crysis Шифровальщик [trizvani@aol.com].harma

12 января, 2021

День добрый поймали шифровальщик [trizvani@aol.com].harma зашифровал данные на 1 диске касперский стоит и он купленный,

тест утилитой Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Так же 11-01-2021_15-11-05.zip файл для примера и помощи в дешифровке идентичный в зашифрованном и не зашифрованном виде.

Desktop.rarЛоги утилиты.

Просим помочь в дешифровке.

12 января, 2021

Здравствуйте!

Расшифровки этой версии вымогателя нет.

50 минут назад, JonAirs сказал:

касперский стоит и он купленный

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

12 января, 2021

4 минуты назад, Sandor сказал:

Здравствуйте!

Расшифровки этой версии вымогателя нет.

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

какого плана помощь вы предлагаете?

12 января, 2021

5 минут назад, Sandor сказал:

Помощь в очистке системы от следов

на основе логов FRST.

12 января, 2021

1 минуту назад, Sandor сказал:

на основе логов FRST.

это с лога скопировать в утилиту часть текста и фикс нажать? Если да напомните какую часть из лога копировать.

12 января, 2021

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 12 января, 2021 пользователем Sandor

12 января, 2021

19 минут назад, Sandor сказал:

Отключите до перезагрузки антивирус.

Выделите следующий код:


Start::
CreateRestorePoint:
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Fixlog.txt

12 января, 2021

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

12 января, 2021

5 минут назад, Sandor сказал:

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)

Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

SecurityCheck.txt

12 января, 2021

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.8.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.0.21 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.4.6 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Appdater v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

crysis Шифровальщик [trizvani@aol.com].harma

Рекомендуемые сообщения

JonAirs

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

JonAirs

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

JonAirs

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

JonAirs

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

JonAirs

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum