Перейти к содержанию

[РЕШЕНО] Шифровальщик [bitcoin1@foxmail.com].harma

Drawen
 Поделиться

Рекомендуемые сообщения

Drawen

Drawen

Опубликовано
Опубликовано

Здравствуйте. На сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[bitcoin1@foxmail.com].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю. Очень надеюсь на Вашу помощь. 

price.xls.id-B8E48228.bitcoin1@foxmail.com.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Зараженный компьютер пока обнаружить не удалось

Срочно отключайте от сети каждый и делайте проверку, например, с помощью KVRT.
Drawen

Drawen

Опубликовано
  • Автор
Опубликовано

вроде, локализовал комп, с которого все началось. Судя по косвенным, но достаточно явным признакам, взломали именно сервер, получив доступ к достаточно ограниченной учетке. И именно из-за этого большой беды не случилось. Судя по правам ее доступа, именно с нее и проводилось шифрование, потому что зашифрованы файлы, к которым был доступ у всех учеток. На рабочем столе этой учетки нашел файл, который был создан за пару минут до первого зашифрованного файла. В архиве расширение изменить на exe, по-другому не смог вытащить с сервака через несколько разных антивирусов и несколько компов через удаленный доступ (из дома). Возможно, поможет как-то решить проблему для других пользователей. 

P.S. все компы в организации погасил сразу, как только понял, что шифруются все расшаренные папки. 

Mouse Lock_v22.zip

thyrex

thyrex

Опубликовано
Опубликовано

Это скорее блокировщик мыши, чем сам шифратор

Drawen

Drawen

Опубликовано
  • Автор
Опубликовано (изменено)

Это скорее блокировщик мыши, чем сам шифратор

Возможно. Но, как по мне, судить по названию исполняемого файла в данной теме как-то странно. А если бы он назывался "download_CyberPunk2077.exe"? Он бы должен был скачать игру? Тем более, что время создания файла и начало шифрования как-то уж больно похожи. 

Изменено пользователем Drawen
thyrex

thyrex

Опубликовано
Опубликовано

Я никогда стараюсь не писать то, в чем не уверен. Если бы он не встречался у пользователей, пострадавших от шифраторов.

 

Вот результат https://www.virustotal.com/gui/file/f3ad7f8f00ffe7efce17f6b5b8667ef82c6df2c655bbafa9b637657465403a85/detection

  • 2 недели спустя...
  • 2 недели спустя...
s_ivanov

s_ivanov

Опубликовано
Опубликовано

Внимание! Данные шифровальщики дешифровщик не не присылают!

 

All your Remote desktop passwords hacked. Change all user passwords to more harder. Immediately!

1.  Price for decryption.
The price for decryption is 3000 $. We receive payment only in BITCOINS. (Bitcoin it is first cryptocurrency)

2.  Attention!
Do not rename encrypted files. 
Do not try to decrypt your files using third party software, it may cause permanent data loss. 
Do not trust anyone! Only we have keys to your files! Without this keys restore your data is impossible. 

3.  Free decryption as guarantee
You can send us up to 1 file for free decryption.
Size of file must be less than 1 Mb (non archived). We don`t decrypt for test DATABASE, XLS and other important files. Remember this.

4.  Decryption process:
To decrypt the files, transfer money to our bitcoin wallet number: "1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM". As we receive the money we will send you:
1.     Decryption program.
2.     Detailed instruction for decryption. 
3.     And individual keys for decrypting your files.

  • Не согласен 1
Lexxser

Lexxser

Опубликовано
Опубликовано

Здравствуйте!

Аналогичная ситуация!

Подскажите пожалуйста, удалось ли расшифровать данные с расширением harma?

Очень нужно расшифровать данные. 

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте!

Аналогичная ситуация!

Подскажите пожалуйста, удалось ли расшифровать данные с расширением harma?

Очень нужно расшифровать данные.

 

Спросите в тех поддержке. В этом разделе вам отвечают такие же пользователи, как и вы.
mike 1

mike 1

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Yann
      [РЕШЕНО] Проблема не решилась.
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • DrRybkin
      [РЕШЕНО] Поймал Trojan.Packed2.49814
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      [РЕШЕНО] Майнер XMRig
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
×
×
  • Создать...