Перейти к содержанию

Шифровальщик [trizvani@aol.com].harma

JonAirs
 Share Подписчики 2

Рекомендуемые сообщения

JonAirs

JonAirs 0

Опубликовано
Опубликовано

День добрый поймали шифровальщик [trizvani@aol.com].harma зашифровал данные на 1 диске касперский стоит и он купленный,

тест утилитой Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Так же 11-01-2021_15-11-05.zip файл для примера и помощи в дешифровке идентичный в зашифрованном и не зашифрованном виде.

 

Desktop.rarЛоги утилиты.

 

Просим помочь в дешифровке.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 890

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

50 минут назад, JonAirs сказал:

касперский стоит и он купленный

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
JonAirs

JonAirs 0

Опубликовано
  • Автор
Опубликовано
4 минуты назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

какого плана помощь вы предлагаете?

Ссылка на сообщение
Поделиться на другие сайты
JonAirs

JonAirs 0

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Sandor сказал:

на основе логов FRST.

это с лога скопировать в утилиту часть текста и фикс нажать? Если да напомните какую часть из лога копировать.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 890

Опубликовано
Опубликовано (изменено)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
JonAirs

JonAirs 0

Опубликовано
  • Автор
Опубликовано
19 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CreateRestorePoint:
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 890

Опубликовано
Опубликовано

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
JonAirs

JonAirs 0

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 890

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.8.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.0.21 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.4.6 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Appdater v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • VitProff
      Нужна помощь с расшифровкой данных после шифровальщика [yourfiles1@cock.li].NOV
      От VitProff
      Здравствуйте!
      Обращаюсь за помощью по расшифровке файлов базы данных 1С после шифровальщика.
      Расширение шифрованных файлов [yourfiles1@cock.li].NOV
       
      Пожалуйста помогите если есть возможность расшифровать.
    • Ливерпуль
      Шифровальщик id-D8F0911E.[necurs@aol.com].urs
      От Ливерпуль
      Добрый день!
      25.02.21 в 2 часа ночи произошло шифрование документов и баз 1С на сервере. Скорее всего был подобран пароль через RDP.
      Шифрование произошло под пользователем. Учетная запись админа в порядке. Картинки с требованиями не видел, черный экран при входе под пользователем.
      Спасибо за любую помощь!
       
      Addition.txt FRST.txt Docum.rar virus.rar
    • belokuriha
      Зашифрован весь диск *.harma
      От belokuriha
      Добрый день. Очень сильно нужна помощь . Сегодня с утра включил компьютер , и обнаружил что все файлы были зашифрованы . Висит табличка с указанием сколько нужно денег и какой адрес слать .
       
      Попробовал утилитку RakhniDecryptor , к сожалению она сказала что не знает такие файлы. Подскажите как я могу расшифровать , хотя бы  базы и часть сайта нужно забрать с диска.
    • Петя696
      Тоже поймали шифровальщика carbanak@aol.com
      От Петя696
      тоже поймали шифровальщика carbanak@aol.com, 1 сервер расшифровали, а остальные после перевода денег просто перестали отвечать, ПРИЗЫВАЮ НИ ВКОЕМ СЛУЧАЕ НЕ ПЛАТИТЬ carbanak@aol.com!
      Также может получится сделать дешифратор, во вложении находится сам вирус и архив с обработкой расшифровки и 2 файла до и после.
      В обработке нажимаем скан, получаем код запроса, отправляем злодею и в ответ получаем код на разблокировку. Прошу по возможности помочь, осталось порядка 10 компов зашифровано
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/80191-pomoshh-s-shifrovalshhikom-securemilleni5000qqcomid-e6c57c30carbanakaolcom/  
      ВИРУС.7z зашифровано.7z
    • Technodancer123
      помощь с шифровальщиком secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]
      От Technodancer123
      Пойман шифровальщик. зашифрованы не все данные на сервере, а лишь часть. На системном диске в профилях пользователя все файлы целы, а вот на втором жестком диске, где находились базы 1с, офисные документы и бекапы баз(сделанные veeam agent) - они зашифрованные. Оканчивается зашифрованные файлы на:
      ".secure[milleni5000@qq.com].id-E6C57C30.[carbanak@aol.com]", а некоторые на более короткий вариант ".id-E6C57C30.[carbanak@aol.com]"
      Тип файла: Файл "PAUQ" (.pauq)
      Требования.7z
      Прикладываю файлы с требованиями и два зараженных файла два зараженных файла.7zFRST.txt
      а так же логи из программы
      Просьба оказать помощь, подсказать как поступить, что делать.
      Addition.txt
×
×
  • Создать...