Перейти к содержанию

Шифровальщик. расширение *.HARMA

smartcomp
 Поделиться

Рекомендуемые сообщения

smartcomp Новичок

smartcomp

Опубликовано
Опубликовано

с помощью касперского рескю восстановил систему. теперь нужно дешифровать файлы. прикладываю отчет AVZ и Farbar2

 


вот collection log

FRST.txt

Farbar_Addition.txt

report1.log

report2.log

CollectionLog-2019.08.02-17.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

теперь нужно дешифровать файлы

Для этого типа вымогателя расшифровки нет, к сожалению.

 

Файл

C:\Users\Пользователь\Downloads\Install.vbs

Вам известен?

 

В системе еще есть следы и дыры.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-30] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2019-07-30 13:00 - 2019-07-30 13:00 - 000013925 _____ C:\Users\Пользователь\AppData\Roaming\Info.hta
2019-07-30 13:00 - 2019-07-30 13:00 - 000000174 _____ C:\Users\Пользователь\Desktop\FILES ENCRYPTED.txt
FirewallRules: [TCP Query User{8E6726F4-ED72-45E2-9F63-8D7A6719755F}C:\aa.exe] => (Allow) C:\aa.exe No File
FirewallRules: [UDP Query User{1CC469EB-7A9F-4E37-AB00-259B9EB8101B}C:\aa.exe] => (Allow) C:\aa.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
smartcomp Новичок

smartcomp

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

теперь нужно дешифровать файлы

Для этого типа вымогателя расшифровки нет, к сожалению.

 

Файл

C:\Users\Пользователь\Downloads\Install.vbs

Вам известен?

 

В системе еще есть следы и дыры.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-30] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2019-07-30 13:00 - 2019-07-30 13:00 - 000013925 _____ C:\Users\Пользователь\AppData\Roaming\Info.hta
2019-07-30 13:00 - 2019-07-30 13:00 - 000000174 _____ C:\Users\Пользователь\Desktop\FILES ENCRYPTED.txt
FirewallRules: [TCP Query User{8E6726F4-ED72-45E2-9F63-8D7A6719755F}C:\aa.exe] => (Allow) C:\aa.exe No File
FirewallRules: [UDP Query User{1CC469EB-7A9F-4E37-AB00-259B9EB8101B}C:\aa.exe] => (Allow) C:\aa.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1. Не цитируйте все предыдущее сообщение, используйте форму быстрого ответа внизу.

 

2. Ответьте на мой вопрос.

 

3. Соберите свежий CollectionLog Автологером.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...