• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Maximus911@cock.li Harma (Dharma)

palonka

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Добрый день
Есть такая же тема, но как зарегистрированный пользователь я не могу видеть в ней сообщений, и добавлять сообщения.

Поймана зараза harma
Дешифраторы найденные мной не помогли.
В сети нашол сайт Dr.Shifro - расшифровка файлов .HARMA который предлагает услуги по декриптованию.
Отправил им зашифрованный файл - прислали раскриптованый.
Просят неподъёмную сумму за расшифровку всех файлов.
Что говорит о том что у них есть "декриптор" или же они сами создали вирус.
Очень прошу помощи.
Файлы прилагаются.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,961
Реакции
13,568
Баллы
2,203
По порядку.
Отправил им зашифрованный файл - прислали раскриптованый.
Это посредники, они покупают декриптор и перепродают вам со своим наваром. Если пойдет, что-то не так могут угрожать.

Поймана зараза harma
Расшифровка есть только у преступников. Можем предложить только зачистку системы от мусора/вредоносного ПО (если есть).
 

palonka

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Это посредники, они покупают декриптор и перепродают вам со своим наваром. Если пойдет, что-то не так могут угрожать.
Расшифровка есть только у преступников.
Это говорит о том что декриптор есть!!!
Осталось его найти или дождаться
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,760
Реакции
2,540
Баллы
593
Вам же по-русски написали - есть только у злодеев и у сотрудничающих с ними посредников.

Расшифровки ни одного из огромного количества последних вариантов этого шифратора нет ни в одной антивирусной компании. Расшифровка самих первых вариантов появилась только после слива ключей самими злодеями. Но это было так давно, что можете не обольщаться и на что-то надеяться.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
17,961
Реакции
13,568
Баллы
2,203
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?

Удалите SpyHunter5

Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2019-08-08] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
    HKU\S-1-5-21-3471316023-2935371020-3614911234-1030\...\Run: [C:\Users\BTC\AppData\Roaming\Info.hta] => C:\Users\BTC\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
    Startup: C:\Users\BTC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
    2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ C:\Users\BTC\AppData\Roaming\Info.hta
    2019-08-08 16:59 - 2019-08-08 16:59 - 000000170 _____ C:\Users\BTC\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Windows\system32\Info.hta
    2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\FILES ENCRYPTED.txt
    2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ () C:\Users\BTC\AppData\Roaming\Info.hta
    FirewallRules: [{9613165A-8173-4ACD-9533-4603A7D85350}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
    FirewallRules: [{7D2FE9B5-C4D1-4422-A390-3ED3715B15CE}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
    FirewallRules: [{0234FDB7-BE15-4473-9B0B-F8F52826CE53}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
    FirewallRules: [{C8FB13D4-8E63-49AF-92C3-766ABCD1EB67}] => (Allow) C:\Program Files (x86)\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
    FirewallRules: [{3ABEAE9E-3060-49AC-B92C-2D10C29A9E80}] => (Allow) C:\Program Files (x86)\Acronis\ZmqGw\zmqgw.exe No File
    FirewallRules: [{20E303D1-161D-4B50-8581-306468BFC882}] => (Allow) C:\Program Files (x86)\Acronis\ApiGateway\api_gateway.exe No File
    FirewallRules: [{26A91BF1-AFAF-44D8-B1DF-7C9CC3F81ED7}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe No File
    FirewallRules: [{E3ACF826-DE91-4380-BD65-7CBA8842413D}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\MobileBackupServer\mobile_backup_server.exe No File
    FirewallRules: [{6C49E3CB-6D65-4252-8226-D370B0DE2E0F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File
    FirewallRules: [{DFB890D8-0B5B-4670-9963-D33488974783}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.72\opera.exe No File
    FirewallRules: [{833FA642-F4DD-4271-85C9-33A9F7952B1B}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.99\opera.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

palonka

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?

Удалите SpyHunter5

Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2019-08-08] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
    HKU\S-1-5-21-3471316023-2935371020-3614911234-1030\...\Run: [C:\Users\BTC\AppData\Roaming\Info.hta] => C:\Users\BTC\AppData\Roaming\Info.hta [13919 2019-08-08] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
    Startup: C:\Users\BTC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-08-08] () [File not signed]
    2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ C:\Users\BTC\AppData\Roaming\Info.hta
    2019-08-08 16:59 - 2019-08-08 16:59 - 000000170 _____ C:\Users\BTC\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Windows\system32\Info.hta
    2019-08-08 16:54 - 2019-08-08 16:54 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-08-08 16:54 - 2019-08-08 16:54 - 000000170 _____ C:\FILES ENCRYPTED.txt
    2019-08-08 16:59 - 2019-08-08 16:59 - 000013919 _____ () C:\Users\BTC\AppData\Roaming\Info.hta
    FirewallRules: [{9613165A-8173-4ACD-9533-4603A7D85350}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
    FirewallRules: [{7D2FE9B5-C4D1-4422-A390-3ED3715B15CE}] => (Allow) C:\Program Files (x86)\Ralink\Common\RaUI.exe No File
    FirewallRules: [{0234FDB7-BE15-4473-9B0B-F8F52826CE53}] => (Allow) C:\Program Files\Common Files\Acronis\ActiveProtection\active_protection_service.exe No File
    FirewallRules: [{C8FB13D4-8E63-49AF-92C3-766ABCD1EB67}] => (Allow) C:\Program Files (x86)\Acronis\MonitoringServer\acronis_monitoring_service.exe No File
    FirewallRules: [{3ABEAE9E-3060-49AC-B92C-2D10C29A9E80}] => (Allow) C:\Program Files (x86)\Acronis\ZmqGw\zmqgw.exe No File
    FirewallRules: [{20E303D1-161D-4B50-8581-306468BFC882}] => (Allow) C:\Program Files (x86)\Acronis\ApiGateway\api_gateway.exe No File
    FirewallRules: [{26A91BF1-AFAF-44D8-B1DF-7C9CC3F81ED7}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe No File
    FirewallRules: [{E3ACF826-DE91-4380-BD65-7CBA8842413D}] => (Allow) C:\Program Files (x86)\Common Files\Acronis\MobileBackupServer\mobile_backup_server.exe No File
    FirewallRules: [{6C49E3CB-6D65-4252-8226-D370B0DE2E0F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File
    FirewallRules: [{DFB890D8-0B5B-4670-9963-D33488974783}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.72\opera.exe No File
    FirewallRules: [{833FA642-F4DD-4271-85C9-33A9F7952B1B}] => (Allow) C:\Program Files (x86)\Opera\62.0.3331.99\opera.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
Куда нужно вставить скопированый код?
 

palonka

Новый пользователь
Сообщения
4
Реакции
0
Баллы
1
Смените пароли на RDP и рассмотрите возможность обновить ОС. Образы акрониса есть с бекапами?

+ Удалите SpyHunter5

+ Process Hacker 2 - сами устанавливали? Если нет, то удалите его.
Образ ищу.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,961
Реакции
13,568
Баллы
2,203
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 
Сверху Снизу