Форум esetnod32.ru [тема: Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da] http://forum.esetnod32.ru Новое в теме Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 01:56:04 +0300 Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Юрий Никитин написал:
По какому параметру можно поискать приват ключ?

Систему планируем снести к чертям и базы если дешифруют переносить миграцией с 1с на случай если прицепят что-то.
=============

рекомендации по защите серверной системы от взломов по RDP смотрите выше.
02.02.2021 16:25:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111813/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111813/ Tue, 02 Feb 2021 16:25:27 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Юрий Никитин написал:
Тут.
В инфо просто текст или открытый ключ тоже?
=============
в инфо просто текст, и идентификатор вашего ключа. расшифровка без приватного ключа, который есть только у злоумышленников в наст время невозможна. выкуп не рекомендую платить за ключ, могут просто не предоставить ключ после оплаты,
тем более, что те кто стоит за распространением harma уже известны, как "недобросовестные злоумышленники".
не выполняют своих обязательств после оплаты за ключ.

сохраните важные зашифрованные файлы на отдельный носитель на хранение до лучших времен, когда они наступят.
если в сеть выложат приватные ключи. по crysis это было несколько лет назад, по первым версиям,
но затем, кто-то перехватил проект, и более ключей нет в доступе. а варианты плодятся 10-ками каждый месяц.
02.02.2021 16:23:35, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111812/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111812/ Tue, 02 Feb 2021 16:23:35 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
По какому параметру можно поискать приват ключ?

Систему планируем снести к чертям и базы если дешифруют переносить миграцией с 1с на случай если прицепят что-то.
02.02.2021 16:06:25, Юрий Никитин.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111809/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111809/ Tue, 02 Feb 2021 16:06:25 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Тут.
В инфо просто текст или открытый ключ тоже?
Новая папка.rar
02.02.2021 16:05:35, Юрий Никитин.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111808/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111808/ Tue, 02 Feb 2021 16:05:35 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Юрий Никитин написал:
Дополнение.
=============
добавьте в архиве несколько зашифрованных файлов.
по проверке системы помощь нужна?

по расшифровке файлов пока нет возможности, до тех пор, пока приватные ключи не будут в доступе для антивирусных компаний.
(недавний случай с шифратором FONIX, и ранее по другим: Teslacrypt, GandCrab, Ransom.Shade, AESNI, ~xdata, PEtya Ransomware и другие, показывают, что иногда злоумышленники возвращают  приватные ключи с тем, чтобы была возможность восстановить зашифрованные файлы)
02.02.2021 14:59:58, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111805/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111805/ Tue, 02 Feb 2021 14:59:58 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Дополнение.
FILES ENCRYPTED.txt
02.02.2021 13:18:14, Юрий Никитин.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111804/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111804/ Tue, 02 Feb 2021 13:18:14 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Вирус .harma
Восстановил из roaming исполняемую часть. Во вложении.
Есть ли варианты что-то сделать?
Info.rar
02.02.2021 13:16:14, Юрий Никитин.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message111803/ http://forum.esetnod32.ru/messages/forum35/topic15282/message111803/ Tue, 02 Feb 2021 13:16:14 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
UFC 3 написал:
Добрый день заразились таким шифровальщиком может кто сталкивался уже
=============
скорее всего,
это Crysis, расширение harma без возможности расшифровки
добавьте в архиве записки о выкупе: info.hta и FILES ENCRYPTED.txt
+
один из зашифрованных файлов

так же сделайте образ автозапуска зашифрованной системы,
http://forum.esetnod32.ru/forum9/topic2687/
возможно файлы шифратора сохранились в системе и еще активны
22.09.2020 15:49:41, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message110364/ http://forum.esetnod32.ru/messages/forum35/topic15282/message110364/ Tue, 22 Sep 2020 15:49:41 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день заразились таким шифровальщиком может кто сталкивался уже

all your data has been locked us
You want to return?
Write email CryptorBTC@gmail.com or BTCcryptor@yahoo.com

Файл
22.09.2020 14:23:16, UFC 3.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message110363/ http://forum.esetnod32.ru/messages/forum35/topic15282/message110363/ Tue, 22 Sep 2020 14:23:16 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK
denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis
POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV
ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN
Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор

=============
много учетных записей с правами администраторов.
Пароли надо менять на сложные, в противном случае взлом может повториться через некоторое время.
+
выполните все рекомендации:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------
23.05.2020 18:11:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109094/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109094/ Sat, 23 May 2020 18:11:20 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
такое впечатление, что после скрипта ничего не поменялось
или и не должно было?)
логи прикладываю
FRST.txt
Addition.txt
23.05.2020 17:17:26, Федор Попов.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109093/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109093/ Sat, 23 May 2020 17:17:26 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Федор,
по очистке сервера выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE
apply

