Шифровальщик harma [bitcoin1@foxmail.com]

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
В начале недели мне позвонили с просьбой о помощи - в одной маленькой аптеке взломали и зашифровали сервер 1С. Естественно по классике - не обновленный 2008 r2 + прямой доступ RDP из внешней сети + встроенный антивирус майкрософт + пароли админов из серии "321". Шифровальщик уже известный тут на форуме и не только, добавляет расширение - [bitcoin1@foxmail.com].harma. Я думаю его анализировали. Я вел долгую переписку со злоумышленниками, мы заплатили им 1000 долл. США и не получили ключи для дешифрования. Я настаивал не платить, но клиенты приняли такое решение, был куплен биткойн и проведена оплата. После оплаты злоумышленники потребовали еще такую же сумму за ключи. Т.к. шансы получить ключи мизерные, я считаю что платить не следует. Да и денег таких уже нет.

Касательно вируса. После заражения машины вирус шифрует файлы и в определенное время выводит на дисплей сообщение о том, что данные зашифрованы. Во всех файлах добавляется расширение [bitcoin1@foxmail.com].harma, при чем шифрует он все без разбору включая ярлыки и файлы без расширения - все до чего добирается(я так и не понял зачем шифровать ярлыки, может кто знает подскажите). В корне диска оставляет файл с именем "FILES ENCRYPTED.txt" и текстом:

all your data has been locked us
You want to return?
Write email bitcoin1@foxmail.com

При попытке связаться с злоумышленниками по адресу bitcoin1@foxmail.com, отвечает оператор Chen Lee с адреса bitcoin1fox@gmail.com. Изначальный выкуп 3000 долл. в биткойнах. После "торгов" цена упала до 1000 долл. при условии "полной и финальной дешифрации" при оплате до конца недели - именно так было сказано в письме от злоумышленников. Было дано согласие на оплату, куплен биткойн и переведен. После этого злоумышленники дали ссылку на программу (к слову она с ошибками, т.к. не все функции работают корректно). Программа декриптор. После запуска программа сканирует диски, находит зашифрованные файлы и вытягивает из них зашифрованные ключи. У нас на дисках было найдено что-то около 8 ключей. А значит криптограф во время шифрования генерирует разные ключи для шифрования разных групп файлов. Соответственно нет единого ключа для расшифровки всех файлов в системе. Затем утиль выводит эти зашифрованные ключи в виде какого-то хеша который надо сохранить в файл и отправить злоумышленникам (эта функция у меня не работала, пришлось скопировать текст ручками в обычный блокнот, сохранить и отправить). Злоумышленники их декритуют и соответсвенно присылают следующее письмо с требованием удвоить выкуп, мол была уплаченна сумма за первую часть операции дешифрования. Дальше второй части мы не пошли, т.к. нас уже обманули и соврали. Естественно для подтверждения "своей честности" они приложили список почтовых адресов жертв которые уплатили выкупи и получили ключи для дешифровки. Злоумышленники грубы, не стесняються обзывать жерт. Мне писали что я тупой идиот и трачу их время, не умею читать инструкции.

Во время "переговоров" злоумышленникам был отправлен зашифрованный файл, на старом годичном диске от сервера(была замена диска на ssd, что конечно усугубило ситуацию) я нашел очень древний файл, который давно не изменялся и нашел его же зашифрованную копию. Злоумышленникам был отправлен зашифрованный файл, они его дешифровали и я сверил контрольную сумму - они могут дешифровать файлы это 100%, SHA512 сошлась. Сейчас пытаюсь получить хотя бы один ключ для дешифровки из хеша. На текущий момент диск с зашифрованными файлами вынут из сервера. По необходимости подключаю как внешний. Образцы зашифрованного и не зашифрованного файлов в архиве. Так же там сообщение об выкупе, хеши ключей, и декриптор. Сам вирус я не искал, побоялся трогать диск. Но могу попробовать найти. Есть результаты сканирования антивирусом и походу его грохнули до меня. По крайней мере я не нашел файлов после того как диск мне передали. Тем более я не первый к кому попал зашифрованный сервер. Результаты сканирования так же в архиве. Предполагаю файл 1bitc.exe это он и есть. Но это не точно.

Я понимаю что дешифровки не существует. Но это больше информационное сообщение - знайте что делают злоумышленники и с чем придется иметь дело. Ну и пример файлов для анализа. Хотя от мыслей по поводу не отказался бы.

P.S. номер кошелька на который требуют выкуп - 1JuKvC2YcDyXNNz2eoFmFENHGFJUSCKocM
 
Последнее редактирование:

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Да я смотрел по кошельку статистику - ни о чем. Просто как предупреждение. Что одной выплатой это не ограничиться. Или вообще не ограничиться ничем, деньги уйдут впустую.
Как если все файлы зашифрованы? Абсолютно все - там просто основы для восстановления нет. Архивы тоже зашифрованы. Если были бы хотя бы куски баз .. а так нет ничего.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,476
Баллы
2,203

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,476
Баллы
2,203
Может стоит опубликовать переписку?
 

