Перейти к содержанию

Шифровальщик [decryptioner@airmail.cc].harma

Владимир Жондарев

Автор Владимир Жондарев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владимир Жондарев

Владимир Жондарев

Опубликовано
Опубликовано

Каким-то образом проник шифровальщик. Помогите расшифровать переименованный файлы.
<имя_файла>.<оригинальное_расширение>.id-BC84594A.[decryptioner@airmail.cc].harma

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

Владимир Жондарев

Владимир Жондарев

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

Рассшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

 

«Порядок оформления запроса о помощи».

 

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Возможно это поможет. Файл логов и файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni. 

CollectionLog-2019.10.20-23.34.zip

C_Users_имя_пользователя_AppData_Roaming.zip

Владимир Жондарев

Владимир Жондарев

Опубликовано
  • Автор
Опубликовано

Возможно это поможет в рещении моей проблемы.
Прикрепляю:
файл логов, CollectionLog
файл текстового (на каждом диске),
зашифрованный файл,

файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni

Если не поможет, может в дальнейшем поможет в выпуске дешифровщика под данный шифровальщик.

Сообщение от модератора SQ
Темы объеденены.

 

CollectionLog-2019.10.20-23.34.zip

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

C_Users_имя_пользователя_AppData_Roaming.zip

SQ

SQ

Опубликовано
Опубликовано

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Тут помогают пользователи, которые не относятся к Лаборатории Касперского. Попробуйте обратиться в оф. техническую поддержку Лаборатории Касперского по следующей инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для очистки мусора, выполните следующее:

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Каким-то образом проник шифровальщик.

Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Владимир Жондарев

Владимир Жондарев

Опубликовано
  • Автор
Опубликовано

 

 


Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

SQ

SQ

Опубликовано
Опубликовано

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Проверьте события (EventLog) -> Security, если они зачищены, что скорее всего так и есть.
Калинкин Максим Сергеевич

Калинкин Максим Сергеевич

Опубликовано
Опубликовано

Добрый день!

Столкнулся с такой проблемой. Все фото и видео переименованы. Название состоит из цифр и букв.

Гуглил. Вирус шифровальщик. Есть ли вероятность вернуть обратно?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • merlin_hal
      id-70FAE858.[3048664056@qq.com] WALLET
      Автор merlin_hal
      Практически все файлы были зашифрованы и теперь имеют вид: *.docx.id-70FAE858.[3048664056@qq.com] Затронут как пакет MSOffice, так и *.jpg, *.pdf и т.п. Так же на локальном диске был создан файл с содержанием: 
      Your documents, photos, databases, save games and other important data has been encrypted. Data recovery requires decoder. To obtain decoder, please contact me by email: 3048664056@qq.com or patrik.swize@gmx.de or through the service https://bitmsg.me, and send me a message to the address: BM-2cWpwwPT9bqLv7D1VMSFUNJZgQ1mKBRgxK Компьютер в домене и был затронут частично сетевой диск CollectionLog-2017.04.12-14.06.zip
    • Эдуард Пятницкий
      Шифровальшик volantem_diem@aol.com
      Автор Эдуард Пятницкий
      Добрый день!

      Вирус зашифровал множество файлов Program Files Антивирус kaspersky endpoint security 10 его пропустил.

      Помогите пожалуйста расшифровать. Прикрепляю сам вирус и пару зараженных файлов

       


      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные ссылки и файлы на форуме.
    • SergeyKomarov
      вирус Wallet (Satan-stn)
      Автор SergeyKomarov
      Утром пришли на работу, увидели, что один из серверов зашифрован вирусом wallet
      Все файлы имеют расширение: r.id-A7C85580.[satan-Stn@bitmessage.ch].wallet
      Удалённый доступ был блокирован desktop lock express
      От него избавились, а вот от wallet - нет.
      Зашифрованы все файлы на сервере, где хранится 1С, в том числе и в ProgramFiles.
      Кроме того, зашифрован внешний жёсткий диск с бэкапом и второй копьютер с 1С
      CollectionLog-2017.04.13-12.23.zip
    • Асылбек
      зашифрованые файлы (.WALLET)
      Автор Асылбек
      Здравствуйте! я поймал вирус шифровальщик (.WALLET) т.е ко всем файлам на компьютере добавилось расширение  .WALLET, а исходные файлы имеют размер 0кб. 
       
      Есть ли решение по дешифровке файлов?
       
      во вложении файл оригинал и зашифрованный.
         
      зашифрованый файл.rar
    • Print1972g
      Зашифровано шифровальщиком
      Автор Print1972g
      поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора
      CollectionLog-2017.04.10-10.52.zip
×
×
  • Создать...