• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик .harma

Статус
В этой теме нельзя размещать новые ответы.

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Подскажите, кто-то уже сталкивался с такими .harma?

all your data has been locked us
You want to return?
Write email [email protected] or [email protected]
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
Здравствуйте!

Навскидку - новости неутешительные, расшифровки скорее всего нет.
Но для верности прочтите и выполните правила раздела.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Здравствуйте!

Навскидку - новости неутешительные, расшифровки скорее всего нет.
Да, интересует есть ли посредники для выкупа ключа.
Типа таких:
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,734
Реакции
2,064
Баллы
643
@Димауа, в этом разделе нужны логи по правилам. Если их не будет, тему закроем.
Для "просто поговорить" есть другие разделы, где вы уже спросили. Дождитесь ответа.

О посредниках - это те, кто берет с вас дороже, чем сами злоумышленники.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
@Димауа, в этом разделе нужны логи по правилам. Если их не будет, тему закроем.
Для "просто поговорить" есть другие разделы, где вы уже спросили. Дождитесь ответа.

О посредниках - это те, кто берет с вас дороже, чем сами злоумышленники.
Завтра выложу логи.

По посредникам - с ними часто меньше риск остаться без денег, я так думаю.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Выкладываю архив с зашифрованными файлами.
Лог-файл чуть позже выложу.
Записка о выкупе:
all your data has been locked us
You want to return?
Write email [email protected] or [email protected]
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Увы это дешифровать без участия преступников пока невозможно.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Такой вопрос.
Если преступники по этим электронкам получат деньги и не отдадут ключи, есть ли какие-то другие преступники которые мне потом смогут реально продать ключ?
Или у каждых преступников свой склад ключей и они ими не обмениваются?
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Невозможно ответить. Могут опять сожрать деньги и пропасть. Хотите хоть какую гарантию, ищите посредника с возможностью заключить договор.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Все администраторы ваши? И почему так много администраторов?
Администратор (S-1-5-21-3581300512-2918486786-4040281322-500 - Administrator - Enabled)
admin (S-1-5-21-887754554-99585062-1249466260-1003 - Administrator - Disabled) => C:\Users\admin
sanyok (S-1-5-21-887754554-99585062-1249466260-1175 - Administrator - Enabled) => C:\Users\sanyok
User02 (S-1-5-21-887754554-99585062-1249466260-1177 - Administrator - Enabled) => C:\Users\User02
User03 (S-1-5-21-887754554-99585062-1249466260-1178 - Administrator - Enabled) => C:\Users\User03
User04 (S-1-5-21-887754554-99585062-1249466260-1179 - Administrator - Enabled) => C:\Users\User04
User05 (S-1-5-21-887754554-99585062-1249466260-1180 - Administrator - Enabled) => C:\Users\User05
User06 (S-1-5-21-887754554-99585062-1249466260-1181 - Administrator - Enabled) => C:\Users\User06
User07 (S-1-5-21-887754554-99585062-1249466260-1182 - Administrator - Enabled) => C:\Users\User07
User08 (S-1-5-21-887754554-99585062-1249466260-1184 - Administrator - Enabled) => C:\Users\User08
Админ (S-1-5-21-887754554-99585062-1249466260-1187 - Administrator - Enabled) => C:\Users\Админ

Смените пароли на RDP

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13934 2020-05-01] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13934 2020-04-30] () [File not signed]
    2020-05-01 13:25 - 2020-05-01 13:25 - 000013934 _____ C:\Users\User03\AppData\Roaming\Info.hta
    2020-04-30 10:55 - 2020-05-01 13:25 - 000013934 _____ C:\Windows\system32\Info.hta
    2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\FILES ENCRYPTED.txt
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Файл с вирусом нужно выкладывать?
(это тот что был указан как процесс в task manager?)
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Нет, пользы не будет.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Я правильно понимаю что начало заражения пошло отсюда?
То есть от пользователя Администратор?

2020-04-30 07:52 - 2020-04-30 07:52 - 000000000 ____D C:\Users\Администратор\Desktop\inuopz30A
2020-04-30 07:47 - 2020-04-30 10:27 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\316
 

akok

Команда форума
Администратор
Сообщения
19,311
Реакции
13,329
Баллы
2,203
Заражение пришло через RDP, а это (возможно) его остаточные фантомы. Судя по времени шифрования, то временная папка зловреда
2020-04-30 07:52 - 2020-04-30 07:52 - 000000000 ____D C:\Users\Администратор\Desktop\inuopz30A
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Сегодня будет.
Ключ получил. Работает.
 

Димауа

Новый пользователь
Сообщения
18
Реакции
0
Баллы
1
Во вложении fixlog.txt
Наверное, что-то не так делаем?
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу