Перейти к содержанию

[РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[86345957-6D804B23]

lucite
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Сначала чистим следы.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
HKU\S-1-5-21-3589144952-2191577501-1555455646-500\...\MountPoints2: {79bee048-fc11-11eb-ae66-bcaec54d96bc} - E:\setup.exe
Startup: C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-01] () [Файл не подписан]
Task: {D9FFB66C-3B24-4C21-B1B4-B6EBDEF7B7EE} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-08-02] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{223BCDC0-5163-4169-A8BA-CB8632C3897D}] => (Allow) E:\ПО\DriverPack 17\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{2CFAD32A-9109-4158-857B-3C04EB5C0307}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer.exe => Нет файла
FirewallRules: [{9D750861-DDC5-4C5A-9472-E5ADB1EEF1F5}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer.exe => Нет файла
FirewallRules: [{842FFB95-4437-46D0-98F5-8F018F6ACBF1}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe => Нет файла
FirewallRules: [{41F38720-6F32-409F-9931-383C395CFE0A}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe => Нет файла
FirewallRules: [{5C84E79B-DC3C-4005-BFB2-3DA9AE366296}] => (Allow) LPort=7777
FirewallRules: [{2B61034C-F4B7-4C9A-9A30-32CB9C6809E0}] => (Allow) LPort=475
FirewallRules: [{E20B466A-BA93-4F1D-BBC0-777311C03083}] => (Allow) LPort=475
FirewallRules: [{65AF133F-E55F-49B3-9E2B-EC95C70C6D15}] => (Allow) LPort=3389
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[86345957-6D804B23]
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Уязвимые места проверьте так:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • Павел Дмитриевич
      Как расшифровать и удалить вирус?
      От Павел Дмитриевич
      Знакомая подловила вирус - вымогатель , нужно снести его полностью и восстановить файлы
       

    • lex-xel
      Добрый день, прошу помочь расшифровать файлы.
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Mitesoro
      расшифровать файлы
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
×
×
  • Создать...