Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Помогите расшифровать файлы Harma

kazak81
 Поделиться

Рекомендуемые сообщения

kazak81

kazak81

Опубликовано
Опубликовано (изменено)

Всем привет

 

в ночь с 6 на 7 января все файлы на сервере были зашифрованы. 

у каждого файла вот такое окончание

*.id-ТУТ_указан_id.[cryptor6@tutanota.com].harma

 

ТУТ_указан_id - это 8 символов (буквы и цифры) английского алфавита. у всех файлов полностью одинаковое. не пишу пока этот код

 

на всех дисках, рабочем столе и тд создался файл Files Encrypted.txt, внутри которого написано что все файлы зашифрованы и хотите вернуть напишите на следующие адреса почты cryptor6@tutanota.com или filemgr@tutanota.com

 

как обнаружил скачал утилиту drweb CureIT. просканировал. он нашел пару файлов. я их удалил и снял с автозагрузки

пустые текстовые файлы не зашифровал

также зашифрованы все программы на сервере

 

Сменил пароли на сервере. 

 

написал им письмо. они попросили 1 файл не важный до 1 мб. я им прислал - они в ответ выслали расшифрованный файл.

просят сумму денег

 

Прикладываю отчет

CollectionLog-2020.01.08-15.03.zip

Изменено пользователем kazak81
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','');

 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','');

 QuarantineFile('C:\Windows\pss\EW9G46_payload.exe','');

 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe','x64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe','x64');

 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','64');

ExecuteSysClean;

end.


 


 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 




O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.CommonStartup (2020/01/07)

O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.Startup (2020/01/07)

O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta


 

Сделайте новые логи Автологгером. 

 

mike 1

mike 1

Опубликовано
Опубликовано

У Вас проблемы с чтением инструкций? Я эти логи не просил. 

kazak81

kazak81

Опубликовано
  • Автор
Опубликовано

вот этих двух строчек не нашел

 

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.CommonStartup (2020/01/07)

O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.Startup (2020/01/07)

CollectionLog-2020.01.08-16.51.zip

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано (изменено)
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Далее пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525 

 

Смените все пароли. 
Изменено пользователем mike 1
  • 2 недели спустя...
kazak81

kazak81

Опубликовано
  • Автор
Опубликовано

запрос написал - расшифровать невозможно

 

после всех чисток на сервере спустя 2 недели снова возникло сообщение что файлы зашифрованы и пишите по определенному адресу. 

но это было просто сообщение. новые файлы не зашифрованы.

сервер не перегружал

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
    • mixa200z
      Шифровальщик [projectblack@criptext.com].PB
      Автор mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
×
×
  • Создать...