Перейти к содержанию
17-й день рождения клуба
Пройди опрос про новый продукт, получи приз

[РАСШИФРОВАНО] все файлы зашифровало hopeandhonest@smime.ninja

leon303
 Share Подписчики 2

Рекомендуемые сообщения

leon303

leon303 0

Опубликовано
Опубликовано

Добрый день, словили вчера шифровальщика, каким способом не понятно, возможно ли что то сделать? Спасибо, очень надеюсь на помощь.

 

Addition.txtFRST.txtfiles.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 163

Опубликовано
Опубликовано

Здравствуйте!

 

Сначала чистим систему.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: F - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Servers\splash.hta *DVD*
HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: {27964c97-e85a-11e2-9cbb-4c72b998f547} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Servers\splash.hta *DVD*
HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: {3da20d9a-aa73-11e3-a1bd-4c72b998f547} - E:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-1114489365-498842371-2891943435-1000\...\MountPoints2: {e2e65dec-72fd-11e5-9eb3-4c72b998f547} - F:\AutoRun.exe
HKU\S-1-5-21-1114489365-498842371-2891943435-1010\...\MountPoints2: {e2e65dec-72fd-11e5-9eb3-4c72b998f547} - F:\AutoRun.exe
Startup: C:\Users\gb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-01] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\Roaming\how_to_decrypt.hta
2022-08-01 16:27 - 2022-08-01 16:27 - 000001794 _____ C:\Users\gb\AppData\how_to_decrypt.hta
2022-08-01 16:26 - 2022-08-01 16:26 - 000001794 _____ C:\Users\gb\AppData\LocalLow\how_to_decrypt.hta
2022-08-01 16:24 - 2022-08-01 16:24 - 000001794 _____ C:\Users\gb\AppData\Local\how_to_decrypt.hta
2022-08-01 16:18 - 2022-08-01 16:18 - 000001794 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
2022-08-01 16:18 - 2022-08-01 16:18 - 000001794 _____ C:\Users\admin\AppData\how_to_decrypt.hta
2022-08-01 16:17 - 2022-08-01 16:17 - 000001794 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
2022-08-01 16:15 - 2022-08-01 16:15 - 000001794 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
2022-08-01 16:15 - 2022-08-01 16:15 - 000001794 _____ C:\Users\admin\AppData\Local\Apps\how_to_decrypt.hta
2022-08-01 16:05 - 2022-08-01 16:05 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-08-01 16:04 - 2022-08-01 16:05 - 000374977 _____ C:\Users\mogilev3.REGUL1\Desktop\755924.xlsx
2022-08-01 16:04 - 2022-08-01 16:05 - 000025088 _____ C:\Users\mogilev3.REGUL1\Desktop\счет 39675 (1).xls
2022-08-01 15:48 - 2022-08-01 15:48 - 000001794 _____ C:\Users\regul\AppData\Local\how_to_decrypt.hta
2022-08-01 15:48 - 2022-08-01 15:48 - 000001794 _____ C:\Users\regul\AppData\Local\Apps\how_to_decrypt.hta
2022-08-01 15:06 - 2022-08-01 15:06 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [148]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
FirewallRules: [{46C9B387-F13F-4C08-A761-050E7C102379}] => (Allow) LPort=50248
FirewallRules: [{684D7480-2081-4307-B95E-5A7DA1139A56}] => (Allow) LPort=3389
FirewallRules: [{1D9AB7E1-5F25-4734-B1FF-2AF567533C87}] => (Allow) LPort=3389
FirewallRules: [{6818A7E7-CAA9-4BED-9AAA-3F7CACB7C2A8}] => (Allow) LPort=139
FirewallRules: [{8777FA81-C296-4B74-98B1-4362E7E959ED}] => (Allow) LPort=445
FirewallRules: [{1E3133EE-92C8-457F-8322-ADA62349C403}] => (Allow) LPort=137
FirewallRules: [{62A54B96-D52D-46B7-BA93-B9AB7A8F213E}] => (Allow) LPort=138
FirewallRules: [{49D45CE7-E2D7-4502-9FF3-07022FE82009}] => (Allow) LPort=9422
FirewallRules: [{E3D6A423-AB80-4375-8BA9-9370DB7FEAF9}] => (Allow) LPort=9245
FirewallRules: [{D98FEC1B-1457-4BEB-A5D5-5BCD7D28ADB8}] => (Allow) LPort=9246
FirewallRules: [{9C909747-163B-45BB-91A1-31BEEE3042AE}] => (Allow) LPort=9247
FirewallRules: [{A71D233B-8217-47F9-A411-C25FFE41E7EC}] => (Allow) LPort=3702
FirewallRules: [{0C66D682-6BDB-48F6-8AB5-B7C54AD0A206}] => (Allow) LPort=9244
FirewallRules: [{1C778647-A85A-4191-905B-2709AF326BAF}] => (Allow) LPort=9444
FirewallRules: [{0FB4E1AF-3B81-4005-AB34-A0D1F652FD9E}] => (Allow) LPort=21
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] все файлы зашифровало hopeandhonest@smime.ninja
Sandor

