.harma encryptop / пидоры помогите (реактор помоги)

fokke

.harma encryptop

Сап, реактор, словил вирусню, которую cureit опознал, как Trojan.encryptor.3953, зашифрованные файлы выглядят так: "{filename}-CE3DF1E5.[helpmedecoding@airmail.cc].harma".

Анально зашифровалось всё от баз данных до данных Alfresco. Хозяева вирусни хотят $1800, сумма для меня и моего начальства абсурдная.

Кто-нибудь сталкивался? Есть ли какой-нибудь способ восстановить данные?

Модификация вирусни, походу, новая и тулзами аваста и касперыча вроде не расшифровывается. Надежды мало, но спросить, думаю не помешает.

Подробнее
КУПОН НА 1 помощь
пидоры помогите,реактор помоги

Еще на тему

пидоры помогите(7689)

Развернуть

Комментарии 40 15.10.202011:54 ссылка 6.9

восстанови из бекапа

нет бекапа - сам дурак.

Nagisa 15.10.202011:58 ответить ссылка 16.6

Я думаю если бы был бэк то и поста подобного не было.

EnSabahNur 15.10.202011:59 ответить ссылка ↑ 2.1

Ну, то, что я дурак я осознал практически сразу. Бекапы делались на ту же самую машину, с закономерным итогом. Лелею надежду, что что-то можно спасти, ну а нет, так нет, что уж тут.

fokke 15.10.202012:06 ответить ссылка ↑ 2.3

шансов нет
они не дураки и используют ассиметричное шифрование

так что торгуйся - скажи что такая сумма слишком велика - только 500$ есть к примеру

Nagisa 15.10.202012:26 ответить ссылка ↑ 1.8

Причём только парой купюр и наличными в заначке, назнач встречу на пустыре и вломите им там с пацанами...

Atin Di'kut 15.10.202012:59 ответить ссылка ↑ 10.4

и не забыть сначала потребовать чтобы они какой нить файл расшифровали, для доказательства, что не проебали код декриптования. а то деньги уйдут в никуда.

narsus 15.10.202013:20 ответить ссылка ↑ 2.7

>Бекапы делались на ту же самую машину

Мда...

Оху́евший 16.10.202010:01 ответить ссылка ↑ 0.4

есть 10 типов людей - не делают и ТЕПЕРЬ ДЕЛАЮТ бэкапы

MaXM00D 16.10.202003:07 ответить ссылка ↑ 1.3

Не, есть ещё хуева туча народу, которым просто нечего бэкапить. Когда комп/ноут/телефон используется только как средство запуска браузера и приложений от онлайн сервисов.

Оху́евший 16.10.202010:03 ответить ссылка ↑ 1.0

Это 1й тип

MaXM00D 16.10.202010:31 ответить ссылка ↑ 0.9

Шансов мало если не сказать больше можешь отписать им на мыло и прямо сказать что сумма абсурдная и к сожалению я вам ничего не заплачу ибо дорого и т.д. есть шанс что могут прислать ключ расшифровки(как по мне это единственный шанс т.к. к без ключа расшифровать подобное почти анирал)

EnSabahNur 15.10.202011:59 ответить ссылка 2.8

Да, так и написал, вдруг сжалятся.

fokke 15.10.202012:08 ответить ссылка ↑ 0.0

попробуй тут https://www.nomoreransom.org/ru/index.html

kokainix 15.10.202012:03 ответить ссылка 0.7

Не выстрелило, но спасибо :)

fokke 15.10.202012:17 ответить ссылка ↑ 0.1

Есть вариант обратится к шифрующимся под лаборатории пидарасам-посредникам(я так понимаю что у них ключи на руках имеются прям с самого начала), др.шифро или типа того.
Они с тебя возьмут фул прайс+накинут за свои услуги, но по идее работают по договору и возможность дешифровки демонстрируют.
Это будет скорее всего +1k$ к цене в итоге, но ТИПА с гарантией получения файлов.

35sm 15.10.202012:57 ответить ссылка ↑ -0.3

До 1к мне шифрователи скинули. Тут тема такая, что мой отдел с финансами вообще дел не имеет, а менеджмент университета скажет "а вы там не охуели, случаем"?
Мы чтобы лиуху на софтину для проекта получить каждый месяц запрашиваем временную, а вместо того, чтоб какой-нибудь дешманский SSL сертификат на год взять каждые три месяца обновляем Letsencrypt-овский. Тут реально, скорее сами хакеры сжалятся.

fokke 15.10.202013:06 ответить ссылка ↑ 0.3

Конечно скинули, а как переведешь скажут ДАПЛАТИ 800 ИЛИ САСИ))))

35sm 15.10.202013:22 ответить ссылка ↑ 2.6

Без вариантов от хармы нет ключей нигде и они это знают. Еще небось RDP голой жопой в интернет торчал. Тикай з міста.

kozybran 15.10.202012:19 ответить ссылка 1.7

Да, скорее всего так и поймал. Порты в файрволе все перекрыты были кроме определённых на определённые айпишники, но я его, сука, выключил, чтобы обновить letsencrypt-овские сертификаты и, походу, не включил после обновления.

fokke 15.10.202013:08 ответить ссылка ↑ 0.5

Ну и... хорошим тоном не сидеть с админским доступом даже админам - просто по необходимости "запуск от админа" и вводишь логопасс админский. А сам сидишь под простым пользователем. По аналогии с sudo, но в реалиях винды

Memphis 15.10.202013:29 ответить ссылка ↑ 0.8

Ну вот впредь будешь знать, что безопасность - это не просто "для галочки".
Сидеть на винде, и выставлять голую жопу в интернет - так себе идея.

