Перейти к содержанию
Sampti

.id-06309B78.[Harmahelp73@gmx.de].harma

Рекомендуемые сообщения

Здравствуйте!
Поймал вирус-шифровальщик, наверняка через rdp. Прошу помощи в расшифровке файлов!

 

Изменено пользователем Sampti

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки скорее всего нет. Если нужна помощь в очистке от вируса и его следов, выполните Порядок оформления запроса о помощи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\rdp\downloads\e5m99s_payload.exe');
 StopService('KProcessHacker3');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\users\rdp\downloads\e5m99s_payload.exe', '');
 QuarantineFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '');
 QuarantineFile('C:\Windows\System32\E5M99S_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\users\rdp\downloads\e5m99s_payload.exe', '32');
 DeleteFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '64');
 DeleteFile('C:\Windows\System32\E5M99S_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('KProcessHacker3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', 'x64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режиме В следующих файлах обнаружен вредоносный код: E5M99S_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_0.exe - Trojan-Ransom.Win32.Crusis.to e5m99s_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_1.exe - Trojan-Ransom.Win32.Crusis.to В антивирусных базах информация по присланным вами файлам отсутствует: Info.hta Info_0.hta Info_1.hta Info_2.hta В антивирусных базах информация по присланным вами ссылкам отсутствует: hxxps://forum[.]kasperskyclub[.]ru/index.php?showtopic=63639&hl= Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 Прикрепляю результат сканирования

Addition.txt

FRST.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2019-09-05 13:46 - 2019-09-05 13:46 - 000094720 _____ C:\Users\rdp\AppData\Roaming\E5M99S_payload.exe
    2019-09-04 20:16 - 2019-09-05 13:47 - 000000230 _____ C:\Users\rdp\Desktop\FILES ENCRYPTED.txt
    2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\FILES ENCRYPTED.txt
    2019-09-04 19:44 - 2019-09-04 20:02 - 000000000 ____D C:\Users\rdp\AppData\Roaming\Process Hacker 2
    2019-09-04 19:40 - 2019-09-04 20:14 - 000000000 ____D C:\Users\rdp\Downloads\processhacker-2.39-bin
    swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прикрепил
Про расшифровку стоит забыть? Или есть надежда?

Fixlog.txt

Изменено пользователем Sampti

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Маловероятно.

 

Смените пароли на RDP.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19155 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления

K-Lite Codec Pack 13.1.0 Full v.13.1.0 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.4.44498 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^

Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u221-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.25.0.0.134 Внимание! Скачать обновления

Adobe Shockwave Player 12.2 v.12.2.8.198 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

swMSM v.12.0.0.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

 

 

Читайте Рекомендации после удаления вредоносного ПО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

После обновления и удаления нежелательных и устаревших программ процесс лечения завершен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От Troriorin
      Добрый день!
      Возникла проблема из-за непутевого сотрудника, словили вирус harma. Сломалось все что можно и нельзя.
      Во вложении лог
      Спасибо!
      CollectionLog-2020.05.11-22.13.zip
    • От anuar_ast
      Всем добрый вечер, пару часов назад подключился к своему рабочему компьютеру через удаленный рабочий стол и увидел что все файлы стали harma расширениями. откуда и как мог зацепить не знаю. прикрепил лог файлы и несколько файлов harma
      CollectionLog-2020.04.25-21.49.zip Без им.png.id-9A4530CD.[Petya20@tuta.io].harma Документ Microsoft Word.docx.id-9A4530CD.[Petya20@tuta.io].harma
    • От texnikamar
      Добрый день.
           На компьютере с ОС Windows 7 Максимальная x64 был открыт для одного пользователя RDP. Подозреваю мошенники через него взломали доступ к ОС. В последствии было обнаружено, что все файлы любых расширений были зашифрованы - к оригинальному имени добавилось - "id-C110301F.[Theransom@tutanota.com].harma".
           Есть копия все файлов, сделанных в осенью 2018 года, так как менял жесткий диск на ССД. Поэтому есть возможность прикрепить не зашифрованный файл и зашифрованный.
       
           Прошу помочь расшифровать файлы.
      CollectionLog-2020.04.17-09.35.zip
      1_tyrizm_Гыровець.zip
      1041503_aviaticket_4065140.zip
    • От Батон
      Добрый день! Прошу помощи в расшифровке файлов.
       
      Вирус harma зашифровал sql базы 1с и другие файлы на server 2012r2 standart x64.
      Теперь файлы выглядят примерно так - "Счет на оплату 11 от ХХ марта 2020 г.pdf.Email=[Filedecryptor@protonmail.com]ID=[ХХХХХХХХХХХХХХХ].odveta.id-ХХХХХХХХ.[MrRdx@cock.li]".HARMA
      Восстановление бекапов не сработало (бекапы не читаемы после восстановления), админ не позаботился про актуальные выгрузки БД 1С в разные места.
       
      Подскажите что можно сделать?
       
      Если это будет полезно, то злоумышленник после переписки расшифровал один файл как образец.
       
      AutoLogger не запустился, говорит в системе не хватает файла.
      Запустил FRST64, логи во вложенииFRST64.7z
       
      Образец текст файла записки c названием "FILES ENCRIPTED.TXT":
      all your data has been locked us
      You want to return?
      Write emeil MrRdx@coc.li or MrRDX@protonmail.com
    • От SergeF
      Добрый день, зашифровались данные на сервере. Руками почистил заразу загрузившись  с LiveCD. Проделал процедуры из http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Прошу посмотреть логи сделанные сборщиком логов может что то упустил.
      CollectionLog-2020.02.19-19.20.zip
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.