Поймали шифровальщик Harma. Зашифровал абсолютно все.
Пароль на архив 2922002
В архиве 2 зашифрованных файла, текстовый файл и файл шифровальщик.
Поймали шифровальщик Harma. Зашифровал абсолютно все.
Пароль на архив 2922002
В архиве 2 зашифрованных файла, текстовый файл и файл шифровальщик.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Artyr535, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Расшифровки нет, чистим сам шифровальщик и сообщение о выкупе.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13918 2020-05-06] () [File not signed] Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-06] () [File not signed] Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-05-06] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-06] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-05-06] () [File not signed] 2020-05-06 18:28 - 2020-05-06 18:28 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe 2020-05-06 18:28 - 2020-05-06 18:28 - 000013918 _____ C:\Windows\system32\Info.hta 2020-05-06 18:26 - 2020-05-06 18:42 - 000005342 _____ C:\Windows\system32\PerfStringBackup.TMP 2020-05-06 09:46 - 2020-05-06 18:09 - 000094720 _____ C:\Users\Admin\AppData\Roaming\LS0BK2_payload.exe 2020-05-06 01:07 - 2020-05-06 18:28 - 000013918 _____ C:\Users\Admin\AppData\Roaming\Info.hta 2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-05-06 01:07 - 2020-05-06 18:28 - 000000218 _____ C:\FILES ENCRYPTED.txt HKLM\...\StartupApproved\StartupFolder: => "Info.hta" HKLM\...\StartupApproved\StartupFolder: => "LS0BK2_payload.exe" HKLM\...\StartupApproved\Run: => "LS0BK2_payload.exe" HKLM\...\StartupApproved\Run: => "C:\Users\Admin\AppData\Roaming\Info.hta" HKLM\...\StartupApproved\Run: => "C:\Windows\System32\Info.hta" HKU\S-1-5-21-704884090-2553168410-4267902371-1001\...\StartupApproved\StartupFolder: => "Info.hta" HKU\S-1-5-21-704884090-2553168410-4267902371-1001\...\StartupApproved\StartupFolder: => "LS0BK2_payload.exe" HKU\S-1-5-21-704884090-2553168410-4267902371-1001\...\StartupApproved\Run: => "LS0BK2_payload.exe" Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
