Перейти к содержанию

[РЕШЕНО] Шифровальщик [savemydata@qq.com].harma


Рекомендуемые сообщения

Поймал шифровальщика [savemydata@qq.com].harma, Он отработал еще 22 июня.2019 Никто не спохватился пока не полезли в сетевой каталог т.к. 1С базы крутятся на SQL и они работали. Спохватились только во вторник 26 июня 2019. Сервер работает в штатном режиме но вот файлы на сетевом диске все зашифрованы. Читал соседние темы о том что расшифровщика нету. Подскажите а работа ведется над расшифровщиком может стоит подождать? И второй вопрос прошолся по серверу рекомендуемыми антивирусными программами ничего не нашлось помогите найти как говориться дыру из которой эта пакасть проникла на сервер и как ее заделать. Прикрепляю логи собранные по рекомендациям.  

CollectionLog-2019.07.01-21.42.zip

Ссылка на комментарий
Поделиться на другие сайты

Подскажите а работа ведется над расшифровщиком может стоит подождать?

Все помощники в этом разделе не имеют никакого отношения к работе в компании, а потому подобной информацией не владеем.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Увы, помочь не сможем.

 

SpyHunter 5 удалите через Установку программ.

 

омогите найти как говориться дыру из которой эта пакасть проникла на сервер

Судя по тому единственному зашифрованному файлу, который есть в логах, время было не рабочее, а значит был вход по RDP.
Ссылка на комментарий
Поделиться на другие сайты

Так это взлом пароля или по порту дыра есть? Как и с какой стороны закрыть проблему? Без рдп не обойдусь. Работа встанет. Как защитить?

Ссылка на комментарий
Поделиться на другие сайты

И стандартный порт, и брут легкого пароля. Да и вообще это может быть доступ через недавно обнаруженную уязвимость протокола RDP.

Ссылка на комментарий
Поделиться на другие сайты

Может кому-то поможет. Для расшифровки г0мики-вымогатели предлагают воспользоваться программой которая формирует некий файл с ключами (ссылка для скачивания https://www.sendspace.com/file/7xgmn5),затем просят предоставить им этот файл для формирования ключа расшифровки. Сейчас они используют e-mail: savemydataqqcom@gmail.com.

Главное ничего им не платить так как ответный файл они все равно не пришлют, а потребуют еще денег.

post-54691-0-78563900-1562056386_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Добрый день. У меня такая же ситуация и такой же ящик. Я заплатила ему 800 долларов, а за ключ он попросил ещё 1000. У Вас точные данные, что он не присылает ключ?

Вам удалось расшифровать Файлы всё же?

Ссылка на комментарий
Поделиться на другие сайты

Добрый день. У меня такая же ситуация и такой же ящик. Я заплатила ему 800 долларов, а за ключ он попросил ещё 1000. У Вас точные данные, что он не присылает ключ?

Вам удалось расшифровать Файлы всё же?

 

Расшифровать файлы они сами не могут, так как прецедентов не было. Любая информация что кому-то за деньги расшифровали не подтвердилась. Больше не платите так как не выполняют то что пишут.

Ссылка на комментарий
Поделиться на другие сайты

Так а Вы здесь к Касперскому не обращались. Здесь написано на форуме, что решили этот вопрос, т.е. дошифровывают

Они мне дали ящик якобы последнего человека, которому всё сбросили. Мы ему написали -он ответил, но на просьбу сбросить ключ-не ответил ни слова. I

 

 

Виталий Позднев <v.a.pozdnev@gmail.com>

Ссылка на комментарий
Поделиться на другие сайты

Переписывался с одной конторой которая этим занимается вот была наша переписка. И к ней прикреплен расшифрованный файл который я высылал им.

 

 

Здравствуйте, Евгений.

