же выбросило в синий экран. После перезагрузки в строке поиска Яндекса появилась буква S, нажав на которую, появляется всплывающее окно с надписью анонимной регистрации. Хотелось бы избавиться от этой ерунды.
      Посмотрела код ошибки синего экрана, вот что указано: Компьютер был перезагружен после критической ошибки.  Код ошибки: 0x0000003b (0x00000000c0000005, 0xfffff8016aa1f855, 0xffff9a80fbd76730, 0x0000000000000000). 
      Дамп памяти сохранен в: C:\Windows\Minidump\101225-9703-01.dmp. Код отчета: 6b31ec03-663f-41c6-aaae-fe346c61c230.
       

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • m1ghtybtw
      не работает интернет из-за вируса
      Автор m1ghtybtw
      Приветствую, сегодня с момента включения пк не работает интернет, в дом.ру сказали, что проблема со стороны моего пк, запустил dr.web cureit и выдал вирус, после в планировщике задач нашёл этот файл в папке utorrent, на пк у меня qbittorrent, найти я папку с вирусным файлом не смог, в ласт активити идно, что этот вирус запустился сразу после включения пк.
       
      CollectionLog-2025.10.11-20.01.zip
    • serenka103
      [РЕШЕНО] Переименовались службы из за вирусов!
      Автор serenka103
      Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?
      CollectionLog-2025.10.10-12.31.zip
    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
×
×
  • Создать...