Оху́евший 16.10.202010:09 ответить ссылка ↑ 0.0

Прикольно будет, если на реакторе сойдутся киберпреступник и его жертва.

Buttmammal 15.10.202012:42 ответить ссылка 2.0

Ну и по местным законам - в борцовском поединке!

Atin Di'kut 15.10.202013:01 ответить ссылка ↑ 2.1

Ща бы в 2020м рансомник поймать.

inoy 15.10.202013:01 ответить ссылка 1.2

Одна ошибка и ты ошибся

ссылка на гифку

fokke 15.10.202013:10 ответить ссылка ↑ 7.1

Чтоб не ошибиться достаточно не ошибаться.

inoy 15.10.202014:05 ответить ссылка ↑ 3.8

Если у вас никто не озаботился купить отдельный хард/место в облаке для бекапов, а сейчас не бросились платить 1,8к$ за да украденные данные, значит ваши данные этих 1,8к$ просто не стоят. Так что, не парься.

wooooot 15.10.202013:46 ответить ссылка 2.5

Обо всём этом задуматься и забить тревогу разве что я сам, ибо я там и швец и жнец и на дуде игрец и фулл-стек, и девопс, и сисадмин до кучи, всегда были какие-то более животрепещущие вопросы.
Несколько раз ловили похожую вирусню, но отделывались малой кровью и мысли о том, что с бекапами всё очень очень плохо перебивались перманентной ёблей мозгов на тему "где функционал, Лебовски?".
Данные там не то, чтобы какие-то архикритические, никто за них $1800 платить не будет. Какие-то бекапы даже скорее всего имеются локально, т.е систему восстанавливать и настраивать придётся не с полного нуля.
Основной урон - урон репутации моего непосредственного начальства, которая от этого проекта и так страдала не раз.
Что до меня, я там уже года два только поддерживаю то, что успели накодить и выпустить в продакшн, т.е это не единственный и не главный мой источник заработка. Просто грустно, когда твоё детище, над которым ты долбился лет пять, гробится вот таким вот образом.

fokke 15.10.202014:43 ответить ссылка ↑ 0.1

Если начальство там за 5 лет не может работу нормально организовать, то большая часть ответственности на нём. Обычная полудохлая контора, плавали, знаем.

wooooot 15.10.202014:51 ответить ссылка ↑ 0.3

Я помню на одной конторе я такие бэкапы себе на съемный хард скидывал и при себе держал если вдруг что у меня всегда были бэки.
Хотя есть 1 способ это расшифровать я помню бился над таким в первой волне с петей. Можно конечно помучатся.

EnSabahNur 15.10.202015:44 ответить ссылка ↑ 0.0

Заинтриговал, чертяка, это какой же? Всё-таки не думаю, что пригодится, но в свободное время интересно поковыряться.

fokke 15.10.202016:16 ответить ссылка ↑ 0.0

Я помню знакомый использовал что-то на подобии Elcomsoft Forensic Disk Decryptor но точно сказать не могу это надо вспоминать и гуглить.

EnSabahNur 15.10.202016:33 ответить ссылка ↑ 0.3

Спасибо, заморочусь, как будет время.

fokke 15.10.202016:36 ответить ссылка ↑ 0.0

Чувак. 1 ссылка по запросу вирусни.https://vms.drweb.com/virus/?i=8052794&lng=en

УльтраЗаврик 15.10.202015:57 ответить ссылка 0.3

Так я искал, и ссылку эту видел. Как говорится, на пидоров надейся, да сам не плошай.
Модификация, похоже новая, в статье по ссылке такого расширения даже не упомянуто. Спросить не мешает, пара человек в личку скинули советы, что можно сделать в плане полиции, например.

fokke 15.10.202016:11 ответить ссылка ↑ 0.9

Везде пишут забить и юзать бекапы. Пара чуваков с Британии забашляли лавэ. И нихера. По приколу полицаям заяву накатать конечно можешь, но особого смысла в этом нет. И ВСЕ рекомендуют ставить самые полные варианты антивирусов. Или сидеть на Win 10 PRO. Там встроенный и на халяву.

УльтраЗаврик 15.10.202017:48 ответить ссылка ↑ 0.0

у меня был похожий случай - главбухша где-то лазила и словила шифрователь. помогло то, что на дисках было по умолчанию включено теневое копирование. из него и восстановила. проверь, на всякий случай