Перейти к содержанию

Шифровальщик [Cleveraynaz@gmail.com].harma

Александр Резник

От Александр Резник
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Александр Резник Новичок

Александр Резник

Опубликовано
Опубликовано

Привет!

 

Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые).

Система - Windows 7 64

 

Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его.

 

Александр.

IMG_20201223_110046_771.jpg

Files.zip Harma_v.zip Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [I52NM2_payload.exe] => C:\Windows\System32\I52NM2_payload.exe [94720 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13924 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Users\admin\AppData\Roaming\Info.hta] => C:\Users\admin\AppData\Roaming\Info.hta [13924 2020-12-15] () [File not signed]
HKLM\...\Run: [C:\Users\Бухгалтер\AppData\Roaming\Info.hta] => C:\Users\Бухгалтер\AppData\Roaming\Info.hta [13924 2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\I52NM2_payload.exe [2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-12-21] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {3B825156-1590-4366-B5F8-E70A29B6B87A} - System32\Tasks\{F864C882-E904-4309-98B9-4390F9209AAE} => C:\Windows\system32\pcalua.exe -a C:\Users\Бухгалтер\AppData\Local\Temp\jre-7u51-windows-i586.exe -d C:\Users\Бухгалтер\AppData\Local\Temp <==== ATTENTION
2020-12-21 10:21 - 2020-12-21 10:21 - 000013924 _____ C:\Users\Бухгалтер\AppData\Roaming\Info.hta
2020-12-21 10:21 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Бухгалтер\Desktop\FILES ENCRYPTED.txt
2020-12-21 10:05 - 2020-12-21 10:05 - 000094720 _____ C:\Users\Бухгалтер\AppData\Roaming\I52NM2_payload.exe
2020-12-15 03:53 - 2020-12-21 10:21 - 000013924 _____ C:\Windows\system32\Info.hta
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Korwin312
      Шифровальщик ooo4ps.
      От Korwin312
      Добрый день.
      Зашифрованы файлы на диске C. Полностью заблокирован диск D.
      Атака совершена 22.02 около полуночи.
      Файлы прилагаю.
       
      FRST.txt Addition.txt Shortcut.txt FILES_ENCRYPTED.txt logo_TF_2016_222px (1).png.rar
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
×
×
  • Создать...