Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите расшифровать файлы Harma

kazak81
 Share Подписчики 0

Рекомендуемые сообщения

kazak81

kazak81 0

Опубликовано
Опубликовано (изменено)

Всем привет

 

в ночь с 6 на 7 января все файлы на сервере были зашифрованы. 

у каждого файла вот такое окончание

*.id-ТУТ_указан_id.[cryptor6@tutanota.com].harma

 

ТУТ_указан_id - это 8 символов (буквы и цифры) английского алфавита. у всех файлов полностью одинаковое. не пишу пока этот код

 

на всех дисках, рабочем столе и тд создался файл Files Encrypted.txt, внутри которого написано что все файлы зашифрованы и хотите вернуть напишите на следующие адреса почты cryptor6@tutanota.com или filemgr@tutanota.com

 

как обнаружил скачал утилиту drweb CureIT. просканировал. он нашел пару файлов. я их удалил и снял с автозагрузки

пустые текстовые файлы не зашифровал

также зашифрованы все программы на сервере

 

Сменил пароли на сервере. 

 

написал им письмо. они попросили 1 файл не важный до 1 мб. я им прислал - они в ответ выслали расшифрованный файл.

просят сумму денег

 

Прикладываю отчет

CollectionLog-2020.01.08-15.03.zip

Изменено пользователем kazak81
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','');

 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','');

 QuarantineFile('C:\Windows\pss\EW9G46_payload.exe','');

 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe','x64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe','x64');

 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EW9G46_payload.exe','64');

ExecuteSysClean;

end.


 


 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 




O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.CommonStartup (2020/01/07)

O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.Startup (2020/01/07)

O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta


 

Сделайте новые логи Автологгером. 

 

Ссылка на сообщение
Поделиться на другие сайты
kazak81

kazak81 0

Опубликовано
  • Автор
Опубликовано

вот этих двух строчек не нашел

 

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.CommonStartup (2020/01/07)

O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EW9G46_payload.exe [backup] = C:\Windows\pss\EW9G46_payload.exe.Startup (2020/01/07)

CollectionLog-2020.01.08-16.51.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано (изменено)
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Далее пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525 

 

Смените все пароли. 
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
kazak81

kazak81 0

Опубликовано
  • Автор
Опубликовано

запрос написал - расшифровать невозможно

 

после всех чисток на сервере спустя 2 недели снова возникло сообщение что файлы зашифрованы и пишите по определенному адресу. 

но это было просто сообщение. новые файлы не зашифрованы.

сервер не перегружал

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок
      От Vova333
      Зашифровали Файлы в локальной сети (общей папке) на нескольких компьютерах и поменяли данные создания папок. заметили сегодня утром . данные папок были изменены примерно 21.05.2024 в 1 час 22 минуты (это данные измененных папок). Компьютеры подключены общей локальной сетью, работы происходят на них в общей рабочей папке и данная Папка была полностью зашифрована (включая все продукты оффис ). шифр на всех документах один
       id-9439B95D.[anticrypto@tutanota.com]
      Что делать? как быть?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • itcenter
      Шифровальщик decrypt@techie.com ~.MNX
      От itcenter
      Зашифровались данные в ночь с 20.11.2022 на 21.11.2022.
      Требования злоумышленника найти не удалось.
      Файлы типа 1Cv8.1CD.id[присвоенный ID].[decrypt@techie.com].MNX
      Telegram.exe.id[9A339C28-3426].[decrypt@techie.com].MNX
      Документация.doc.id[9A339C28-3426].[decrypt@techie.com].MNX
      Addition.txt FRST.txt virus.rar
    • kanstantinn
      Прихватили шифровальщика .decrypt
      От kanstantinn
      Добрый день, может поможете, может ситуация изменилась, есть схожие ветки, но они без расшифровки
      Прихватили шифровальщика .decrypt  по rdp, исполнительный файл fast.exe и примеры шифрованных данных в приложении
      address: johnhelper777@gmx.de
      Fast.rarDesktop.rar
    • NAYEIM
      I need decrypt ransome virus ITS extention name is "eijy".
      От NAYEIM
      Dear Concern,
      Please help me for decrypt my files from "eijy" extention. 
    • kpp33
      Зашифровались файлы [DDCE6F43-3349].[johnhelper@gmx.de].decrypt
      От kpp33
      В ночь с 19 на 20 мая зашифровались файлы. Подключились по RDP
       
      -Прилагаю два зашифрованных файла
      -Файл с текстом от вымогателей
      -Сам шифровальщик Fast.exe
      -Логи Farbar Recovery Scan Tool
       
      Помогите пожалуйста!
       
      Спасибо БОЛЬШОЕ!
      Fast.rar FRST.txt info.txt Addition.txt encrypted files.rar
×
×
  • Создать...