Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.

Vol2022
 Share Подписчики 1

Рекомендуемые сообщения

Vol2022

Vol2022 0

Опубликовано
Опубликовано

Доброго времени суток!

Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]

 

Помогите пожалуйста, что делать?

Вирус пока сам не лечил не чем, windows не переустанавливал. 

Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?

файлы docx.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано
2 часа назад, Vol2022 сказал:

Вирус пока сам не лечил не чем, windows не переустанавливал. 

А если вирус жив, тогда файлы зашифруются повторно.Поэтому возвращайте диск обратно и собирайте логи по правилам раздела. После этого будем продолжать с расшифровкой.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Vol2022

Vol2022 0

Опубликовано
  • Автор
Опубликовано

Добрый день! Сделал все по инструкции создал файл логи через Farbar Recovery Scan Tool, прикладываю к сообщению. 

Вирус этот поймал, когда открыл порт 3389, для удаленного подключения к компьютеру. 

При загрузке компьютера выходит Сообщение Decrypt files? Write to this mails: hopeandhonest@smime.ninja 

Во вложении отправил файлы в виде архива где отдельно зашифрованные файлы и отдельно оригиналы до шифрования вирусом.

 

Спасибо, надеюсь что все сделал правильно.

 

 

Addition.txt FRST.txt Зашифрованные файлы.rar Записка о выкупе виде файла.rar Файлы оригиналы до шифрования.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\VwV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-21-2051328108-2196728158-184226881-1000\...\Run: [F330F9A3-4436E9D5hta] => C:\Users\VwV\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-13] () [Файл не подписан] <==== ВНИМАНИЕ
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-07-13 16:15 - 2022-07-13 16:15 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-13 16:14 - 2022-07-13 16:14 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\Microsoft\how_to_decrypt.hta
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
Vol2022

Vol2022 0

Опубликовано
  • Автор
Опубликовано

Добрый день! Сделал все как вы сказали. Лог прикрепил к сообщению.

Для информации:

- на рабочем столе приложение mouselock.exe Скорее всего это вирус, если нужно прикрепить его потом, скажите пожалуйста.

- еще появился диск А где лежит файл с названием how_to_decrypt.hta

 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Vol2022

Vol2022 0

Опубликовано
  • Автор
Опубликовано

Файлы теперь дешифруются и открываются. Спасибо большое за помощь, вы настоящие спасители!

Подскажите пожалуйста, а сам вирус как удалить?
Есть ли способ удалить файл how_to_decrypt.hta который лежит во всех папках и подпапках?

И могли бы дать рекомендации, чтобы избежать в будущем как не словить  вирус-шифровальщик, может есть какое-нибудь антивирусное решение?

 

Заранее спасибо!

 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Вы для начала дождитесь полного окончания расшифровки. Могут понадобиться и другие ключи.

 

Если файлы с сообщениями злодеев находятся в папках с зашифрованными файлами, то их удаляет сам дешифратор.

 

Любой антивирус - это по сути сторож на охраняемом объекте. А что бывает на таких объектах в реальной жизни, думаю, Вам хорошо известно. Попали к Вам скорее всего через RDP. Закрывайте дыру.

Ссылка на сообщение
Поделиться на другие сайты
Vol2022

Vol2022 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте! 

Как вы и говорили, что может потребоваться еще ключ для дешифриванию др. файлов. Проверил др диск, есть много файлов которые еще зашифрованы. Прилагаю к письму некоторые из файлов, посмотрите пожалуйста 

Зашифрованные файла ч2.rar

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
Vol2022

Vol2022 0

Опубликовано
  • Автор
Опубликовано

Я извиняюсь, до проверил остальные диски не все файлы вылечил. Могли бы прислать пожалуйста еще ключи? Я сам не смогу их генерировать?

Я вложил еще папку Admin.zip, это хранится почему-то на одном диске под названием Зарезервировано системой, который я не создавал, думаю там исходник вируса. Мне все это удалить? (ничего не запускал от туда.)

20200328_213936_001.jpg[hopeandhonest@smime.ninja].rar IMG-20190301-WA0000.jpg[hopeandhonest@smime.ninja].rar WPI_Log_2019.01.02_21.55.41.txt[hopeandhonest@smime.ninja].rar sms_notification_ru.pdf[hopeandhonest@smime.ninja].rar Admin.rar

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • nevvermind
      Cryakl / Crylock
      От nevvermind
      Добрый день,  по этой версии шифровальщика нет шансов?
       
      пароль на архив с зашифрованными " 1 "
       
       
      Downloads.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
    • xonda904009
      [РАСШИФРОВАНО] [hopeandhonest@smime.ninja]
      От xonda904009
      Поймали вирус hopeandhonest@smime.ninja. Зашифровал во всех папках...
       
      Может можно что то сделать.  Сам комп переустановил на чистый  диск.
      virus.rar
×
×
  • Создать...