 

К сожалению, мне самому не удалось подобрать код к Вашим файлам. Это сделал другой программист, с которым мы

работаем на контрактной основе. С кодом такого уровня сложности на настоящий момент могут справиться только

единицы, а услуги таких программистов весьма дороги.

Со своей стороны могу предложить Вам скидку 5%. Стоимость дешифратора не зависит от количества и типа файлов,

которые будут им впоследствии расшифрованы. Расшифруются все файлы, структура папок сохранится, могу сослаться на

рекомендации организаций из разных регионов России и СНГ.

Пример расшифрованного файла прилагаю.

 

С уважением,

Игорь.

Dr.SHIFRO

www.dr-shifro.ru

+7(916)788-8708 (Telegram,Viber,WhatsApp)

 

вт, 25 июн. 2019 г. в 13:12, Евгений К <evgen2454@gmail.com>:

180 тыщ очень дорого если учесть что зашифрованы только офисные файлы. Базы данных не затронуты. И если цену предложите разумную можем сработать удаленно т.к. мы находимся в красноярске.

Надеюсь на Ваше разумное предложение цены.

 

вт, 25 июн. 2019 г., 17:03 Dr Shifro <dshifro@gmail.com>:

Здравствуйте, Евгений

 

Стоимость дешифратора 180 000 руб. + выезд специалиста 5000 руб (Стоимость выезда указана для Московского региона)

Порядок работы таков:

1. Наш специалист подъезжает к Вам в офис или на дом, мы подписываем договор, в котором фиксируем стоимость работ.

2. Запускаем дешифратор и расшифровываем все файлы.

3. Вы убеждаетесь в том, что все файлы открываются, и мы подписываем акт сдачи/приемки выполненных работ.

4. Оплата исключительно по факту успешного результата дешифрации.

Также возможна удаленная работа с оплатой по договору.

 

Гарантируем расшифровку файлов всех форматов либо возврат денег.

Пример расшифрованного файла прилагаю.

 

Будьте осторожны!

Многие компании наряду с расшифровкой предлагают и более бюджетный вариант - восстановление.

При восстановлении файлы не расшифровываются, а восстанавливаются из теневых копий. В результате восстановится очень малая часть файлов (10-20%, а не 95%, как обещают) Файлы будут свалены в одну кучу и большая часть из них не будет открываться. Базы данных 1С после восстановления не заработают.

Операцию по восстановлению Вы можете проделать самостоятельно с помощью программ R-studio, Active File Recovery, Photorec, GetDataBack, ShadowExplorer.

Мы занимаемся исключительно расшифровкой файлов. После работы дешифратора каждый зашифрованный файл будет преобразован в исходный формат, файлам будут возвращены оригинальные имена, структура папок также сохранится.

Гарантируем расшифровку 100% файлов и работоспособность баз данных 1С.

Помните, что, выбирая вариант восстановления, Вы рискуете остаться и без файлов, и без денег.

 

С уважением,

Игорь.

DR.SHIFRO

сайт : www.dr-shifro.ru/

Тел. +7(916)788-8708 (Telegram,Viber,WhatsApp)

Ссылка на комментарий
Поделиться на другие сайты

Как Вы думаете, эти ур0ды не могут выдумать некого Виталия Позднева? Только когда будет ключ расшифровки только тогда можно утверждать.


Так а Вы здесь к Касперскому не обращались. Здесь написано на форуме, что решили этот вопрос, т.е. дошифровывают
Они мне дали ящик якобы последнего человека, которому всё сбросили. Мы ему написали -он ответил, но на просьбу сбросить ключ-не ответил ни слова. I

Виталий Позднев <v.a.pozdnev@gmail.com>

 

Могут так же ссылаться на

 

 

Виталий Позднев <v.a.pozdnev@gmail.com> Tech Support Tech Support <techsupport@bataviacomputer.com> Peterson Grayson <graysonpeter155@gmail.com>

 

Но это вымышленные персонажи.

Изменено пользователем Гаргезул
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
×
×
  • Создать...