Шифровальщик harma [bitcoin1@foxmail.com]

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
В начале недели мне позвонили с просьбой о помощи - в одной маленькой аптеке взломали и зашифровали сервер 1С. Естественно по классике - не обновленный 2008 r2 + прямой доступ RDP из внешней сети + встроенный антивирус майкрософт + пароли админов из серии "321". Шифровальщик уже известный тут на форуме и не только, добавляет расширение - [bitcoin1@foxmail.com].harma. Я думаю его анализировали. Я вел долгую переписку со злоумышленниками, мы заплатили им 1000 долл. США и не получили ключи для дешифрования. Я настаивал не платить, но клиенты приняли такое решение, был куплен биткойн и проведена оплата. После оплаты злоумышленники потребовали еще такую же сумму за ключи. Т.к. шансы получить ключи мизерные, я считаю что платить не следует. Да и денег таких уже нет.

Касательно вируса. После заражения машины вирус шифрует файлы и в определенное время выводит на дисплей сообщение о том, что данные зашифрованы. Во всех файлах добавляется расширение [bitcoin1@foxmail.com].harma, при чем шифрует он все без разбору включая ярлыки и файлы без расширения - все до чего добирается(я так и не понял зачем шифровать ярлыки, может кто знает подскажите). В корне диска оставляет файл с именем "FILES ENCRYPTED.txt" и текстом:

all your data has been locked us
You want to return?
Write email bitcoin1@foxmail.com

При попытке связаться с злоумышленниками по адресу bitcoin1@foxmail.com, отвечает оператор Chen Lee с адреса bitcoin1fox@gmail.com. Изначальный выкуп 3000 долл. в биткойнах. После "торгов" цена упала до 1000 долл. при условии "полной и финальной дешифрации" при оплате до конца недели - именно так было сказано в письме от злоумышленников. Было дано согласие на оплату, куплен биткойн и переведен. После этого злоумышленники дали ссылку на программу (к слову она с ошибками, т.к. не все функции работают корректно). Программа декриптор. После запуска программа сканирует диски, находит зашифрованные файлы и вытягивает из них зашифрованные ключи. У нас на дисках было найдено что-то около 8 ключей. А значит криптограф во время шифрования генерирует разные ключи для шифрования разных групп файлов. Соответственно нет единого ключа для расшифровки всех файлов в системе. Затем утиль выводит эти зашифрованные ключи в виде какого-то хеша который надо сохранить в файл и отправить злоумышленникам (эта функция у меня не работала, пришлось скопировать текст ручками в обычный блокнот, сохранить и отправить). Злоумышленники их декритуют и соответсвенно присылают следующее письмо с требованием удвоить выкуп, мол была уплаченна сумма за первую часть операции дешифрования. Дальше второй части мы не пошли, т.к. нас уже обманули и соврали. Естественно для подтверждения "своей честности" они приложили список почтовых адресов жертв которые уплатили выкупи и получили ключи для дешифровки. Злоумышленники грубы, не стесняються обзывать жерт. Мне писали что я тупой идиот и трачу их время, не умею читать инструкции.

Во время "переговоров" злоумышленникам был отправлен зашифрованный файл, на старом годичном диске от сервера(была замена диска на ssd, что конечно усугубило ситуацию) я нашел очень древний файл, который давно не изменялся и нашел его же зашифрованную копию. Злоумышленникам был отправлен зашифрованный файл, они его дешифровали и я сверил контрольную сумму - они могут дешифровать файлы это 100%, SHA512 сошлась. Сейчас пытаюсь получить хотя бы один ключ для дешифровки из хеша. На текущий момент диск с зашифрованными файлами вынут из сервера. По необходимости подключаю как внешний. Образцы зашифрованного и не зашифрованного файлов в архиве. Так же там сообщение об выкупе, хеши ключей, и декриптор. Сам вирус я не искал, побоялся трогать диск. Но могу попробовать найти. Есть результаты сканирования антивирусом и походу его грохнули до меня. По крайней мере я не нашел файлов после того как диск мне передали. Тем более я не первый к кому попал зашифрованный сервер. Результаты сканирования так же в архиве. Предполагаю файл 1bitc.exe это он и есть. Но это не точно.

Я понимаю что дешифровки не существует. Но это больше информационное сообщение - знайте что делают злоумышленники и с чем придется иметь дело. Ну и пример файлов для анализа. Хотя от мыслей по поводу не отказался бы.

P.S. номер кошелька на который требуют выкуп - 1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM
 
Последнее редактирование:
Скорее всего это посредники которые на партнерках работают. Немного статистики по кошельку.
1569090204727.png


По поводу баз, есть возможность попытаться восстановить БД 1с
 
Последнее редактирование:
Да я смотрел по кошельку статистику - ни о чем. Просто как предупреждение. Что одной выплатой это не ограничиться. Или вообще не ограничиться ничем, деньги уйдут впустую.
Как если все файлы зашифрованы? Абсолютно все - там просто основы для восстановления нет. Архивы тоже зашифрованы. Если были бы хотя бы куски баз .. а так нет ничего.
 
