Перейти к содержанию

Шифровальщик [Cleveraynaz@gmail.com].harma

Александр Резник

Автор Александр Резник
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Резник

Александр Резник

Опубликовано
Опубликовано

Привет!

 

Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые).

Система - Windows 7 64

 

Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его.

 

Александр.

IMG_20201223_110046_771.jpg

Files.zip Harma_v.zip Addition.txt FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\...\Run: [I52NM2_payload.exe] => C:\Windows\System32\I52NM2_payload.exe [94720 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13924 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Users\admin\AppData\Roaming\Info.hta] => C:\Users\admin\AppData\Roaming\Info.hta [13924 2020-12-15] () [File not signed]
HKLM\...\Run: [C:\Users\Бухгалтер\AppData\Roaming\Info.hta] => C:\Users\Бухгалтер\AppData\Roaming\Info.hta [13924 2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\I52NM2_payload.exe [2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-12-21] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {3B825156-1590-4366-B5F8-E70A29B6B87A} - System32\Tasks\{F864C882-E904-4309-98B9-4390F9209AAE} => C:\Windows\system32\pcalua.exe -a C:\Users\Бухгалтер\AppData\Local\Temp\jre-7u51-windows-i586.exe -d C:\Users\Бухгалтер\AppData\Local\Temp <==== ATTENTION
2020-12-21 10:21 - 2020-12-21 10:21 - 000013924 _____ C:\Users\Бухгалтер\AppData\Roaming\Info.hta
2020-12-21 10:21 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Бухгалтер\Desktop\FILES ENCRYPTED.txt
2020-12-21 10:05 - 2020-12-21 10:05 - 000094720 _____ C:\Users\Бухгалтер\AppData\Roaming\I52NM2_payload.exe
2020-12-15 03:53 - 2020-12-21 10:21 - 000013924 _____ C:\Windows\system32\Info.hta
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Александр Резник

Александр Резник

Опубликовано
  • Автор
Опубликовано

Спасибо. А нет возможности расшифровать?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • freespect
      Шифровальщик m0r0kt34m@gmail.com
      Автор freespect
      Доброго времени суток!

      Столкнулся с неизвестным типом шифровальщика, антивирус его никак не обнаружил.
      Прикрепляю архив с примерами зашифрованного и оригинального файлов. К сожалению, больше информации на данный момент нету.
      Заранее спасибо!
      crypt.rar
    • АлександрЛ.
      Поймали шифровальщик decodehop@gmail.com
      Автор АлександрЛ.
      Добрый день!
       
      Большая просьба дать инструкции и помочь с дешифровкой, если это возможно.
       
      Названия файлов такие: 20151225_173456.jpg.[MJ-RZ8234915670](decodehop@gmail.com ).hop_dec.
    • Kreout
      Шифровальщик (aaleenthomas@gmail.com).GAYGUY
      Автор Kreout
      Добрый день. Поймал примерно две недели назад неизвестного шифровальщика. Файла вируса не осталось. ОС переустановил.  Помогите, пожалуйста. 
      шифрованные файлы и инструкция.rar Addition.txt FRST.txt
    • Hikasi21
      Столкнулись с шифровальщиком .hop_dec (decodehop@gmail.com)
      Автор Hikasi21
      Здравствуйте. 
      Зашифровались все файлы в домене, вирус запускался от имени администратора домена, для восстановления доступа злоумышленники требуют отправить данные на адреса decodehop@gmail.com или hopdec@aidmail.cc

      Лог FRST, пример зашифрованных файлов и архив с вирусом в приложении
       FRST_log.zip  
      encrypted_files.zip virus(password_123).zip
    • bakankovaelena
      Пойман шифровальщик [nullhexxx@gmail.com].EAE6F491
      Автор bakankovaelena
      Сегодня утром были "обрадованы". Кто такой, какой тип не знаем. Есть только письмо от вымогателя и пара незашифрованных/зашифрованных файлов. Я сама не программист и с утилитой Farbar пока не справилась, надеюсь, что завтра кто-нибудь поможет и будет более полная информация.
      Файлы с файлами прилагаю
      OLD.7z
×
×
  • Создать...