Перейти к содержанию

шифровальщик HARMA

Павел Семенов

Автор Павел Семенов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Павел Семенов

Павел Семенов

Опубликовано
Опубликовано

Добрый день! По rdp ломанули достаточно простую учетку с ограниченными правами и минимально ограниченому доступу файлам, при этом серьезно ничего не пострадало, сервак был вырублен сразу как начилась активность, он даже все не успел отработать, но хотелось бы вычистить полностью зловреда, если остались какие то куски. Спасибо.


Вот лог

CollectionLog-2019.08.17-13.27.zip

thyrex

thyrex

Опубликовано
Опубликовано

Ярлык

C:\Users\audit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\audit.lnk

 

, который ссылается на \\tsclient\B\111\999\SQLL\1Blossom.exe Вам известен?

Павел Семенов

Павел Семенов

Опубликовано
  • Автор
Опубликовано (изменено)

Нет, эта учетка как раз таки и взламывалась. Просто удалить эти файлы и все?

Изменено пользователем Павел Семенов
thyrex

thyrex

Опубликовано
Опубликовано

Да, удалите ярлык. И 1Blossom.exe тоже, причем он может быть в нескольких местах обитать.

Павел Семенов

Павел Семенов

Опубликовано
  • Автор
Опубликовано (изменено)

Поиск говорит нет такого...  Судя по пути, не хороший человек, по подключенному диску в rdp d cтартуп запихнул эту дрянь

Изменено пользователем Павел Семенов

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grecener
      Coronavirus
      Автор Grecener
      Добрый день, случилась такая же беда, что и у Lom1k.
      Помогите пожалуйста чем можно.
      Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы. FRST.txt
      Addition.txt
      info.hta.zip
    • eduard777
      возможно ли расшифровать файлы от trojan-ransom.win32.crysis.to?
      Автор eduard777
      Добрый день!
      Подскажите, можно ли расшифровать файлы после trojan-ransom.win32.crysis.to?
      если да, помогите пожалуйста.
      логи прикреплены
      CollectionLog-2020.02.05-21.11.zip
    • mosfod
      HARMA
      Автор mosfod
      Добрый вечер.
      Вирус зашифровал базы 1с и другие файлы. образцы прикрепляю. подскажите что можно сделать.
       
      https://yadi.sk/d/1wXfTa_gfYO7Xg
       
      https://yadi.sk/d/FIgNg_XBDcjCbA
       
      в файле записке написано
       
      all your data has been locked us
      You want to return?
      Write email testfile1@protonmail.com or bitcoins12@tutanota.com

      результат сканирования AutoLogger
      https://yadi.sk/d/IXcarjfPwSxuXw
    • Jordan
      [РЕШЕНО] На Windows 2008 отработал шифровальщик
      Автор Jordan
      Добрый день.
       
      На Windows2008 был подобран пароль и запущен шифровальщик. После шифрования файлы имеют вид [имя файла].id-********.[*******@aol.com].bot
      После обнаружения данной ситуации вирус был найден и удален, но на всякий случай был восстановлен системный раздел из бэкапа.
      Хотелось бы понимать перспективы дешифрации. Спасибо.
      CollectionLog-2019.12.24-19.54.zip
      FRST.zip
    • lex445
      Зашифрованы файлы .harma
      Автор lex445
      Прошу помощи в расшифровке файлов .harma . Сам компьютер почистил . Содержимое файла FILES ENCRYPTED.txt :
      all your data has been locked us
      You want to return?
      Write email maximum@onlinehelp.host
       
      Все фалы переименованы с расширением .id-F07E71A4.[maximum@onlinehelp.host ].harma
       
      Буду очень признателен в помощи.
       
       
      CollectionLog-2019.12.17-19.10.zip
×
×
  • Создать...