Перейти к содержанию

Шифровальщик [decryptioner@airmail.cc].harma

Владимир Жондарев

От Владимир Жондарев
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Владимир Жондарев Новичок

Владимир Жондарев

Опубликовано
Опубликовано

Каким-то образом проник шифровальщик. Помогите расшифровать переименованный файлы.
<имя_файла>.<оригинальное_расширение>.id-BC84594A.[decryptioner@airmail.cc].harma

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Расшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

«Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Владимир Жондарев Новичок

Владимир Жондарев

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

Рассшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

 

«Порядок оформления запроса о помощи».

 

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Возможно это поможет. Файл логов и файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni. 

CollectionLog-2019.10.20-23.34.zip

C_Users_имя_пользователя_AppData_Roaming.zip

Ссылка на комментарий
Поделиться на другие сайты
Владимир Жондарев Новичок

Владимир Жондарев

Опубликовано
  • Автор
Опубликовано

Возможно это поможет в рещении моей проблемы.
Прикрепляю:
файл логов, CollectionLog
файл текстового (на каждом диске),
зашифрованный файл,

файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni

Если не поможет, может в дальнейшем поможет в выпуске дешифровщика под данный шифровальщик.

Сообщение от модератора SQ
Темы объеденены.

 

CollectionLog-2019.10.20-23.34.zip

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

C_Users_имя_пользователя_AppData_Roaming.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Тут помогают пользователи, которые не относятся к Лаборатории Касперского. Попробуйте обратиться в оф. техническую поддержку Лаборатории Касперского по следующей инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для очистки мусора, выполните следующее:

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Каким-то образом проник шифровальщик.

Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Ссылка на комментарий
Поделиться на другие сайты
Владимир Жондарев Новичок

Владимир Жондарев

Опубликовано
  • Автор
Опубликовано

 

 


Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Проверьте события (EventLog) -> Security, если они зачищены, что скорее всего так и есть.
Ссылка на комментарий
Поделиться на другие сайты
Калинкин Максим Сергеевич Новичок

Калинкин Максим Сергеевич

Опубликовано
Опубликовано

Добрый день!

Столкнулся с такой проблемой. Все фото и видео переименованы. Название состоит из цифр и букв.

Гуглил. Вирус шифровальщик. Есть ли вероятность вернуть обратно?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • FineGad
      Шифровальщик WantToCry
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      Шифровальщик BlackBit
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...