• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто .harma шифровальщик (ancrypted@tutanota.com or ancrypted@protonmail.com)

PrivatPersone

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Добрый день.
На МС Сервере 2016 поймали данный шифровальщик.
Помогите определиться с путями проникновения и, если есть возможность с расшифровкой данных.

Пример оставленной "записки" во вложении
 

Вложения

  • FILES ENCRYPTED.txt
    234 байт · Просмотры: 0

PrivatPersone

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
FRST64 отчет во вложении
 

Вложения

  • FRST.txt
    53.2 KB · Просмотры: 1
  • Addition.txt
    24 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,874
Реакции
2,581
Баллы
593
Судя по времени шифрования - проникновение по RDP.

Расшифровки нет ни в одной антивирусной компании.

1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13933 2020-04-27] () [File not signed]
HKLM\...\Run: [C:\Users\Administrator\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Administrator\AppData\Roaming\Info.hta"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-04-27] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-04-27] () [File not signed]
2020-04-27 18:10 - 2020-04-27 20:49 - 000013933 _____ C:\Windows\system32\Info.hta
2020-04-27 18:10 - 2020-04-27 20:49 - 000013933 _____ C:\Users\Administrator\AppData\Roaming\__Info.hta
2020-04-27 18:10 - 2020-04-27 20:49 - 000000234 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-04-27 18:10 - 2020-04-27 20:49 - 000000234 _____ C:\Users\Administrator\Desktop\FILES ENCRYPTED.txt
2020-04-27 18:10 - 2020-04-27 20:49 - 000000234 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-04-27 18:10 - 2020-04-27 20:49 - 000000234 _____ C:\FILES ENCRYPTED.txt
C:\Users\Administrator\AppData\Roaming\Info.hta
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
 
  • Like
Реакции: akok
Сверху Снизу