Перейти к содержанию

Шифровальщик [trizvani@aol.com].harma


Рекомендуемые сообщения

День добрый поймали шифровальщик [trizvani@aol.com].harma зашифровал данные на 1 диске касперский стоит и он купленный,

тест утилитой Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Так же 11-01-2021_15-11-05.zip файл для примера и помощи в дешифровке идентичный в зашифрованном и не зашифрованном виде.

 

Desktop.rarЛоги утилиты.

 

Просим помочь в дешифровке.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

50 минут назад, JonAirs сказал:

касперский стоит и он купленный

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

какого плана помощь вы предлагаете?

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Sandor сказал:

на основе логов FRST.

это с лога скопировать в утилиту часть текста и фикс нажать? Если да напомните какую часть из лога копировать.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
    C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
    2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
    2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
    C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
    2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
    2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, Sandor сказал:

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.8.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.0.21 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.4.6 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Appdater v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
×
×
  • Создать...