Перейти к содержанию

[РЕШЕНО] Вирус trojan-ransom.win32.crusis.to дешифровка файлов .harma


Рекомендуемые сообщения

Сегодня на 2х компьютерах одновременно вирус зашифровал файлы. Помогите с дешифровкой. Лог программы AutoLogger прилагаю. Так же прилагаю один из поврежденных файлов и файл с рабочего стола FILES ENCRYPTED

Архив с файлами

CollectionLog-2019.07.28-23.08.zip

file.rar

Ссылка на сообщение
Поделиться на другие сайты

Увы, расшифровки нет. Толькео зачистка следов мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Почему Dr Shifro могут расшифровать, а Вы - комманда программистов - нет? Зачем ставить вообще по, если оно не защищает от подобного и помочь с лечением вы тоже не можете?

Ссылка на сообщение
Поделиться на другие сайты

Почему Dr Shifro могут расшифровать

 

1. Потому что прокладкой между злоумышленниками и Вами может выступать любой человек. За Ваши $ эти мошенники выкупают ключ с дешифратором, а потом с большой наценкой любезно продают Вам. Подробней об этой конторе "Рога и копыта" можете почитать здесь https://www.bleepingcomputer.com/news/security/company-pretends-to-decrypt-ransomware-but-just-pays-ransom/

 

Зачем ставить вообще по, если оно не защищает от подобного

 

2. Какое громкое заявление, а ничего что у Вас RDP ломанули, а потом вручную запустили локера с отключенным антивирусом? Если Вы не удосужились нормально настроить защиту корпоративной сети, то может не стоит винить в этом антивирус? Не хотите чтобы все Вас ломали используйте связку: корпоративная VPN + RDP. Извне подключения по RDP лучше совсем закрыть.

 

помочь с лечением вы тоже не можете? 

 

3. С лечением могут, с расшифровкой файлов нет.  

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Есть файл, который я им отправлял на дешифровку. Есть расшифрованный файл от них. Так же есть оригинал этого файла. Вам это может помочь?

Ссылка на сообщение
Поделиться на другие сайты

Какой из Ваших продуктов вы бы порекомендовали поставить на рабочие компьютеры, дабы такого не повторилось?

С аудита безопасности инфраструктуры лучше начните, а то снова могут ломануть. И здесь не важно какой антивирус Вы будете использовать. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

 

Какой из Ваших продуктов вы бы порекомендовали поставить на рабочие компьютеры, дабы такого не повторилось?

С аудита безопасности инфраструктуры лучше начните, а то снова могут ломануть. И здесь не важно какой антивирус Вы будете использовать.

Это понятно. Уже в процессе

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Всем, кто попал в подобную ситуацию - поделюсь результатом своих трудов.
Нашёл контору, которая расшифровывает базы 1С. К сожалению, с другими базами помочь не смогли. Мои 2 базы расшифровали в течении суток. После расшифровки прислали скрины открытой базы. Оплатил на карту, выслали готовую базу. Все работает - без кидков!
 

Ссылка на сообщение
Поделиться на другие сайты

@laba, не стоит рекламировать здесь посредников, которые в сговоре со злоумышленниками и берут за свои "услуги" нехилые проценты. Ключом, который они купили под Ваш случай, можно было расшифровать всю информацию, а не только базы :)


Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
    • От triumf1975
      Здравствуйте, Всем.
      06.0912 нам зашифровали все файлы - *.id-1896DF03.[James2020m@aol.com].MUST. и так далее. Соответственно пострадали и базы 1с7. хотелось бы узнать есть какое решение этой проблемы. Заранее СПАСИБО.   



      Addition.txt FILES ENCRYPTED.txt FRST.txt
    • От JiK
      Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
      Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
      Вот тема: 
       
    • От JiK
      Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.
      Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
       
      Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).
      Ссылка на вредоносный сайт, где можно скачать софт  :
       
      Полная хронология событий:

      1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.
       
      2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

      3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.
       
      На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
      Ещё раз извиняюсь, что без логов, но ситуация такая.
    • От alexey_sp
      Зашифровались все файлы на сервере, предположительно виной всему открытый RDP-порт (Проблема уже решена). После обнаружения проблемы, прогнал KVRT - обнаружился HEUR:Trojan-Ransom.Win32.Cryakl.gen, его удалил. По описанию должны были помочь с расшифровкой утилиты Rakhni Decryptor и Rannoh Decryptor, но увы.. 
      Как быть? Прикладываю архив с запиской и две пары файлов оригинальный\шифрованный
      Desktop.7z
×
×
  • Создать...