• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Кто-нибудь сталкивался с программой-вымогателем .harma?

Статус
В этой теме нельзя размещать новые ответы.
Здравствуйте!

Навскидку - новости неутешительные, расшифровки скорее всего нет.
Но для верности прочтите и выполните правила раздела.
 
Здравствуйте!

Навскидку - новости неутешительные, расшифровки скорее всего нет.

Да, интересует есть ли посредники для выкупа ключа.
Типа таких:
 
Последнее редактирование:
@Димауа, в этом разделе нужны логи по правилам. Если их не будет, тему закроем.
Для "просто поговорить" есть другие разделы, где вы уже спросили. Дождитесь ответа.

О посредниках - это те, кто берет с вас дороже, чем сами злоумышленники.
 
@Димауа, в этом разделе нужны логи по правилам. Если их не будет, тему закроем.
Для "просто поговорить" есть другие разделы, где вы уже спросили. Дождитесь ответа.

О посредниках - это те, кто берет с вас дороже, чем сами злоумышленники.
Завтра выложу логи.

По посредникам - с ними часто меньше риск остаться без денег, я так думаю.
 
Выкладываю архив с зашифрованными файлами.
Лог-файл чуть позже выложу.
Записка о выкупе:
all your data has been locked us
You want to return?
Write email inuopz30@protonmail.com or fukme935@protonmail.com
 

Вложения

  • Архив.rar
    812 KB · Просмотры: 2
Увы это дешифровать без участия преступников пока невозможно.
 
Такой вопрос.
Если преступники по этим электронкам получат деньги и не отдадут ключи, есть ли какие-то другие преступники которые мне потом смогут реально продать ключ?
Или у каждых преступников свой склад ключей и они ими не обмениваются?
 
Невозможно ответить. Могут опять сожрать деньги и пропасть. Хотите хоть какую гарантию, ищите посредника с возможностью заключить договор.
 
Последнее редактирование:
Выкладываю лог FarBar
 

Вложения

  • farbar.rar
    31.4 KB · Просмотры: 3
Все администраторы ваши? И почему так много администраторов?
Администратор (S-1-5-21-3581300512-2918486786-4040281322-500 - Administrator - Enabled)
admin (S-1-5-21-887754554-99585062-1249466260-1003 - Administrator - Disabled) => C:\Users\admin
sanyok (S-1-5-21-887754554-99585062-1249466260-1175 - Administrator - Enabled) => C:\Users\sanyok
User02 (S-1-5-21-887754554-99585062-1249466260-1177 - Administrator - Enabled) => C:\Users\User02
User03 (S-1-5-21-887754554-99585062-1249466260-1178 - Administrator - Enabled) => C:\Users\User03
User04 (S-1-5-21-887754554-99585062-1249466260-1179 - Administrator - Enabled) => C:\Users\User04
User05 (S-1-5-21-887754554-99585062-1249466260-1180 - Administrator - Enabled) => C:\Users\User05
User06 (S-1-5-21-887754554-99585062-1249466260-1181 - Administrator - Enabled) => C:\Users\User06
User07 (S-1-5-21-887754554-99585062-1249466260-1182 - Administrator - Enabled) => C:\Users\User07
User08 (S-1-5-21-887754554-99585062-1249466260-1184 - Administrator - Enabled) => C:\Users\User08
Админ (S-1-5-21-887754554-99585062-1249466260-1187 - Administrator - Enabled) => C:\Users\Админ

Смените пароли на RDP

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13934 2020-05-01] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13934 2020-04-30] () [File not signed]
    2020-05-01 13:25 - 2020-05-01 13:25 - 000013934 _____ C:\Users\User03\AppData\Roaming\Info.hta
    2020-04-30 10:55 - 2020-05-01 13:25 - 000013934 _____ C:\Windows\system32\Info.hta
    2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Файл с вирусом нужно выкладывать?
(это тот что был указан как процесс в task manager?)
 
Нет, пользы не будет.
 
Я правильно понимаю что начало заражения пошло отсюда?
То есть от пользователя Администратор?

2020-04-30 07:52 - 2020-04-30 07:52 - 000000000 ____D C:\Users\Администратор\Desktop\inuopz30A
2020-04-30 07:47 - 2020-04-30 10:27 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\316
 
Заражение пришло через RDP, а это (возможно) его остаточные фантомы. Судя по времени шифрования, то временная папка зловреда
2020-04-30 07:52 - 2020-04-30 07:52 - 000000000 ____D C:\Users\Администратор\Desktop\inuopz30A
 
Во вложении fixlog.txt
Наверное, что-то не так делаем?
 

Вложения

  • Fixlog.txt
    1.7 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу