Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РАСШИФРОВАНО] Помогите расшифровать hopeandhonest@smime.ninja].[DCBF1153-276AD7C7]

besdelnick
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-26] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {EB0C1681-8922-4FFC-893A-655E7C80C8A6} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
Folder: C:\Program Files\RDP Wrapper\
C:\Program Files\RDP Wrapper\
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\Downloads\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\Documents\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\Desktop\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Roaming\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\LocalLow\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Local\how_to_decrypt.hta
2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\how_to_decrypt.hta
2022-07-26 00:19 - 2022-07-26 00:19 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-07-26 00:09 - 2022-07-26 00:09 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
FirewallRules: [{A0D569B0-2093-4098-BD3B-03378BC1910F}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

@besdelnick, жду отчёт о выполнении скрипта.

+

Прикрепите несколько зашифрованных документов в архиве к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
besdelnick

besdelnick

Опубликовано
  • Автор
Опубликовано (изменено)

Система была переустановлена, жесткий диск с данными отложен в сторонку. может все таки есть уже решение как расшифровать? Образец прилагаю

Я СКИДКА.xlsx[hopeandhonest@smime.ninja].rar

how_to_decrypt.rar

Изменено пользователем besdelnick
Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • HOUSEDause
      Помогите удалить вирус taskhost.exe
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • w0r9en
      помогите с майнером Tool.BtcMine.2714
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
×
×
  • Создать...