Перейти к содержанию

Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.


Рекомендуемые сообщения

Доброго времени суток!

Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]

 

Помогите пожалуйста, что делать?

Вирус пока сам не лечил не чем, windows не переустанавливал. 

Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?

файлы docx.rar

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Vol2022 сказал:

Вирус пока сам не лечил не чем, windows не переустанавливал. 

А если вирус жив, тогда файлы зашифруются повторно.Поэтому возвращайте диск обратно и собирайте логи по правилам раздела. После этого будем продолжать с расшифровкой.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Добрый день! Сделал все по инструкции создал файл логи через Farbar Recovery Scan Tool, прикладываю к сообщению. 

Вирус этот поймал, когда открыл порт 3389, для удаленного подключения к компьютеру. 

При загрузке компьютера выходит Сообщение Decrypt files? Write to this mails: hopeandhonest@smime.ninja 

Во вложении отправил файлы в виде архива где отдельно зашифрованные файлы и отдельно оригиналы до шифрования вирусом.

 

Спасибо, надеюсь что все сделал правильно.

 

 

Addition.txt FRST.txt Зашифрованные файлы.rar Записка о выкупе виде файла.rar Файлы оригиналы до шифрования.rar

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\VwV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-21-2051328108-2196728158-184226881-1000\...\Run: [F330F9A3-4436E9D5hta] => C:\Users\VwV\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-13] () [Файл не подписан] <==== ВНИМАНИЕ
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-07-13 16:15 - 2022-07-13 16:15 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-13 16:14 - 2022-07-13 16:14 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\Microsoft\how_to_decrypt.hta
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Добрый день! Сделал все как вы сказали. Лог прикрепил к сообщению.

Для информации:

- на рабочем столе приложение mouselock.exe Скорее всего это вирус, если нужно прикрепить его потом, скажите пожалуйста.

- еще появился диск А где лежит файл с названием how_to_decrypt.hta

 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Файлы теперь дешифруются и открываются. Спасибо большое за помощь, вы настоящие спасители!

Подскажите пожалуйста, а сам вирус как удалить?
Есть ли способ удалить файл how_to_decrypt.hta который лежит во всех папках и подпапках?

И могли бы дать рекомендации, чтобы избежать в будущем как не словить  вирус-шифровальщик, может есть какое-нибудь антивирусное решение?

 

Заранее спасибо!

 

Ссылка на сообщение
Поделиться на другие сайты

Вы для начала дождитесь полного окончания расшифровки. Могут понадобиться и другие ключи.

 

Если файлы с сообщениями злодеев находятся в папках с зашифрованными файлами, то их удаляет сам дешифратор.

 

Любой антивирус - это по сути сторож на охраняемом объекте. А что бывает на таких объектах в реальной жизни, думаю, Вам хорошо известно. Попали к Вам скорее всего через RDP. Закрывайте дыру.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте! 

Как вы и говорили, что может потребоваться еще ключ для дешифриванию др. файлов. Проверил др диск, есть много файлов которые еще зашифрованы. Прилагаю к письму некоторые из файлов, посмотрите пожалуйста 

Зашифрованные файла ч2.rar

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

Я извиняюсь, до проверил остальные диски не все файлы вылечил. Могли бы прислать пожалуйста еще ключи? Я сам не смогу их генерировать?

Я вложил еще папку Admin.zip, это хранится почему-то на одном диске под названием Зарезервировано системой, который я не создавал, думаю там исходник вируса. Мне все это удалить? (ничего не запускал от туда.)

20200328_213936_001.jpg[hopeandhonest@smime.ninja].rar IMG-20190301-WA0000.jpg[hopeandhonest@smime.ninja].rar WPI_Log_2019.01.02_21.55.41.txt[hopeandhonest@smime.ninja].rar sms_notification_ru.pdf[hopeandhonest@smime.ninja].rar Admin.rar

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • maravan1
      От maravan1
      Добрый день в 2021м через слабый пароль rdp залили и запустили шифровальщика в локальной сети.
      пострадали данные как только было замечено шифрование сразу была остановлена система и сделан образ диска. (возможно к текущему моменту он потерян)
      на сетевом диске осталось много зашифрованных данных . мы сейчас переносим старые диски на новую машину и наткнулись на эти данные.
      Пожалуйста посмотрите возможно ли их расшифровать. 
       
      crylock.zip
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • MilaG
      От MilaG
      Прошу помочь с расшифровкой, шифрование было где-то полгода назад, есть важные файлы.
      Пример файла
      Гимн СССР.docx[honestandhope@qq.com].rar
    • Andrey1976
      От Andrey1976
      Доброе время суток.
      Зашифровал файлы в сетевой папке NAS!!!!
       
      Может можно что то сделать?.  Заранее спасибо за помощь!
      Зашифрованные файлы.rar
    • Nimitz
      От Nimitz
      Добрый день! 9 месяцев назад поймали по RDP Crylock 2.0. Часть файлов зашифрована, часть удалось спасти (стояло ограничение на длительность сессии RDP). Существует ли сейчас возможность расшифровать? В архиве пример файлов и записка вымогателей (явно недопилена, плейсхолдер идентификатора жертвы пустой).
      to-decrypt.zip
×
×
  • Создать...