Перейти к содержанию

"Поймали" harma ...

vas
 Share Подписчики 1

Рекомендуемые сообщения

vas

vas 0

Опубликовано
Опубликовано

Здравствуйте!

Поймали шифровальщика, как - непонятно, система залогиниться не даёт.

системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)

в восстановленную систему подключил зашифрованные диски

к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
 

Но, как оказалось, не всё нужное попало в резервную копию...

 

Автоматический сборщик логов запускал на восстановленной системе

также прикладываю "образцы" зашифрованных и исходных файлов

 

с робкой надеждой на успех...

 

Спасибо!

CollectionLog-2020.07.17-04.23.zip _образцы.7z

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
vas

vas 0

Опубликовано
  • Автор
Опубликовано

Добрый вечер.

 

История имеет продолжение.

 

после частичного восстановления данных (не здесь, увы и ах, но и не у вымогателя) восстановленная машина была снова зашифрована ?

(ну что сделаешь, такие вот мы (((

на этот раз удалось попасть в саму систему без восстановления, руками были найдены несколько экземпляров зловреда (думаю, что зловред, проверять не стал )),
но имя 9878BM_payload.exe и info.hta), и найденные экземпляры были перемещены в отдельную папку и с них сделан шифрованный архив, если нужно, предоставлю.

 

Потом запустил автоматический сборщик логов, файлы прикладываю.

 

компьютер был восстановлен из архива, но два дня работы 1С-ников (как оказалось, очень напряжённых и плодотворных) таки пропали.

так что восстановление бы не очень не помешало...

если нужны шифрованные/нешифрованные  образцы файлов - предоставлю.

 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Паролm от RDP давно пора сменить, а сам RDP скрыть за VPN.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [9878BM_payload.exe] => C:\Windows\System32\9878BM_payload.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta"
HKLM\...\Run: [d:\Users\Bgt4\AppData\Roaming\Info.hta] => mshta.exe "d:\Users\Bgt4\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [9878BM_payload.exe] => C:\Users\vas\AppData\Roaming\9878BM_payload.exe
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\Run: [C:\Users\vas\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\vas\AppData\Roaming\Info.hta"
HKU\S-1-5-21-4016076152-4029761368-1868360458-1000\...\MountPoints2: {dd6e2b3e-9327-11e8-96d3-806e6f6e6963} - I:\SETUP.EXE
IFEO\sethc.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
IFEO\utilman.exe: [Debugger] C:\Windows\Logs\Backdoor.exe
Lsa: [Notification Packages] scecli rassfm
GroupPolicy: Restriction ? <==== ATTENTION
Task: {C340B803-9DF7-458A-98E0-C85813DCB425} - \KMSAuto -> No File <==== ATTENTION
Task: {DBBCD7CF-DC59-45B6-9F53-990B95D624A5} - \KMSAutoNet -> No File <==== ATTENTION
2020-07-26 11:54 - 2020-07-26 13:47 - 000000222 _____ C:\FILES ENCRYPTED.txt
2020-07-26 11:54 - 2020-07-26 11:54 - 000000222 _____ d:\Users\Bgt4\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} =>  -> No File
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} =>  -> No File
C:\Windows\Logs\Backdoor.exe
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Толку никакого от образцов. Я написал, что расшифровки нет.

 

Скрипт выполняйте. Там у Вас отладчик висит.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Bruce007
      Прошу помочь с расшифровкой файлов *.SYSDF
      От Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
    • cisbbs
      Файлы с указанием в расширении Roger
      От cisbbs
      Прошу помощи в расшифровке файлов.
      Есть оригинальные файлы и файлы зашифрованные вирусом. В описании вируса присутсвует почта cheese47@cook.li и chesee47@tutanota.com
    • Владимир Жондарев
      Шифровальщик [decryptioner@airmail.cc].harma
      От Владимир Жондарев
      Каким-то образом проник шифровальщик. Помогите расшифровать переименованный файлы.
      <имя_файла>.<оригинальное_расширение>.id-BC84594A.[decryptioner@airmail.cc].harma
      FILES ENCRYPTED.txt
      Пример зашифрованного файла.rar
    • DANJES
      Словил еще в 2020 [filesneed@aol.com].VWA
      От DANJES
      Доброго времени суток, словил [filesneed@aol.com].VWA еще в 2020, не было времени заниматься этим, хотел узнать появилась ли возможность раскодировать?
      Заранее спасибо за ответ.
      В прикрепе есть файлы закодированные и такие же без кодировки вдруг как то поможет)
      0937727900.pdf 0937727900.pdf.id-72BDC82D.[filesneed@aol.com].zip СЧЕТ 0220.doc
    • Siboc
      Помощь с расшифровкой файлов
      От Siboc
      Добрый день.
       
      На компьютере запустили шифровальщик - файл нашли и приложил. Взломали или кто-то злоумышленно разбираемся.
        
      Подскажите, возможно ли такое расшиваровать.
      Файлы без пароля(virus) батник и ссылка на яндекс.
      killrdp.bat.id-EC7CEE84.[cheese47@cock.li].7z Yandex.lnk.id-EC7CEE84.[cheese47@cock.li].7z payload-шифровальщик.7z
×
×
  • Создать...