Перейти к содержанию

Шифровальщик [decryptioner@airmail.cc].harma

Владимир Жондарев

Автор Владимир Жондарев,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 2

Рекомендуемые сообщения

Владимир Жондарев

Владимир Жондарев 0

Опубликовано
Опубликовано

Каким-то образом проник шифровальщик. Помогите расшифровать переименованный файлы.
<имя_файла>.<оригинальное_расширение>.id-BC84594A.[decryptioner@airmail.cc].harma

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Здравствуйте,

Расшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

«Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
Владимир Жондарев

Владимир Жондарев 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

Рассшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

 

«Порядок оформления запроса о помощи».

 

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Возможно это поможет. Файл логов и файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni. 

CollectionLog-2019.10.20-23.34.zip

C_Users_имя_пользователя_AppData_Roaming.zip

Ссылка на сообщение
Поделиться на другие сайты
Владимир Жондарев

Владимир Жондарев 0

Опубликовано
  • Автор
Опубликовано

Возможно это поможет в рещении моей проблемы.
Прикрепляю:
файл логов, CollectionLog
файл текстового (на каждом диске),
зашифрованный файл,

файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni

Если не поможет, может в дальнейшем поможет в выпуске дешифровщика под данный шифровальщик.

Сообщение от модератора SQ
Темы объеденены.

 

CollectionLog-2019.10.20-23.34.zip

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

C_Users_имя_пользователя_AppData_Roaming.zip

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Тут помогают пользователи, которые не относятся к Лаборатории Касперского. Попробуйте обратиться в оф. техническую поддержку Лаборатории Касперского по следующей инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для очистки мусора, выполните следующее:

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Каким-то образом проник шифровальщик.

Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Ссылка на сообщение
Поделиться на другие сайты
Владимир Жондарев

Владимир Жондарев 0

Опубликовано
  • Автор
Опубликовано

 

 


Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Проверьте события (EventLog) -> Security, если они зачищены, что скорее всего так и есть.
Ссылка на сообщение
Поделиться на другие сайты
Калинкин Максим Сергеевич

Калинкин Максим Сергеевич 2

Опубликовано
Опубликовано

Добрый день!

Столкнулся с такой проблемой. Все фото и видео переименованы. Название состоит из цифр и букв.

Гуглил. Вирус шифровальщик. Есть ли вероятность вернуть обратно?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

@Калинкин Максим Сергеевич, не пишите в чужой теме.

Создайте свою и выполните Порядок оформления запроса о помощи

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

    • Andreypresnetcov
      Сервер зашифрован *QY98NM2SSD
      От Andreypresnetcov
      Добрый день, сервер зашифрован *QY98NM2SSD можете подсказать того кто поможет. Просят Выкуп в биткоинах.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sandynist
      Зашифрованы серверы СДЭК
      От Sandynist
      Добрый вечер!
      Интернет кипит инсайдами и слухами, некоторые осведомлённые источники уверяют, что на информационных базах компании СДЭК можно поставить жирный крест.
       
      Как на ваш взгляд — это произошло от того, что руководство компании пожалело денег на защитные решения от шифровальщиков, на зарплату IT-специалистам или что-то ещё? Или может быть все три причины оказали такой оглушительный эффект?
       
      Источник:  https://3dnews.ru/1105511/virusshifrovalshchik-mog-stat-prichinoy-sboya-v-rabote-sdek
    • Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок
      От Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок. заметили сегодня утром . данные папок были изменены примерно 21.05.2024 в 1 час 22 минуты (это данные измененных папок). Компьютеры подключены общей локальной сетью, работы происходят на них в общей рабочей папке и данная Папка была полностью зашифрована (включая все продукты оффис ). шифр на всех документах один
       id-9439B95D.[anticrypto@tutanota.com]
      Что делать? как быть?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • duduka
      Произошла шифровка файлов cock.li
      От duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
×
×
  • Создать...