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Ну по кошельку, я о том что список транзакций ничего не дает. В принципе даже о кошельке ничего не говорит, какие и чьи средства через него ходили.
Про переписку - не понял. Почтовую? За 3 дня там навереное писем в 3 десятка. Но во всех я был вежлив и корректен. Злоумышленники не преминули нагрубить, а потом оскорбить. А так там ничего особого нет - они написали надо 3к зелени в биткойнах. Я сказал - бедный драгстор, денег нет. 1 диск 500ГБ, из него данных копейки (это реально, но там базы 1С и бэкапы баз). Нет уперлись. Я предлагал 250-300 долл. В итоге после 3-х дней переписки дошли до 1000. Я получил добро от клиента, со вчера покупал биткойны, сегодня в обед отправил около 950 долл. после их согласия. Получилось вот что:

1569092412568.png

1569092469569.png

Тут я прислал скрин транзакции, к слову вот она в их кошельке:
1569093366868.png

И понеслась:

1569092519069.png

1569092567167.png
1569092629860.png

Ну а дальше пошли любезности, потому что это 100% обман - т.к. они четко написали - после оплаты получите инструкции и декриптор. Но по факту получил требования удвоить сумму, и список почтовых адресов "клиентов" якобы оплативших всю сумму и получивших ключи. Ну и "мамой клянусь, ключи все вышлю." Я естественно не верю. Вышлют 2 ключа и снова попросят 900 долл. Уже прецедент создали, что они ждут - что бы им еще денег кинули?
 
Последнее редактирование:
  • Like
Реакции: akok

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Вобщем ребята и девчата, купите себе какой-нить qnap, вставьте в него 2 диска по 4-6-8ТБ в raid 1, бэкапьте на компе/сервере данные локально ежедневно/ежечасно в локальный каталог, а затем с qnap-a вытаскивайте файлы с компа на сам qnap используя rsync. Основная мысль - не комп/сервер сливает данные на хранилище, а само хранилище идет в каталог бэкапов на компе/сервере забирать из каталога бэкапов бэкапы. Не платите этим нехорошим людям, и будет вам счастье (ну почти, что то все же теряется). Ну и не забывайте про антивирусы(хотя я считаю что лаборатории и производители ОС сильно не дорабатывают на этом фронте), а так же не ставьте и не запускайте непонятный/ломанный софт.

Пример конфигурации тут: Как настроить автоматическое резервное копирование/синхронизацию папки c компьютера под управлением ОС Windows на QNAP NAS через протокол Rsync?
 

Lunik

Активный пользователь
Сообщения
570
Реакции
137
Баллы
103
Они просят за финальную расшифровкку 1000$ после чего высылают ключ для расшифровки
Аналогичная ситуация была у знакомых, которые попросили им помочь.Но помогать там уже нечему было. Так как все все, что было у них зашифровали.
После длительных разговоров была оплачена первая часть. После чего запросили вторую. он даже высылает Почтовые аккаунты людей которые якобы оплатили дешифровку. Я связался с ними, даже удалось поболтать по телефону с человекуом который попал в такую же ситуацию..
Оплатили 1000$ получили код дешифровки. Все.

Это да человек работающий по партнерке. Так как ключ дешифровки вы получаете не сразу а по истечению пару часов.
 
Последнее редактирование:

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Вообще очень интересные формулировки на форуме используются относительно злоумышленников - жертв называют клиентами, члена организованной преступной группы "человек работающий по партнерке".
 

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,476
Баллы
2,203
Даже не знаю как комментировать, так повелось исторически.
 

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Я без претензий, но с этого и начинается отношение из разряда - ну че обманули, ну это там по пратнерке, ну лан, оплатим второй раз, ну клиенты же. =) А потом жалуемся.
 

Lunik

Активный пользователь
Сообщения
570
Реакции
137
Баллы
103
Вообще очень интересные формулировки на форуме используются относительно злоумышленников - жертв называют клиентами, члена организованной преступной группы "человек работающий по партнерке".
Мы же не на допросе находимся в УГРО или в прокуратуре, там этим обозначением есть место быть))
Тут же не напишешь.. Позвонил мне как то жертва и рассказал что у него были зашифрованные все файлы и просит помочь)))
 

1Serg

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Позвонил мне как то жертва и рассказал что у него были зашифрованные все файлы и просит помочь)))
Загляни в личку.
 
Последнее редактирование модератором:

Daevseev

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Ребята, меня тоже взломали!
Что делать?
 

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Искать резервные копии и насиловать диск программами восстановления данных после удаления. Или платить. 2 платежа минимум.
Если SSD, то все хуже.
 

Daevseev

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
А почему вы второй платеж не сделали?
Те люди с кем ты общался, делали 2 платежа? им полностью восстановили файлы?
 

a4t3rburn3r

Новый пользователь
Сообщения
9
Реакции
4
Баллы
3
Я ни с кем не общался, злоумышленникам я не доверяю и писать по емейлам которые они дали даже не планировал. Данные о дешифровке после второго платежа получены исключительно с этого форума. Тут было пару сообщений, в том числе в этой теме.
 
Сверху Снизу