Перейти к содержанию

Рекомендуемые сообщения

Привет!

 

Файлы на компьютере зашифрованы [Cleveraynaz@gmail.com].harma, предполагаю что заражение произошло через RDP (логин и пароль простые).

Система - Windows 7 64

 

Начал переписываться и торговаться с этими гадами и в процессе переписки мне прислали странный скриншот с ключом. Прикрепил его.

 

Александр.

IMG_20201223_110046_771.jpg

Files.zip Harma_v.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [I52NM2_payload.exe] => C:\Windows\System32\I52NM2_payload.exe [94720 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13924 2020-12-21] () [File not signed]
HKLM\...\Run: [C:\Users\admin\AppData\Roaming\Info.hta] => C:\Users\admin\AppData\Roaming\Info.hta [13924 2020-12-15] () [File not signed]
HKLM\...\Run: [C:\Users\Бухгалтер\AppData\Roaming\Info.hta] => C:\Users\Бухгалтер\AppData\Roaming\Info.hta [13924 2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\I52NM2_payload.exe [2020-12-21] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-12-21] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {3B825156-1590-4366-B5F8-E70A29B6B87A} - System32\Tasks\{F864C882-E904-4309-98B9-4390F9209AAE} => C:\Windows\system32\pcalua.exe -a C:\Users\Бухгалтер\AppData\Local\Temp\jre-7u51-windows-i586.exe -d C:\Users\Бухгалтер\AppData\Local\Temp <==== ATTENTION
2020-12-21 10:21 - 2020-12-21 10:21 - 000013924 _____ C:\Users\Бухгалтер\AppData\Roaming\Info.hta
2020-12-21 10:21 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Бухгалтер\Desktop\FILES ENCRYPTED.txt
2020-12-21 10:05 - 2020-12-21 10:05 - 000094720 _____ C:\Users\Бухгалтер\AppData\Roaming\I52NM2_payload.exe
2020-12-15 03:53 - 2020-12-21 10:21 - 000013924 _____ C:\Windows\system32\Info.hta
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-12-15 03:53 - 2020-12-21 10:21 - 000000218 _____ C:\FILES ENCRYPTED.txt
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От GG Securuty
      Не уверенна что нас сюда пустят - но я попробую 😊
       
       
    • От Nick2312
      Добрый день,
      словили вирус шифровальщик. В результате общения со злоумышленниками удалось получить ключик,
      но нет самой программы дешифратора.  Если есть возможность, поделитесь программой. 
       
      ЗЫЖ
      Да, такое бывает. Кто-то заплатил и получил ответ. Кто-то получил программу иными путями. 
    • От microran
      Сообщение от модератора thyrex Перемещено в Помощь по расшифровке  
      Здравствуйте все файлы были зашифрованы вирусом [helpmedecoding@airmail.cc].harma
       
      Логи:
      CollectionLog-2021.02.12-11.10.zip
    • От lam
      Здравствуйте. Обращается к вам Администрация Забайкальского краевого училища культуры. 11 января наш сервер был взломан и файлы были зашифрованы. Даже архивные данные. Сейчас работа локальной сети восстановлена, но работа сайта, почты учреждения не возможна. Все данные потеряны и зашифрованы.  Помогите, пожалуйста, в расшифровке данных. За ранее благодарим за помощь. Доступа к системе нет, но все зашифрованные файлы имеются. Совет профилактики архив.zip
    • От Ермаков Роман
      Доброго времени суток!
      Словил шифровальщика.
      Система не загружается, так как профили повреждены. Логи с чистой системы.
      Прошу помощи в расшифровке! Есть антивирус с коммерческой лицензией.
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...