Перейти к содержанию
17-й день рождения клуба
Пройди опрос про новый продукт, получи приз

[РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[86345957-6D804B23]

lucite
 Share Подписчики 1

Рекомендуемые сообщения

Sandor

Sandor 1 163

Опубликовано
Опубликовано

Здравствуйте!

 

Сначала чистим следы.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
HKU\S-1-5-21-3589144952-2191577501-1555455646-500\...\MountPoints2: {79bee048-fc11-11eb-ae66-bcaec54d96bc} - E:\setup.exe
Startup: C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-01] () [Файл не подписан]
Task: {D9FFB66C-3B24-4C21-B1B4-B6EBDEF7B7EE} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2022-08-02] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-08-01 18:12 - 2022-08-01 18:12 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{223BCDC0-5163-4169-A8BA-CB8632C3897D}] => (Allow) E:\ПО\DriverPack 17\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{2CFAD32A-9109-4158-857B-3C04EB5C0307}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer.exe => Нет файла
FirewallRules: [{9D750861-DDC5-4C5A-9472-E5ADB1EEF1F5}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer.exe => Нет файла
FirewallRules: [{842FFB95-4437-46D0-98F5-8F018F6ACBF1}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe => Нет файла
FirewallRules: [{41F38720-6F32-409F-9931-383C395CFE0A}] => (Allow) C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe => Нет файла
FirewallRules: [{5C84E79B-DC3C-4005-BFB2-3DA9AE366296}] => (Allow) LPort=7777
FirewallRules: [{2B61034C-F4B7-4C9A-9A30-32CB9C6809E0}] => (Allow) LPort=475
FirewallRules: [{E20B466A-BA93-4F1D-BBC0-777311C03083}] => (Allow) LPort=475
FirewallRules: [{65AF133F-E55F-49B3-9E2B-EC95C70C6D15}] => (Allow) LPort=3389
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] [hopeandhonest@smime.ninja].[86345957-6D804B23]
Sandor

Sandor 1 163

Опубликовано
Опубликовано

Уязвимые места проверьте так:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • xonda904009
      [hopeandhonest@smime.ninja]
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
    • taurus159
      Trojan-Ransom.Win32.Cryakl @rudecrypt зашифровал все файлы xlsx, pdf, zip, 1cd, и т.д.
      От taurus159
      21.04.2023 во внерабочее время злоумышленник (или бот злоумышленника) смог зайти под учетной записью удаленного пользователя (без дополнительных привилегий), приостановил работу KIS и выполнил зловредный код по шифрованию.
      Обнаружили беду только сегодня 24.04.2023. Также были зашифрованы и резервные копии самой ОС и базы данных 1С.
       
      На управление работой антивируса теперь установлен отдельный пароль и система просканирована и очищена от зловреда. Прошу помощи в расшифровке файлов.
       
      Судя по имени файла подсказке how_to_decrypt.hta и по содержимому в зашифрованных файлах {ENCRYPTSTART} и {ENCRYPTENDED} - это Trojan-Ransom.Win32.Cryakl версии 2.0.0.0.
       
      Пример файла и логи FRST прикладываю:
       
      how_to_decrypt.hta.zipFRST.zip
      encypted sample.zip
    • adventure291277
      crylock 2.0.0.0 Шифровальщик-вымогатель hopeandhonest@smime.ninja
      От adventure291277
      Поймал шифровальщик Crylock 2.0.0.0 [hopeandhonest@smime.ninja]. Получил 6 терабайт зашифрованого пространства ( Там фото и видео архив семьи за 15 лет . Может можно чем-то помочь?   
      ВУЗ Поступление.rar
    • stcserg
      [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja
      От stcserg
      Доброго дня.
      Прошу помочь с расшифровкой файлов от данного вымогателя. Зашифровано было в июне. Тогда же и делались логи.
      После этого компьютер стоял отключенный.
      Addition_22-06-2022 17.01.31.txt FRST_22-06-2022 17.01.31.txt Smime.Ninja.rar
    • Radmin174
      Шифровальшик Crylock 2.0 [hopeandhonest@smime.ninja]
      От Radmin174
      Добрый день!
      1. win10 x64
      2. Kaspersky small office Security 21.7.7.393(a)
      3. Нашёл на диске зашифрованные файлы, видимо при работе другого сисадмина был пойман шифровальщик, на тот момент не было способов дешифровки, сейчас вроде на форумах пишут что есть инструкции для этого шифрования, хотелось бы уточнить возможность расшифровки файлов.

      simple.7z
×
×
  • Создать...