Перейти к содержанию

Рекомендуемые сообщения

День добрый поймали шифровальщик [trizvani@aol.com].harma зашифровал данные на 1 диске касперский стоит и он купленный,

тест утилитой Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Так же 11-01-2021_15-11-05.zip файл для примера и помощи в дешифровке идентичный в зашифрованном и не зашифрованном виде.

 

Desktop.rarЛоги утилиты.

 

Просим помочь в дешифровке.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

50 минут назад, JonAirs сказал:

касперский стоит и он купленный

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

 

Злоумышленник обычно попадает в систему через взлом RDP с правами администратора, отключает защиту и вручную запускает шифрование.

Помощь в очистке системы от следов нужна или планируете переустановку?

какого плана помощь вы предлагаете?

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Sandor сказал:

на основе логов FRST.

это с лога скопировать в утилиту часть текста и фикс нажать? Если да напомните какую часть из лога копировать.

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
    C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
    2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
    2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {589687df-d0dc-11e7-8012-7427eafd01e1} - G:\setup.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1000\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb5d8e-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {88bb627d-99a4-11ea-94e2-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {e7b45473-8de5-11e9-bc76-7427eafd01e1} - F:\start.exe
    HKU\S-1-5-21-1476423457-4071704719-656057287-1003\...\MountPoints2: {eb5acbcc-499b-11ea-8f5f-7427eafd01e1} - F:\HiSuiteDownLoader.exe
    Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2021-01-09] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1003\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1002\User: Restriction <==== ATTENTION
    GroupPolicyUsers\S-1-5-21-1476423457-4071704719-656057287-1001\User: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Дмитрий\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Екатерина\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Кристина\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F011D74F-F519-4A66-AE71-90A43EA9CC00} - \Microsoft\Windows\Ras\SystemCheckSvc -> No File <==== ATTENTION
    C:\Users\Кристина\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
    2021-01-09 03:03 - 2021-01-09 03:03 - 000013918 _____ C:\Users\Надежда\AppData\Roaming\Info.hta
    2021-01-09 03:03 - 2021-01-09 03:03 - 000000216 _____ C:\Users\Надежда\Desktop\FILES ENCRYPTED.txt
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Sandor сказал:

Пароли на RDP и на учётные записи смените на сложные.

Проверьте уязвимые места:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.1.15.500 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.8.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.0.21 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.4.6 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Appdater v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Дмитрий Вавилово
      Добрый день.
      Есть пострадавший пк, зашифрованы файлы, есть ли возможность их расшифровать???
      https://yadi.sk/i/4zMyL6DSnpPDBw
    • От Avenasis
      Добрый день!

      Прошу помощи в расшифровке файлов.
       
      шифранул все что можно видать по RDP
      самое главное 1с базы SQL
      encrypted.zip Addition.txt FRST.txt
    • От Boforta
      На сервере оказались зашифрованы файлы 
      Также при сканировании был обнаружен Win32.Neshta.A
      Закупки на 2020 год.xlsx.id-30734615.[astra2eneca@aol.com].rar
    • От Snt
      Компьютер, который был оставлен на ночь во включенном состоянии около 4 утра подхватил вирус шифровальщик, после чего все файлы на компьютеры были зашифрованы. В папках с файлами были созданы с текстовым документом, в котором было указано, что для рашифровки необхидо отправить письмо по указанному email. Систему не трогал, вирус не удалял.
      FILES.rar FRST.txt Addition.txt
    • От AndreyC
      Доброе утро, а для кого то не очень..
       13.12.2020  зашел на сервер а там все файлы зашифрованы, и имеют разрешение файлов .msf. И текстовый файл в каждой папке «ENCRYPTED FILES.txt» 
      all your data has been locked us
      You want to return?
      Write email metasploit@post.com or metato3sploit@gobv2.eu
      Просканировал свои сервера на вирусы обнаружил вирус семейка Crysis/DHARMA.Естественно удалил его!  Начал гуглить искать бесплатные расшифровки но попытки были четны(( Без ключа  файлы не расшифровать. Отписал на почту которая указана в записке, договорились о цене за расшифровку, вчера уже был готов оплатить но перестали отвечать, письма на почту им не доходят, пробывал с разных почтовиков писать без полезно.. Я ищу контакт с этими злоумышленниками, или с людьми кто готов мне помочь с данным вопросом! Естественно не за бесплатно !
       
×
×
  • Создать...