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet

; Java(TM) 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet

; Java(TM) 6 Update 5
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet

; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet

; SearchmeToolbar
exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet

deltmp
QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте логи проверки в FRST
http://forum.esetnod32.ru/forum9/topic2798/

===
по расшифровки нет решения, восстановление документов возможно только из бэкапов.
23.05.2020 13:44:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109092/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109092/ Sat, 23 May 2020 13:44:20 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
 Федор Попов  написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[  manyfiles@aol.com  ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?
=============
добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе
=============

SERVAK_2020-05-18_20-07-30_v4.1.8.7z
22.05.2020 20:23:31, Федор Попов.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109086/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109086/ Fri, 22 May 2020 20:23:31 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Федор Попов написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[ manyfiles@aol.com ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?
=============
добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе
22.05.2020 18:33:41, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109084/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109084/ Fri, 22 May 2020 18:33:41 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[manyfiles@aol.com].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?
22.05.2020 18:19:57, Федор Попов.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109083/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109083/ Fri, 22 May 2020 18:19:57 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Сергей Проценко написал:
Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?
=============
+

1.Рекомендации:


====quote====
1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий.

2. включите аутентификацию на уровне сети (NLA).
3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов.
4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625).
5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell.
6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности.
7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях.
8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита.
=============

11.05.2020 18:46:36, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109036/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109036/ Mon, 11 May 2020 18:46:36 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Файл выслал. Логи FRST делал сегодня утром.

Итак, скрипт в uVS выполнил, файл выслал на почту, с учетками разобрался.


Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?
11.05.2020 17:46:29, Сергей Проценко.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109035/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109035/ Mon, 11 May 2020 17:46:29 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
судя по дате, логи FRST вы сделали ранее, 10.05.2020, там картина была немного другая чем в позднем образе автозапуска от 11.05.2020
(с активным процессом шифратора)


====quote====
() [File not signed] C:\Users\test\Music\1DVBG7_payload.exe
() [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2>
HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed]
HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed]
HKLM-x32\...\Run: [1650670] => 1650670
HKLM-x32\...\Run: [525965] => 525965
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed]
2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt
=============

этот файлик C:\Users\test\Music\NetworkShare v.2.exe, если сохранился, вышлите в архиве с паролем infected в почту safety@chklst.ru
скорее всего, была взломана учетная запись (или создана новая) test.
все пароли по учетным записям необходимо сменить, и установить сложные пароли.
возможна повторная атака.
+
обратите внимание, то ваш сервер не только подвергся шифрованию, но и с вашего сервера была выполнена атака на другие сетевые ресурсы,
и скорее всего во внешней сети.
https://www.virustotal.com/gui/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31­b860e569a720a5446/detection

Примите все меры безопасности к системе, которые указаны в данной теме.

Восстановление документов возможно только из архивов, без расшифровки, выкупать ключ расшифровки у зоумышленников не рекомендуем. Только потеряете еще и деньги, кроме документов.

так же обратите внимание, что у вас все учетные записи на сервере с правами администраторов и все активны.
Скрытый текст

удалите левые учетные записи, если они здесь есть,
права администратора оставьте только для действующей учетной записи администратора.

Update:
все таки логи FRST от 11.05.2020
Ran by protsenko.s (administrator) on SRV-DC (HPE ProLiant DL360 Gen10) (11-05-2020 08:37:25)
11.05.2020 17:08:53, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109033/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109033/ Mon, 11 May 2020 17:08:53 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
@Сергей,
по очистке системы в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\1DVBG7_PAYLOAD.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[DHARM727@GMX.DE].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE
delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE
apply

QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
11.05.2020 16:51:13, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109032/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109032/ Mon, 11 May 2020 16:51:13 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Файлы на сервере зашифрованы с названиями вида ХХХХХХХ.id-CCF08FB8.[Dharm727@gmx.de].harma


Как полностью вычистить следы злоумышленника с сервера? Логи во вложении.
2020.05.11.zip
11.05.2020 15:59:12, Сергей Проценко.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message109031/ http://forum.esetnod32.ru/messages/forum35/topic15282/message109031/ Mon, 11 May 2020 15:59:12 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Юрий,
добавьте образ автозапуска из зашифрованной системы,
возможно файлы шифратора еще активны в данной системе,
+
добавьте несколько зашифрованных файлов в архиве,
судя по заголовку зашифрованного файла у вас здесь двойное шифрование *.odveta + *.harma
+
судя по этой теме
https://forum.kasperskyclub.ru/index.php?showtopic=64879
помощь в очистке системы вам уже оказана хелперами на форуме kasperskyclub

по расшифровке помочь вам не сможем, нет расшифровки по odveta и harma

восстановить документы возможно лишь из надежных бэкапов.
15.03.2020 05:49:38, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108571/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108571/ Sun, 15 Mar 2020 05:49:38 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день! Прошу помощи в расшифровке файлов.

