Перейти к содержанию

[РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[00E014E0-C4900948] как расшифровать файл

maksim gerasimov
 Share Подписчики 2

Рекомендуемые сообщения

maksim gerasimov

maksim gerasimov 0

Опубликовано
Опубликовано

поймал вирус на сервере файл зашифрован резервные копии были  на этом же компьютере.как можно расшифровать помогите 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1033

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
maksim gerasimov

maksim gerasimov 0

Опубликовано
  • Автор
Опубликовано

очнь жаль.переустановлю системы .единственное что письмо от них ввиде ехе файла .а я переделал на тестовое

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1033

Опубликовано
Опубликовано
20 минут назад, maksim gerasimov сказал:

письмо от них ввиде ехе файла

Вероятно всё же не exe, а hta.

 

Пароли на учётки администраторов смените, также как и пароли на подключение по RDP. Его следует прятать за VPN.

 

Уязвимые места и устаревшее критическое ПО можете проверять с помощью SecurityCheck.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1033

Опубликовано
Опубликовано

Нет, не поможет. Тип вымогателя опознан по зараженному файлу, а не по файлу с требованием выкупа.

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...
Sandor

Sandor 1033

Опубликовано
Опубликовано (изменено)

@maksim gerasimov, для вас хорошие новости, есть расшифровка.

Вот содержимое бывшего зашифрованного файла backup.bat, который вы прикрепили для образца. (Всем, читающим эту тему - под спойлером совершенно посторонний файл, к расшифровке не имеющий отношения).

Спойлер

 

@echo on
SetLocal EnableDelayedExpansion

set PGPASSWORD=tomcat
set PQDBNAME=UAPOS
set PGPATH="C:\Program Files\PostgreSQL\9.5\bin"
set name_pass_conn=-h localhost -p 5432 -U isd
Set DST=D:\%PQDBNAME%
set POINT=LUXWUNE
Set OLD=60


if exist "C:\Program Files\PostgreSQL\9.5\bin\pg_dump.exe" set PGPATH="C:\Program Files\PostgreSQL\9.5\bin"
if exist "C:\Program Files\PostgreSQL\9.5\bin\pg_dump.exe" set PGPATH="C:\Program Files\PostgreSQL\9.5\bin"


for /F "eol= tokens=1,2,3 delims=." %%i in ('cmd.exe /C date /T') do set RESULT=%%k%%j%%i
set RESULT=%RESULT:~0,4%%RESULT:~5,4%

%PGPATH%\pg_dump.exe -i %name_pass_conn% -F c -f %DST%\%RESULT%.%POINT%.backup %PQDBNAME%
%PGPATH%\vacuumdb.exe -z %name_pass_conn% -d %PQDBNAME%


REM  Удаление старинных бекапов

For /F "Delims=" %%i In ('DIR /B/O:-D/A:D %DST%\????.??.??') Do (
   Set /A OLD-=1
   If !OLD! LSS 0 (RD /S/Q "%DST%\%%i") else (
   "%DST%\..\..\bin\rar.exe" a -df -m5 -y -ep1 %DST%\%%i\%%i.rar  %DST%\%%i\*.sql
)
)


Set OLD=60

For /F "Delims=" %%i In ('DIR /B/O:-D/A:-D %DST%\*.backup') Do (
   Set /A OLD-=1
   If !OLD! LSS 0 del /F/Q "%DST%\%%i"
)

 

 

Инструкцию отправил личным сообщением.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1033

Опубликовано
Опубликовано

Отлично!

Если вопросов больше нет, эту тему закрою.

 

Проверить сервер на уязвимые места можно так:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[00E014E0-C4900948] как расшифровать файл

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • mixx
      [hopeandhonest@smime.ninja].[49D83541-06D7084C] вирус шифровальщик
      От mixx
      Просьба помочь с расшифровкой файлов после шифрователя.
      Зашифровали данные и бекапы. Систему будем переставлять. Еще есть зашифрованные и исходные файлы JPG,  но они больше 5 мб (не можем прикрепить)
      FRST.txtAddition.txt
      Зашифрованные файлы.rar
    • malex337
      hopeandhonest@smime.ninja[28A11195-F7636750]
      От malex337
      Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 
      Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.
      Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 
      На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.
      На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 
      Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.
      Нужна помощь. 
      1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?
      2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.
      До этого kes убивал все на подлете. 
       
      Addition.txt FRST.txt rial1c_выгрузки.zip
    • Vol2022
      Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.
      От Vol2022
      Доброго времени суток!
      Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]
       
      Помогите пожалуйста, что делать?
      Вирус пока сам не лечил не чем, windows не переустанавливал. 
      Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?
      файлы docx.rar
    • Huseyn
      hopeandhonest@smime.ninja
      От Huseyn
      Здравствуйте можете мне так же помочь с этим вопросом? 
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/174090-rasshifrovanohopeandhonestsmimeninja/  
    • mulya
      [РАСШИФРОВАНО]hopeandhonest@smime.ninja
      От mulya
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал файлы во всех сетевых папках!!!!
       
      Может можно что то сделать.  Сам зараж комп переустановил на чистый  диск. Вирусный снял.
      вирус.rar
×
×
  • Создать...