Перейти к содержанию

Рекомендуемые сообщения

Привет!

 

Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые).

Система - Windows 7 64

 

Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его.

 

Александр.

IMG_20201223_110046_771.jpg

Files.zip Harma_v.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [I52NM2_payload.exe] => C:\Windows\System32\I52NM2_payload.exe [94720 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13924 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Users\admin\AppData\Roaming\Info.hta] => C:\Users\admin\AppData\Roaming\Info.hta [13924 2020-12-15] () [File not signed]
HKLM\...\Run: [C:\Users\Бухгалтер\AppData\Roaming\Info.hta] => C:\Users\Бухгалтер\AppData\Roaming\Info.hta [13924 2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\I52NM2_payload.exe [2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-12-21] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {3B825156-1590-4366-B5F8-E70A29B6B87A} - System32\Tasks\{F864C882-E904-4309-98B9-4390F9209AAE} => C:\Windows\system32\pcalua.exe -a C:\Users\Бухгалтер\AppData\Local\Temp\jre-7u51-windows-i586.exe -d C:\Users\Бухгалтер\AppData\Local\Temp <==== ATTENTION
2020-12-21 10:21 - 2020-12-21 10:21 - 000013924 _____ C:\Users\Бухгалтер\AppData\Roaming\Info.hta
2020-12-21 10:21 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Бухгалтер\Desktop\FILES ENCRYPTED.txt
2020-12-21 10:05 - 2020-12-21 10:05 - 000094720 _____ C:\Users\Бухгалтер\AppData\Roaming\I52NM2_payload.exe
2020-12-15 03:53 - 2020-12-21 10:21 - 000013924 _____ C:\Windows\system32\Info.hta
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Ермаков Роман
      Доброго времени суток!
      Словил шифровальщика.
      Система не загружается, так как профили повреждены. Логи с чистой системы.
      Прошу помощи в расшифровке! Есть антивирус с коммерческой лицензией.
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • От voznesensk12
      Жду помощи
      Архив WinRAR.rar
    • От vas
      Здравствуйте!
      Поймали шифровальщика, как - непонятно, система залогиниться не даёт.
      системный раздел и часть данных восстановили из "ночной" копии (таким образом есть исходные и шифрованные экземпляры файлов)
      в восстановленную систему подключил зашифрованные диски
      к именам зашифрованных файлов добавилось ".id-74BE11F1.[crypt0r1@protonmail.com]"
       
      Но, как оказалось, не всё нужное попало в резервную копию...
       
      Автоматический сборщик логов запускал на восстановленной системе
      также прикладываю "образцы" зашифрованных и исходных файлов
       
      с робкой надеждой на успех...
       
      Спасибо!
      CollectionLog-2020.07.17-04.23.zip _образцы.7z
    • От ASDPhantom
      Подцепили вирус. я так понимаю он ломает через RDP
      Сообщение:
      all your data has been locked us
      You want to return?
      Write email Dharm727@gmx.de or Dharm727@protonmail.com
      файлы вируса переименовал пока 1DVBG7_payload.exe
       