Вирус harma зашифровал sql базы 1с и другие файлы на server 2012r2 standart x64.
Теперь файлы выглядят примерно так - "Счет на оплату 11 от ХХ марта 2020 г.pdf.Email=[Filedecryptor@protonmail.com]ID=[ХХХХХХХХХХХХХХХ].odveta.id-ХХХХХХХХ.[MrRdx@cock.li]".HARMA
Восстановление бекапов не сработало (бекапы не читаемы после восстановления), админ не позаботился про актуальные выгрузки БД 1С в разные места.

Подскажите что можно сделать, и есть ли какие-то варианты дешифровки?

Если это будет полезно, то злоумышленник после переписки расшифровал один файл как образец.

Образец текст файла записки c названием "FILES ENCRIPTED.TXT":
all your data has been locked us
You want to return?
Write emeil MrRdx@coc.li or MrRDX@protonmail.com
14.03.2020 19:20:03, Юрий Абрикос.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108570/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108570/ Sat, 14 Mar 2020 19:20:03 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
RP55 RP55 написал:
+В системе нет антивируса...
=============
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз
21.02.2020 11:58:54, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108363/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108363/ Fri, 21 Feb 2020 11:58:54 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
+
В системе нет антивируса...
21.02.2020 11:54:47, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108362/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108362/ Fri, 21 Feb 2020 11:54:47 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
+ обратите внимание, что поддержка сервера Windows 2008 R2 прекращена
uVS v4.0 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
следует в дальнейшем планировать переход в работе на актуальные серверные решения.
21.02.2020 09:23:51, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108359/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108359/ Fri, 21 Feb 2020 09:23:51 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
ООО Рембытстройсервис написал:
что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?
=============
активного шифрования в настоящий момент нет, файлы шифратора удалены, но есть опасность повторного шифрования.

если взломали доступ к серверу, то атака может повториться через время, в том числе и другими шифраторами, например операторами Cryakl,

дешифровать документы в настоящее время невозможно, только за выкуп ключа у злоумышленников, но мы не можем дать вам никакой гарантии, что они помогут вам с расшифровкой, даже если вы заплатите  выкуп ключа, в том числе и по причине низкой квалификации операторов Crysis.

вот, пожалуйста, свежий пример:

====quote====
Заплатили, перестал сразу отвечать
=============


обратите внимание на рекомендации 1-8 выше, их нужно обязательно выполнить в кратчайшее время, чтобы избежать повторного шифрования, и защитить данные вашей компании от дальнейших атак.

------------
эти файлы так же можно удалить, это записка о выкупе.

2020-02-21 08:14 - 2020-02-21 11:02 - 000000236 _____ C:\Users\maks\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-02-20 23:25 - 2020-02-20 23:25 - 000000236 _____ C:\FILES ENCRYPTED.txt
21.02.2020 09:10:41, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108358/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108358/ Fri, 21 Feb 2020 09:10:41 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
Логи
логи.rar
21.02.2020 09:05:02, ООО РБСС.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108357/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108357/ Fri, 21 Feb 2020 09:05:02 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по логу FRST:
проверьте этот файл на virustotal.com
2020-02-20 21:12 - 2020-02-20 21:12 - 000094720 _____ C:\Users\Администратор\Downloads\FuckedUp.exe
(если он еще живой)
+
дайте ссылку нам на результат проверки
затем файл можно удалить.
21.02.2020 08:59:16, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108356/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108356/ Fri, 21 Feb 2020 08:59:16 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке системы выполните (без перезагрузки системы) :

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\USER18\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\USER9\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\USER26\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-616C1EB5.[THEBLACKARROW@FIREMAIL.CC].HARMA
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\FUCKEDUP.EXE
delall %Sys32%\FUCKEDUP.EXE
delall %SystemDrive%\USERS\MAKS\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply
REGT 35

QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте еще логи в FRST

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
21.02.2020 08:51:18, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108355/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108355/ Fri, 21 Feb 2020 08:51:18 +0300 Шифровальщики файлов и подбор дешифраторов Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta в форуме Шифровальщики файлов и подбор дешифраторов.
День добрый, прошу помощи.
Все файлы зашифровались вечером в четверг, вся 1С встала.
шифратор с раширением .harma
что можно предпринять? если полностью удалить шифратор возможна ли дешифровка если мы заплатим этим хакерам?
файл образа автозапуска и логи прилагаю.
SERVER2_2020-02-21_15-32-11.rar
FRST.rar
21.02.2020 08:38:28, ООО Рембытстройсервис.]]> http://forum.esetnod32.ru/messages/forum35/topic15282/message108354/ http://forum.esetnod32.ru/messages/forum35/topic15282/message108354/ Fri, 21 Feb 2020 08:38:28 +0300 Шифровальщики файлов и подбор дешифраторов