• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик id-74E9B79A.[24online@cock.li].harma нужна помощь

Статус
В этой теме нельзя размещать новые ответы.

ezekiel-2517

Новый пользователь
Сообщения
12
Реакции
0
Добрый день.
Нужна помощь с расшифровкой файлов.
На сервере был запущен шифровальщик. все файлы были зашифрованы в виде <ИМЯ-ФАЙЛА>.id-74E9B79A.[24online@cock.li].harma
Появились файлы Readme.txt с текстом "all your data has been locked us..." (файл во вложении)
Логи и архив с зашифрованными файлами прикрепил. Помогите расшифровать файлы
Заранее Спасибо!
 

Вложения

  • encrypted files.zip
    104.6 KB · Просмотры: 0
  • Addition.txt
    34.5 KB · Просмотры: 1
  • FRST.txt
    65.9 KB · Просмотры: 1
С хармой без вариантов, только мусор зачистим и активные хвосты. Информацию восстанавливайте из резервных копий.

Ваше?
C:\Users\Oz\Desktop\TTN.bat
User (S-1-5-21-1645701119-810964914-264627921-1010 - Administrator - Enabled) => C:\Users\User


Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:  C:\Users\Oz\AppData\Roaming\0MK3SC_payload.exe
    HKLM\...\Run: [0MK3SC_payload.exe] => C:\Windows\System32\0MK3SC_payload.exe [94720 2019-01-17] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13916 2019-01-17] () [File not signed]
    HKLM\...\Run: [C:\Users\User\AppData\Roaming\Info.hta] => C:\Users\User\AppData\Roaming\Info.hta [13916 2019-01-17] () [File not signed]
    HKU\S-1-5-21-1645701119-810964914-264627921-1001\...\Run: [0MK3SC_payload.exe] => C:\Users\Oz\AppData\Roaming\0MK3SC_payload.exe [94720 2019-01-18] () [File not signed]
    HKU\S-1-5-21-1645701119-810964914-264627921-1001\...\Run: [C:\Users\Oz\AppData\Roaming\Info.hta] => C:\Users\Oz\AppData\Roaming\Info.hta [13916 2019-01-18] () [File not signed]
    HKU\S-1-5-21-1645701119-810964914-264627921-1009\...\Run: [0MK3SC_payload.exe] => C:\Users\btv\AppData\Roaming\0MK3SC_payload.exe [94720 2019-01-18] () [File not signed]
    HKU\S-1-5-21-1645701119-810964914-264627921-1009\...\Run: [C:\Users\btv\AppData\Roaming\Info.hta] => C:\Users\btv\AppData\Roaming\Info.hta [13916 2019-01-18] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\0MK3SC_payload.exe [2019-01-17] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-01-17] () [File not signed]
    Startup: C:\Users\btv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0MK3SC_payload.exe [2019-01-18] () [File not signed]
    Startup: C:\Users\btv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-01-18] () [File not signed]
    Startup: C:\Users\Oz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0MK3SC_payload.exe [2019-01-18] () [File not signed]
    Startup: C:\Users\Oz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-01-18] () [File not signed]
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0MK3SC_payload.exe [2019-01-17] () [File not signed]
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-01-17] () [File not signed]
    2019-01-18 12:00 - 2019-01-18 12:00 - 000094720 _____ C:\Users\Oz\AppData\Roaming\0MK3SC_payload.exe
    2019-01-18 12:00 - 2019-01-18 12:00 - 000013916 _____ C:\Users\Oz\AppData\Roaming\Info.hta
    2019-01-18 09:37 - 2019-01-18 09:37 - 000094720 _____ C:\Users\btv\AppData\Roaming\0MK3SC_payload.exe
    2019-01-18 09:37 - 2019-01-18 09:37 - 000013916 _____ C:\Users\btv\AppData\Roaming\Info.hta
    2019-01-17 00:35 - 2019-01-17 00:35 - 000013916 _____ C:\Windows\system32\Info.hta
    2019-01-17 00:35 - 2019-01-17 00:35 - 000013916 _____ C:\Users\User\AppData\Roaming\Info.hta
    2019-01-18 12:00 - 2019-01-18 12:00 - 000094720 _____ () C:\Users\Oz\AppData\Roaming\0MK3SC_payload.exe
    2019-01-18 12:00 - 2019-01-18 12:00 - 000013916 _____ () C:\Users\Oz\AppData\Roaming\Info.hta
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу