Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. На сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[bitcoin1@foxmail.com].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю. Очень надеюсь на Вашу помощь. 

price.xls.id-B8E48228.bitcoin1@foxmail.com.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Зараженный компьютер пока обнаружить не удалось

Срочно отключайте от сети каждый и делайте проверку, например, с помощью KVRT.
Ссылка на сообщение
Поделиться на другие сайты

вроде, локализовал комп, с которого все началось. Судя по косвенным, но достаточно явным признакам, взломали именно сервер, получив доступ к достаточно ограниченной учетке. И именно из-за этого большой беды не случилось. Судя по правам ее доступа, именно с нее и проводилось шифрование, потому что зашифрованы файлы, к которым был доступ у всех учеток. На рабочем столе этой учетки нашел файл, который был создан за пару минут до первого зашифрованного файла. В архиве расширение изменить на exe, по-другому не смог вытащить с сервака через несколько разных антивирусов и несколько компов через удаленный доступ (из дома). Возможно, поможет как-то решить проблему для других пользователей. 

P.S. все компы в организации погасил сразу, как только понял, что шифруются все расшаренные папки. 

Mouse Lock_v22.zip

Ссылка на сообщение
Поделиться на другие сайты

Это скорее блокировщик мыши, чем сам шифратор

Возможно. Но, как по мне, судить по названию исполняемого файла в данной теме как-то странно. А если бы он назывался "download_CyberPunk2077.exe"? Он бы должен был скачать игру? Тем более, что время создания файла и начало шифрования как-то уж больно похожи. 

Изменено пользователем Drawen
Ссылка на сообщение
Поделиться на другие сайты

Я никогда стараюсь не писать то, в чем не уверен. Если бы он не встречался у пользователей, пострадавших от шифраторов.

 

Вот результат https://www.virustotal.com/gui/file/f3ad7f8f00ffe7efce17f6b5b8667ef82c6df2c655bbafa9b637657465403a85/detection

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
  • 2 weeks later...

Внимание! Данные шифровальщики дешифровщик не не присылают!

 

All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!

1.  Price for decryption.
The price for decryption is 3000 $. We receive payment only in BITCOINS. (Bitcoin it is first cryptocurrency)

2.  Attention!
Do not rename encrypted files. 
Do not try to decrypt your files using third party software, it may cause permanent data loss. 
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 

3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.

4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM". As we receive the money we will send you:
1.     Decryption program.
2.     Detailed instruction for decryption. 
3.     And individual keys for decrypting your files.

  • Не согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Аналогичная ситуация!

Подскажите пожалуйста, удалось ли расшифровать данные с расширением harma?

Очень нужно расшифровать данные. 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Аналогичная ситуация!

Подскажите пожалуйста, удалось ли расшифровать данные с расширением harma?

Очень нужно расшифровать данные.

 

Спросите в тех поддержке. В этом разделе вам отвечают такие же пользователи, как и вы.
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • DramaticCarAuthor
      От DramaticCarAuthor
      Здравствуйте. После запуска установщика, полученного из торрента, в основной браузер (google chrome) без моего вмешательства установилось расширение "savevpn", при взаимодействии с ним ничего не происходит, источником установки был длинный локальный путь на этом компьютере. Я сразу удалил расширение. Мне кажется, что этого шага может быть недостаточно, так же не ясно что ещё могло быть установлено. Поводом для беспокойства послужил результат (imgur ссылка с результатом сканирования) полной проверки антивирусом. Последующие проверки Касперским, Dr.Web CureIt ничего не показали, всё же считаю нужным убедиться, что угрозы нет. 
      CollectionLog-2023.01.30-07.20.zip
    • On-Lite
      От On-Lite
      Добрый день.
      С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me
      2 компа заражены. 
      зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.
      т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.
      Огромная просьба помочь расшифровать базы данных:
      Текст сообщения
      How To Restore Files
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
      Your Decryption ID: 23868595F549B397
       
       
       
       
       
      FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip
    • arti
      От arti
      Здравствуйте, что может быть? Если делать полную проверку ни чего не находит, как открывается браузер постоянно выскакивает это(
      У меня касперский тотал секьюрити, что это может быть, и как мне его побороть?

    • Rey_fw
      От Rey_fw
      Очень сильная идет нагрузка на ЦП, при открытии диспетчера задач резко становится все хорошо и красиво.
      Антивирусы открываются, с ними проблем нет вроде. Все думаю так же на майнеры 😕
      Скачал Farbar Recovery Scan Tool, можете ли помочь с решением?
       
      Downloads.rar
    • rUsure
      От rUsure
      Добрый день. Сегодня KSC начал спамить о том что обнаружил Intrusion.Win.MS17-010.o.
      Т.к опыта еще в администрировании мало и не сталкивался на практике с этим, хотел бы уточнить у более опытных коллег нюансы устранения данной проблемы.
       

       
      В связи с чем вопрос, это он уже внутри сети? Или просто пока ищет лазейки? Порты 139 и 445 контролируются с помощью KSC.
      Если он уже внутри сети, то как найти и обезвредить?
      Спасибо.
×
×
  • Создать...