• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Maximus911@cock.li Harma (Dharma)

P

palonka

Новый пользователь
Сообщения
4
Реакции
0
Добрый день
Есть такая же тема, но как зарегистрированный пользователь я не могу видеть в ней сообщений, и добавлять сообщения.

Поймана зараза harma
Дешифраторы найденные мной не помогли.
В сети нашол сайт Dr.Shifro - расшифровка файлов .HARMA который предлагает услуги по декриптованию.
Отправил им зашифрованный файл - прислали раскриптованый.
Просят неподъёмную сумму за расшифровку всех файлов.
Что говорит о том что у них есть "декриптор" или же они сами создали вирус.
Очень прошу помощи.
Файлы прилагаются.
 

Вложения

  • Message.webp
    Message.webp
    70.5 KB · Просмотры: 110
  • Addition.txt
    Addition.txt
    20.8 KB · Просмотры: 1
  • FRST.txt
    FRST.txt
    66.2 KB · Просмотры: 1
  • Harma.rar
    Harma.rar
    74.2 KB · Просмотры: 0
По порядку.
palonka написал(а):
Отправил им зашифрованный файл - прислали раскриптованый.
Нажмите для раскрытия...
Это посредники, они покупают декриптор и перепродают вам со своим наваром. Если пойдет, что-то не так могут угрожать.

palonka написал(а):
Поймана зараза harma
Нажмите для раскрытия...
Расшифровка есть только у преступников. Можем предложить только зачистку системы от мусора/вредоносного ПО (если есть).
 
akok написал(а):
Это посредники, они покупают декриптор и перепродают вам со своим наваром. Если пойдет, что-то не так могут угрожать.
Расшифровка есть только у преступников.
Нажмите для раскрытия...
Это говорит о том что декриптор есть!!!
Осталось его найти или дождаться
 
Вам же по-русски написали - есть только у злодеев и у сотрудничающих с ними посредников.

Расшифровки ни одного из огромного количества последних вариантов этого шифратора нет ни в одной антивирусной компании. Расшифровка самих первых вариантов появилась только после слива ключей самими злодеями. Но это было так давно, что можете не обольщаться и на что-то надеяться.
 
  • Like
Реакции: akok
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?

Удалите SpyHunter5

Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2019-08-08] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
HKU\S-1-5-21-3471316023-2935371020-3614911234-1030\...\Run: [C:\Users\BTC\AppData\Roaming\Info.hta] => C:\Users\BTC\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
Startup: C:\Users\BTC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ C:\Users\BTC\AppData\Roaming\Info.hta
2019-08-08 16:59 - 2019-08-08 16:59 - 000000170 _____ C:\Users\BTC\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Windows\system32\Info.hta
2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\FILES ENCRYPTED.txt
2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ () C:\Users\BTC\AppData\Roaming\Info.hta
FirewallRules: [{9613165A-8173-4ACD-9533-4603A7D85350}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
FirewallRules: [{7D2FE9B5-C4D1-4422-A390-3ED3715B15CE}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
FirewallRules: [{0234FDB7-BE15-4473-9B0B-F8F52826CE53}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
FirewallRules: [{C8FB13D4-8E63-49AF-92C3-766ABCD1EB67}] => (Allow) C:\Program Files (x86)\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
FirewallRules: [{3ABEAE9E-3060-49AC-B92C-2D10C29A9E80}] => (Allow) C:\Program Files (x86)\Acronis\ZmqGw\zmqgw.exe No File
FirewallRules: [{20E303D1-161D-4B50-8581-306468BFC882}] => (Allow) C:\Program Files (x86)\Acronis\ApiGateway\api_gateway.exe No File
FirewallRules: [{26A91BF1-AFAF-44D8-B1DF-7C9CC3F81ED7}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe No File
FirewallRules: [{E3ACF826-DE91-4380-BD65-7CBA8842413D}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\MobileBackupServer\mobile_backup_server.exe No File
FirewallRules: [{6C49E3CB-6D65-4252-8226-D370B0DE2E0F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File
FirewallRules: [{DFB890D8-0B5B-4670-9963-D33488974783}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.72\opera.exe No File
FirewallRules: [{833FA642-F4DD-4271-85C9-33A9F7952B1B}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.99\opera.exe No File
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
akok написал(а):
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?

Удалите SpyHunter5

Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2019-08-08] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
HKU\S-1-5-21-3471316023-2935371020-3614911234-1030\...\Run: [C:\Users\BTC\AppData\Roaming\Info.hta] => C:\Users\BTC\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
Startup: C:\Users\BTC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ C:\Users\BTC\AppData\Roaming\Info.hta
2019-08-08 16:59 - 2019-08-08 16:59 - 000000170 _____ C:\Users\BTC\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Windows\system32\Info.hta
2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\FILES ENCRYPTED.txt
2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ () C:\Users\BTC\AppData\Roaming\Info.hta
FirewallRules: [{9613165A-8173-4ACD-9533-4603A7D85350}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
FirewallRules: [{7D2FE9B5-C4D1-4422-A390-3ED3715B15CE}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
FirewallRules: [{0234FDB7-BE15-4473-9B0B-F8F52826CE53}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
FirewallRules: [{C8FB13D4-8E63-49AF-92C3-766ABCD1EB67}] => (Allow) C:\Program Files (x86)\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
FirewallRules: [{3ABEAE9E-3060-49AC-B92C-2D10C29A9E80}] => (Allow) C:\Program Files (x86)\Acronis\ZmqGw\zmqgw.exe No File
FirewallRules: [{20E303D1-161D-4B50-8581-306468BFC882}] => (Allow) C:\Program Files (x86)\Acronis\ApiGateway\api_gateway.exe No File
FirewallRules: [{26A91BF1-AFAF-44D8-B1DF-7C9CC3F81ED7}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe No File
FirewallRules: [{E3ACF826-DE91-4380-BD65-7CBA8842413D}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\MobileBackupServer\mobile_backup_server.exe No File
FirewallRules: [{6C49E3CB-6D65-4252-8226-D370B0DE2E0F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File
FirewallRules: [{DFB890D8-0B5B-4670-9963-D33488974783}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.72\opera.exe No File
FirewallRules: [{833FA642-F4DD-4271-85C9-33A9F7952B1B}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.99\opera.exe No File
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
Куда нужно вставить скопированый код?
 
akok написал(а):
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?

+ Удалите SpyHunter5

+ Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
Нажмите для раскрытия...

Образ ищу.
 

Вложения

Выполните скрипт в AVZ при наличии доступа в интернет:

Код: 
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

A
Решена без расшифровки шифровальщик Maximus911@cock.li .harma
Ответы
4
Просмотры
2K
anp
A
C
Закрыто id-98D251D9.[Maximus911@cock.li].harma
Ответы
2
Просмотры
3K
Cy4oHoK
C
Ботан
Внимание пострадавшим от шифровальщика [bondaletov@cock.li].5D3d
Ответы
0
Просмотры
417
Ботан
Ботан
Назад
Сверху Снизу