Перейти к содержанию
laba

[РЕШЕНО] Вирус trojan-ransom.win32.crusis.to дешифровка файлов .harma

Рекомендуемые сообщения

Сегодня на 2х компьютерах одновременно вирус зашифровал файлы. Помогите с дешифровкой. Лог программы AutoLogger прилагаю. Так же прилагаю один из поврежденных файлов и файл с рабочего стола FILES ENCRYPTED

Архив с файлами

CollectionLog-2019.07.28-23.08.zip

file.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Увы, расшифровки нет. Толькео зачистка следов мусора.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почему Dr Shifro могут расшифровать, а Вы - комманда программистов - нет? Зачем ставить вообще по, если оно не защищает от подобного и помочь с лечением вы тоже не можете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Почему Dr Shifro могут расшифровать

 

1. Потому что прокладкой между злоумышленниками и Вами может выступать любой человек. За Ваши $ эти мошенники выкупают ключ с дешифратором, а потом с большой наценкой любезно продают Вам. Подробней об этой конторе "Рога и копыта" можете почитать здесь https://www.bleepingcomputer.com/news/security/company-pretends-to-decrypt-ransomware-but-just-pays-ransom/

 

Зачем ставить вообще по, если оно не защищает от подобного

 

2. Какое громкое заявление, а ничего что у Вас RDP ломанули, а потом вручную запустили локера с отключенным антивирусом? Если Вы не удосужились нормально настроить защиту корпоративной сети, то может не стоит винить в этом антивирус? Не хотите чтобы все Вас ломали используйте связку: корпоративная VPN + RDP. Извне подключения по RDP лучше совсем закрыть.

 

помочь с лечением вы тоже не можете? 

 

3. С лечением могут, с расшифровкой файлов нет.  

Изменено пользователем mike 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть файл, который я им отправлял на дешифровку. Есть расшифрованный файл от них. Так же есть оригинал этого файла. Вам это может помочь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какой из Ваших продуктов вы бы порекомендовали поставить на рабочие компьютеры, дабы такого не повторилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какой из Ваших продуктов вы бы порекомендовали поставить на рабочие компьютеры, дабы такого не повторилось?

С аудита безопасности инфраструктуры лучше начните, а то снова могут ломануть. И здесь не важно какой антивирус Вы будете использовать. 

Изменено пользователем mike 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Какой из Ваших продуктов вы бы порекомендовали поставить на рабочие компьютеры, дабы такого не повторилось?

С аудита безопасности инфраструктуры лучше начните, а то снова могут ломануть. И здесь не важно какой антивирус Вы будете использовать.

Это понятно. Уже в процессе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем, кто попал в подобную ситуацию - поделюсь результатом своих трудов.
Нашёл контору, которая расшифровывает базы 1С. К сожалению, с другими базами помочь не смогли. Мои 2 базы расшифровали в течении суток. После расшифровки прислали скрины открытой базы. Оплатил на карту, выслали готовую базу. Все работает - без кидков!
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@laba, не стоит рекламировать здесь посредников, которые в сговоре со злоумышленниками и берут за свои "услуги" нехилые проценты. Ключом, который они купили под Ваш случай, можно было расшифровать всю информацию, а не только базы :)


Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От ArataKun
      Здравствуйте.
      На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:
       
      "all your data has been locked us
      You want to return?
      write email cl_crypt@aol.com or cl_crypt2@aol.com"
       
      Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.
      Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.
      Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".
      Приложил к письму 2 архива:
      1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.
      2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).
       
      Надеюсь, что мои файлы реально будет расшифровать.
      encrypted_files.7z FRST.7z
    • От Dmitry Nevajno1
      Добрый день, Kaspersky Endpoint Security, начал выдавать активную угрозу "Trojan.Win32.SEPEH.gen". Выполняли обновления Windows, проверял adwcleaner'ом, толку ноль. Из за него сбоит сервер "Экран смерти". Как быть?

    • От Катам
      Доброго времени суток.
      Был взлом аккаунта instagram, подумал утечка данных, начал проверять компы (у меня их 3 шт):
      Утилита AVZ обнаружила порядочное количество Rootkit.
      Cureit - обнаружил изменения в файле Hosts и исправил.
      Произошло это в конце июля. 
       
      Последнее время wi-fi начал самопроизвольно отключаться и подключаться 
      Комп стационарный с wi-fi адаптером TP-link.
      Сегодня 20.08.2020 провел проверку, Kaspersky Virus Removal Tool 2015; - обнаружился Trojan.Multi.BroSubsc.gen 
      Cureit - не обнаружил ничего.
       
      Вопрос с множеством Rootkit остается открытым. Так же прошу помочь мне разобраться с проблемой Wi-fi это проблема создана заражением внесшим изменения в систему или это проблема железа. 
      Отчет AutoLogger.exe - прилагаю
       
      CollectionLog-2020.08.20-21.59.zip
    • От IsoPn=wedUser
      Привет.
      Наткнулся на проблему при установке чита (Espense DLL roblox injector)
      Скачиваю архив с Oxy Cloud , разархивирую архив , запускаю чит и...
      Заблокировано подключение к сайту Pastebin (Там проверяет обновления)
      И заблокирован объект Espense.exe (Не сказал что за вирус пришлось лезть в отчёты)
      Он обнаружил Win32.Trojan.Generic .
      1. Что за вирус?
      2. Ложное срабатывание или по правде вирус?
      (Ссылка oxy.st/d/Hcnc)
       
    • От АндрейЛ
      День добрый!
       
      Вирус пришел по RDP и встал в автозагрузку, успел попортить ряд документов до того, как был остановлен.
      Буду благодарен, если появилcя или появится декриптор..
       
      Пример файлов - исходного и зашифрованного EMenuRus.lng в папке
      https://drive.google.com/drive/folders/1WRLXqlWsNhSqUeAnloQ5JiGTvGGfjmzk?usp=sharing
       
      Там же с паролем 1 лежит сам вирус..
×
×
  • Создать...