Перейти к содержанию

Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.

Vol2022
 Share

Рекомендуемые сообщения

Vol2022 Новичок

Vol2022

Опубликовано
Опубликовано

Доброго времени суток!

Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]

 

Помогите пожалуйста, что делать?

Вирус пока сам не лечил не чем, windows не переустанавливал. 

Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?

файлы docx.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
2 часа назад, Vol2022 сказал:

Вирус пока сам не лечил не чем, windows не переустанавливал. 

А если вирус жив, тогда файлы зашифруются повторно.Поэтому возвращайте диск обратно и собирайте логи по правилам раздела. После этого будем продолжать с расшифровкой.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Добрый день! Сделал все по инструкции создал файл логи через Farbar Recovery Scan Tool, прикладываю к сообщению. 

Вирус этот поймал, когда открыл порт 3389, для удаленного подключения к компьютеру. 

При загрузке компьютера выходит Сообщение Decrypt files? Write to this mails: hopeandhonest@smime.ninja 

Во вложении отправил файлы в виде архива где отдельно зашифрованные файлы и отдельно оригиналы до шифрования вирусом.

 

Спасибо, надеюсь что все сделал правильно.

 

 

Addition.txt FRST.txt Зашифрованные файлы.rar Записка о выкупе виде файла.rar Файлы оригиналы до шифрования.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\VwV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-21-2051328108-2196728158-184226881-1000\...\Run: [F330F9A3-4436E9D5hta] => C:\Users\VwV\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-13] () [Файл не подписан] <==== ВНИМАНИЕ
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-07-13 16:15 - 2022-07-13 16:15 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-13 16:14 - 2022-07-13 16:14 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\Microsoft\how_to_decrypt.hta
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Добрый день! Сделал все как вы сказали. Лог прикрепил к сообщению.

Для информации:

- на рабочем столе приложение mouselock.exe Скорее всего это вирус, если нужно прикрепить его потом, скажите пожалуйста.

- еще появился диск А где лежит файл с названием how_to_decrypt.hta

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Файлы теперь дешифруются и открываются. Спасибо большое за помощь, вы настоящие спасители!

Подскажите пожалуйста, а сам вирус как удалить?
Есть ли способ удалить файл how_to_decrypt.hta который лежит во всех папках и подпапках?

И могли бы дать рекомендации, чтобы избежать в будущем как не словить  вирус-шифровальщик, может есть какое-нибудь антивирусное решение?

 

Заранее спасибо!

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Вы для начала дождитесь полного окончания расшифровки. Могут понадобиться и другие ключи.

 

Если файлы с сообщениями злодеев находятся в папках с зашифрованными файлами, то их удаляет сам дешифратор.

 

Любой антивирус - это по сути сторож на охраняемом объекте. А что бывает на таких объектах в реальной жизни, думаю, Вам хорошо известно. Попали к Вам скорее всего через RDP. Закрывайте дыру.

Ссылка на комментарий
Поделиться на другие сайты
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Здравствуйте! 

Как вы и говорили, что может потребоваться еще ключ для дешифриванию др. файлов. Проверил др диск, есть много файлов которые еще зашифрованы. Прилагаю к письму некоторые из файлов, посмотрите пожалуйста 

Зашифрованные файла ч2.rar

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Я извиняюсь, до проверил остальные диски не все файлы вылечил. Могли бы прислать пожалуйста еще ключи? Я сам не смогу их генерировать?

Я вложил еще папку Admin.zip, это хранится почему-то на одном диске под названием Зарезервировано системой, который я не создавал, думаю там исходник вируса. Мне все это удалить? (ничего не запускал от туда.)

20200328_213936_001.jpg[hopeandhonest@smime.ninja].rar IMG-20190301-WA0000.jpg[hopeandhonest@smime.ninja].rar WPI_Log_2019.01.02_21.55.41.txt[hopeandhonest@smime.ninja].rar sms_notification_ru.pdf[hopeandhonest@smime.ninja].rar Admin.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
×
×
  • Создать...