      Помогите пожалуйста! Резервных копий нет (
       
      CollectionLog-2020.06.08-09.55.zip
    • От KL FC Bot
      Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний. Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше. Поэтому попытки поймать бизнес на удочку продолжаются.
      Трюков существует множество, но среднестатистический мошенник ленив. Поэтому в большинстве случаев он пробует вариации на тему одних и тех же уловок. Мы решили собрать здесь самые распространенные схемы.
      Виды наживки
      Злоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него. Перешли по ссылке, открыли вложенный документ, оплатили счет. Для того чтобы вы это сделали, ему надо завладеть вашим вниманием.
      Привет от налоговой
      Вам приходит письмо о том, что вы не уплатили такой-то налог в полном объеме, вам начислены пени, и если вы с этим не согласны, надо скачать приложенную к письму форму, заполнить и отправить. В форме, разумеется, обнаруживается макрос — и как только вы его включаете (а пользователь уже привык автоматически кликать «согласен» в большинстве появляющихся окон), он незамедлительно скачивает из сети какой-нибудь вредонос и запускает его.
      Налоговой боятся многие компании, но свой страх надо знать в лицо: разбираться в том, как могут выглядеть письма от налоговой в вашем регионе, знать, будет она вообще писать по электронной почте или сразу позвонит.
      Уведомление о непрошедших платежах
      Заплатили налоги и рассчитались со всеми контрагентами? Это хорошо, но вот пишут, что платеж не прошел. Дальше может быть что угодно — от просьбы оплатить выставленный якобы повторно счет до требования сходить на какой-нибудь сомнительный сайт.
      От посещения сомнительных сайтов могут уберечь здравый смысл и антивирус, а вот от повторной оплаты счета — только здравый смысл.
      Предложение от таинственного контрагента
      «Здравствуйте, я представляю организацию «Дрова и Корыта», мы хотели бы поставлять для вашей компании нашу продукцию, прайс-лист во вложении, очень жду вашего ответа». Во вложении действительно есть какой-то файл. И хорошо еще, если это опять текст с макросом, а не замаскированный под документ исполняемый файл. Письма от условных «Дров и Корыт» обычно рассылают массово, рассчитывая попасть хотя бы в какую-то организацию.
      Уведомление от службы безопасности
      Этот способ обмана действует в основном для компаний с офисами в разных городах. Зачастую сотрудники региональных отделений плохо представляют себе, как выглядят и чем занимаются коллеги из головного офиса. Получив письмо, скажем, от имени «главного безопасника» с требованием установить некий сертификат, многие безропотно пойдут это требование исполнять, не посмотрев, что на самом деле письмо отправлено с «левого» почтового адреса. Сертификат установлен? Вы на крючке.
      К чему приводит попадание на крючок
      С фишинговыми сайтами все, как правило, понятно — они служат для того, чтобы похитить у вас учетные данные. А вот вредоносы в письмах попадаются разные. Но чаще всего вы столкнетесь с каким-нибудь представителем из следующего списка.
      Крыса в компьютере
      Один из самых любимых инструментов киберпреступников — программа для удаленного доступа к компьютеру (Remote Access Tool, сокращенно RAT). С ее помощью злоумышленники попадают в сеть предприятия, а там они могут делать что угодно. Например, установить дополнительные вредоносы. Украсть важные документы. Или, скажем, найти компьютер человека, отвечающего за финансы, и перехватить данные для доступа к платежной системе. Ну а дальше просто перевести деньги компании на свой счет.
      Шифровальщик
      Шифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать. Документ не прочитать, презентацию не показать. Бывают еще такие шифровальщики, которые распространяются по локальной сети — то есть попадает зловред на один компьютер, а данные в результате зашифрованы на всех машинах, до которых он смог дотянуться. За возврат данных злоумышленники требуют выкуп. Например, не так давно жертвой шифровальщика стала администрация города Балтимор, в результате чего часть городских служб просто не работала. Чтобы вернуть все как было, злоумышленники требовали более 100 тысяч долларов.
      Шпионаж
      Также организациям любят подсовывать шпионов — зловредов, которые собирают конфиденциальную информацию. Шпионский троян тихо сидит на компьютере, записывая логины, пароли и адреса, коллекционируя переписку и пересылаемые файлы. Для высокотехнологичных компаний основная опасность в том, что какое-то ноу-хау и планы узнают конкуренты, а прочим организациям шпионы грозят в первую очередь тем, что злоумышленники получат доступ к управлению деньгами и украдут их. Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов.
      Чтобы не попадаться на уловки злоумышленников, надо:
      Быть внимательным. Знать законы, в юрисдикции которых вы работаете, и понимать методы госструктур и регуляторов. Разбираться в том, какие типы файлов опаснее других. Не брезговать антивирусом, желательно с хорошей защитой против фишинга и спама . View the full article
×
×
  • Создать...