crysis Шифровальщик [trizvani@aol.com].harma

JonAirs · 12 января

День добрый поймали шифровальщик [trizvani@aol.com].harma зашифровал данные на 1 диске касперский стоит и он купленный,

тест утилитой Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Так же 11-01-2021_15-11-05.zip файл для примера и помощи в дешифровке идентичный в зашифрованном и не зашифрованном виде.

Desktop.rarЛоги утилиты.

Просим помочь в дешифровке.

**Sandor** · 12 января

Здравствуйте!

Расшифровки этой версии вымогателя нет.

50 минут назад, JonAirs сказал:

касперский стоит и он купленный

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

JonAirs · 12 января

4 минуты назад, Sandor сказал:

Здравствуйте!

Расшифровки этой версии вымогателя нет.

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

какого плана помощь вы предлагаете?

**Sandor** · 12 января

5 минут назад, Sandor сказал:

Помощь в очистке системы от следов

на основе логов FRST.

JonAirs · 12 января

1 минуту назад, Sandor сказал:

на основе логов FRST.

это с лога скопировать в утилиту часть текста и фикс нажать? Если да напомните какую часть из лога копировать.

**Sandor** · 12 января

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 12 января пользователем Sandor

JonAirs · 12 января

19 минут назад, Sandor сказал:

Отключите до перезагрузки антивирус.

Выделите следующий код:


Start::
CreateRestorePoint:
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Fixlog.txt

**Sandor** · 12 января

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

JonAirs · 12 января

5 минут назад, Sandor сказал:

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)

Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

SecurityCheck.txt

**Sandor** · 12 января

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.8.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.0.21 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.4.6 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Appdater v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Войти

crysis Шифровальщик [trizvani@aol.com].harma

Рекомендуемые сообщения

JonAirs 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 856

Ссылка на сообщение

Поделиться на другие сайты

JonAirs 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 856

Ссылка на сообщение

Поделиться на другие сайты

JonAirs 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 856

Ссылка на сообщение

Поделиться на другие сайты

JonAirs 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 856

Ссылка на сообщение

Поделиться на другие сайты

JonAirs 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 856

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент

Сайт

Активность

Магазин

Поддержка

Сommunity