Последнее редактирование:
Может стоит опубликовать переписку?
 
Ну по кошельку, я о том что список транзакций ничего не дает. В принципе даже о кошельке ничего не говорит, какие и чьи средства через него ходили.
Про переписку - не понял. Почтовую? За 3 дня там навереное писем в 3 десятка. Но во всех я был вежлив и корректен. Злоумышленники не преминули нагрубить, а потом оскорбить. А так там ничего особого нет - они написали надо 3к зелени в биткойнах. Я сказал - бедный драгстор, денег нет. 1 диск 500ГБ, из него данных копейки (это реально, но там базы 1С и бэкапы баз). Нет уперлись. Я предлагал 250-300 долл. В итоге после 3-х дней переписки дошли до 1000. Я получил добро от клиента, со вчера покупал биткойны, сегодня в обед отправил около 950 долл. после их согласия. Получилось вот что:

1569092412568.png


1569092469569.png


Тут я прислал скрин транзакции, к слову вот она в их кошельке:
1569093366868.webp


И понеслась:

1569092519069.png


1569092567167.png

1569092629860.png


Ну а дальше пошли любезности, потому что это 100% обман - т.к. они четко написали - после оплаты получите инструкции и декриптор. Но по факту получил требования удвоить сумму, и список почтовых адресов "клиентов" якобы оплативших всю сумму и получивших ключи. Ну и "мамой клянусь, ключи все вышлю." Я естественно не верю. Вышлют 2 ключа и снова попросят 900 долл. Уже прецедент создали, что они ждут - что бы им еще денег кинули?
 
Последнее редактирование:
Вобщем ребята и девчата, купите себе какой-нить qnap, вставьте в него 2 диска по 4-6-8ТБ в raid 1, бэкапьте на компе/сервере данные локально ежедневно/ежечасно в локальный каталог, а затем с qnap-a вытаскивайте файлы с компа на сам qnap используя rsync. Основная мысль - не комп/сервер сливает данные на хранилище, а само хранилище идет в каталог бэкапов на компе/сервере забирать из каталога бэкапов бэкапы. Не платите этим нехорошим людям, и будет вам счастье (ну почти, что то все же теряется). Ну и не забывайте про антивирусы(хотя я считаю что лаборатории и производители ОС сильно не дорабатывают на этом фронте), а так же не ставьте и не запускайте непонятный/ломанный софт.

Пример конфигурации тут: Как настроить автоматическое резервное копирование/синхронизацию папки c компьютера под управлением ОС Windows на QNAP NAS через протокол Rsync?
 
Они просят за финальную расшифровкку 1000$ после чего высылают ключ для расшифровки
Аналогичная ситуация была у знакомых, которые попросили им помочь.Но помогать там уже нечему было. Так как все все, что было у них зашифровали.
После длительных разговоров была оплачена первая часть. После чего запросили вторую. он даже высылает Почтовые аккаунты людей которые якобы оплатили дешифровку. Я связался с ними, даже удалось поболтать по телефону с человекуом который попал в такую же ситуацию..
Оплатили 1000$ получили код дешифровки. Все.

Это да человек работающий по партнерке. Так как ключ дешифровки вы получаете не сразу а по истечению пару часов.
 
Последнее редактирование:
Вообще очень интересные формулировки на форуме используются относительно злоумышленников - жертв называют клиентами, члена организованной преступной группы "человек работающий по партнерке".
 
Даже не знаю как комментировать, так повелось исторически.
 
Я без претензий, но с этого и начинается отношение из разряда - ну че обманули, ну это там по пратнерке, ну лан, оплатим второй раз, ну клиенты же. =) А потом жалуемся.
 
Вообще очень интересные формулировки на форуме используются относительно злоумышленников - жертв называют клиентами, члена организованной преступной группы "человек работающий по партнерке".
Мы же не на допросе находимся в УГРО или в прокуратуре, там этим обозначением есть место быть))
Тут же не напишешь.. Позвонил мне как то жертва и рассказал что у него были зашифрованные все файлы и просит помочь)))
 
Позвонил мне как то жертва и рассказал что у него были зашифрованные все файлы и просит помочь)))

Загляни в личку.
 
Последнее редактирование модератором:
Искать резервные копии и насиловать диск программами восстановления данных после удаления. Или платить. 2 платежа минимум.
Если SSD, то все хуже.
 
А почему вы второй платеж не сделали?
Те люди с кем ты общался, делали 2 платежа? им полностью восстановили файлы?
 
Я ни с кем не общался, злоумышленникам я не доверяю и писать по емейлам которые они дали даже не планировал. Данные о дешифровке после второго платежа получены исключительно с этого форума. Тут было пару сообщений, в том числе в этой теме.
 
Добрый день!
Вот и меня постигла такая же участь.( Зашифрована база 1 с вместе с бекапами. Предложение со скидкой 1500$ получил, вот не знаю что дальше делать? По всей видимости потом будет и второе предложение, и третье.... СОС, подскажите в каком направлении двигаться?
 
Назад
Сверху Снизу