Sandor 1 163

Опубликовано
Опубликовано

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Batriv
      Шифровальщик Cylance Ransomware
      От Batriv
      Все файлы на компьютере были зашифрованы, в том числе бекапы сервера и сайта. Вот сообщения от злоумышленника:
      [[=== Cylance Ransomware ===]]
      [+] What's happened?
      All your files are encrypted, and currently unsable, but you need to follow our instructions. otherwise, you cant return your data (NEVER).
      [+] What guarantees?
      Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
      To check the ability of returning files, we decrypt one file for free. That is our guarantee.
      If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. time is much more valuable than money.
      [+] How to cantact with us?
      Please write an email to: D4nte@onionmail.org and Backup@cyberfear.com
       
      !!! DANGER !!!
      DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus solutions - its may entail damage of the private key and, as result, The Loss all data.
      !!! !!! !!!
      ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
      !!! !!! !!!
       
      Прикрепляю зашифрованный файл.
      fmyKDt7uBYs.jpg.Cylance.7z
    • adm-viktor
      Шифровальщик BlackHunt
      От adm-viktor
      Здравствуйте вирус-шифровальщик зашифровал все файлы и перевёл в формат Hunt2 (пример: userDocs_ru.bin.[Wfqm4dD2j6MkMkTB].[dec.station@onionmail.org].Hunt2), но мне нужна только база 1С можно ли расшифровать?

      BlackHunt.zip
    • igort2
      Зашифровали все файлы xhelpfile@cyberfear.com
      От igort2
      Помогите. Зашифровали все файлы.
      Систему переустановлю самостоятельно, лечение не требуется.
      FiThvDeDI.README.txt FRST.txt Addition.txt Files.rar
    • xonda904009
      [hopeandhonest@smime.ninja]
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
    • leonardgtr
      Шифровальщик (Your Files Have Been Locked With Enmity Ransomware)
      От leonardgtr
      Доброго дня.
      Поймали шифровальщик, зашифровал подряд все файлы вне зависимости от расширения (т.е. не только текстовые). Соответственно, не работают не только документы, но и все программные продукты на компьютере.
      Названия файлов рандомные, в названии файла не оставлено оригинального наименования файлов, расширения файлов тоже рандомные. В корнях локальных дисков созданы папки KeyForFiles, в ней - файлы Key.secret (приложил в архиве Secret key). На одном из компьютеров, где файлы не были зашифрованы до конца (видимо, не успел закончить работу) обнаружили в ней также файл DecryptionKey, в нем значение 0 (приложил в тот же архив). Примеры зашифрованных файлов - в архиве Desktop.
      Нашли исходные exe-файлы шифровальщика - в архиве Desktop лежит exe-файл из папки net, которую создал шифровальщик. В архиве nonet - другой exe-файл, из соответствующей папки, с другого зараженного компьютера. Файла в папке net на втором компьютере уже не нашли - видимо, удалился. Также на зараженных компьютерах был найден файл kavremovr - видимо, отключающий Касперского, но его прикрепить не могу - весит больше 5 Мб.
      Также прикладываю отчеты Farbar с одного из зашифрованных компьютеров и текстовый документ с требованием контакта по поводу выкупа. Очень рассчитываем на вашу помощь.
      Addition.txt Enmity-Unlock-Guide.txt FRST.txt Secret key.7z Desktop.7z nonet.7z
×
×
  • Создать...