Шифровальщик. расширение *.HARMA

[smartcomp]

с помощью касперского рескю восстановил систему. теперь нужно дешифровать файлы. прикладываю отчет AVZ и Farbar2

 

вот collection log

FRST.txt

Farbar_Addition.txt

report1.log

report2.log

CollectionLog-2019.08.02-17.30.zip

[Sandor]

Здравствуйте!

 

теперь нужно дешифровать файлы

Для этого типа вымогателя расшифровки нет, к сожалению.

 

Файл

C:\Users\Пользователь\Downloads\Install.vbs

Вам известен?

 

В системе еще есть следы и дыры.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
  IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
  Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-30] () [File not signed]
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  2019-07-30 13:00 - 2019-07-30 13:00 - 000013925 _____ C:\Users\Пользователь\AppData\Roaming\Info.hta
  2019-07-30 13:00 - 2019-07-30 13:00 - 000000174 _____ C:\Users\Пользователь\Desktop\FILES ENCRYPTED.txt
  FirewallRules: [TCP Query User{8E6726F4-ED72-45E2-9F63-8D7A6719755F}C:\aa.exe] => (Allow) C:\aa.exe No File
  FirewallRules: [UDP Query User{1CC469EB-7A9F-4E37-AB00-259B9EB8101B}C:\aa.exe] => (Allow) C:\aa.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[smartcomp]

Здравствуйте!

 

теперь нужно дешифровать файлы

Для этого типа вымогателя расшифровки нет, к сожалению.

 

Файл

C:\Users\Пользователь\Downloads\Install.vbs

Вам известен?

 

В системе еще есть следы и дыры.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
  IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-01] () [File not signed]
  Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-30] () [File not signed]
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  2019-07-30 13:00 - 2019-07-30 13:00 - 000013925 _____ C:\Users\Пользователь\AppData\Roaming\Info.hta
  2019-07-30 13:00 - 2019-07-30 13:00 - 000000174 _____ C:\Users\Пользователь\Desktop\FILES ENCRYPTED.txt
  FirewallRules: [TCP Query User{8E6726F4-ED72-45E2-9F63-8D7A6719755F}C:\aa.exe] => (Allow) C:\aa.exe No File
  FirewallRules: [UDP Query User{1CC469EB-7A9F-4E37-AB00-259B9EB8101B}C:\aa.exe] => (Allow) C:\aa.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Fixlog.txt

[Sandor]

1. Не цитируйте все предыдущее сообщение, используйте форму быстрого ответа внизу.

 

2. Ответьте на мой вопрос.

 

3. Соберите свежий CollectionLog Автологером.