Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик [Cleveraynaz@gmail.com].harma

Александр Резник

Автор Александр Резник
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Резник

Александр Резник

Опубликовано
Опубликовано

Привет!

 

Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые).

Система - Windows 7 64

 

Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его.

 

Александр.

IMG_20201223_110046_771.jpg

Files.zip Harma_v.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [I52NM2_payload.exe] => C:\Windows\System32\I52NM2_payload.exe [94720 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13924 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Users\admin\AppData\Roaming\Info.hta] => C:\Users\admin\AppData\Roaming\Info.hta [13924 2020-12-15] () [File not signed]
HKLM\...\Run: [C:\Users\Бухгалтер\AppData\Roaming\Info.hta] => C:\Users\Бухгалтер\AppData\Roaming\Info.hta [13924 2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\I52NM2_payload.exe [2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-12-21] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {3B825156-1590-4366-B5F8-E70A29B6B87A} - System32\Tasks\{F864C882-E904-4309-98B9-4390F9209AAE} => C:\Windows\system32\pcalua.exe -a C:\Users\Бухгалтер\AppData\Local\Temp\jre-7u51-windows-i586.exe -d C:\Users\Бухгалтер\AppData\Local\Temp <==== ATTENTION
2020-12-21 10:21 - 2020-12-21 10:21 - 000013924 _____ C:\Users\Бухгалтер\AppData\Roaming\Info.hta
2020-12-21 10:21 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Бухгалтер\Desktop\FILES ENCRYPTED.txt
2020-12-21 10:05 - 2020-12-21 10:05 - 000094720 _____ C:\Users\Бухгалтер\AppData\Roaming\I52NM2_payload.exe
2020-12-15 03:53 - 2020-12-21 10:21 - 000013924 _____ C:\Windows\system32\Info.hta
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир Д.
      Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile
      Автор Владимир Д.
      В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.
      Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.
       

      FRST.rar
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • Artyom1990
      Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile
      Автор Artyom1990
      Здравствуйте, прошу помочь, подхватили шифровальщик, не могу ни удалить ни расшифровать файлы.
      .[Rdpdik6@gmail.com].lockedfile
      анкета сокращенная.pdf.[Rdpdik6@gmail.com]
      SearchReg.txt Addition.txt FRST.txt
      Это то что отправил вымогатель.
      #Read-for-recovery.txt
      Это то что отправил вымогатель.
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
×
×
  • Создать...