Поймали шифровальщик Harma. Зашифровал абсолютно все.
Пароль на архив 2922002
В архиве 2 зашифрованных файла, текстовый файл и файл шифровальщик.
Printable View
Поймали шифровальщик Harma. Зашифровал абсолютно все.
Пароль на архив 2922002
В архиве 2 зашифрованных файла, текстовый файл и файл шифровальщик.
Уважаемый(ая) [B]Artyr535[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Расшифровки нет, чистим сам шифровальщик и сообщение о выкупе.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13918 2020-05-06] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-06] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-05-06] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-06] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-05-06] () [File not signed]
2020-05-06 18:28 - 2020-05-06 18:28 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
2020-05-06 18:28 - 2020-05-06 18:28 - 000013918 _____ C:\Windows\system32\Info.hta
2020-05-06 18:26 - 2020-05-06 18:42 - 000005342 _____ C:\Windows\system32\PerfStringBackup.TMP
2020-05-06 09:46 - 2020-05-06 18:09 - 000094720 _____ C:\Users\Admin\AppData\Roaming\LS0BK2_payload.exe
2020-05-06 01:07 - 2020-05-06 18:28 - 000013918 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\FILES ENCRYPTED.txt
HKLM\...\StartupApproved\StartupFolder: => "Info.hta"
HKLM\...\StartupApproved\StartupFolder: => "LS0BK2_payload.exe"
HKLM\...\StartupApproved\Run: => "LS0BK2_payload.exe"
HKLM\...\StartupApproved\Run: => "C:\Users\Admin\AppData\Roaming\Info.hta"
HKLM\...\StartupApproved\Run: => "C:\Windows\System32\Info.hta"
HKU\S-1-5-21-704884090-2553168410-4267902371-1001\...\StartupApproved\StartupFolder: => "Info.hta"
HKU\S-1-5-21-704884090-2553168410-4267902371-1001\...\StartupApproved\StartupFolder: => "LS0BK2_payload.exe"
HKU\S-1-5-21-704884090-2553168410-4267902371-1001\...\StartupApproved\Run: => "LS0BK2_payload.exe"
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.