Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал троян-шифровальщика hopeandhonest@smime.ninja. Помогите пожалуйста с дешифровкой файлов.

Vol2022
 Поделиться

Рекомендуемые сообщения

Vol2022 Новичок

Vol2022

Опубликовано
Опубликовано

Доброго времени суток!

Гад зашифровал файлы, теперь расширение вот такое [hopeandhonest@smime.ninja].[F330F9A3-4436E9D5]

 

Помогите пожалуйста, что делать?

Вирус пока сам не лечил не чем, windows не переустанавливал. 

Жесткий диск подключил пока как внешний к другому компу, может ли он таким образом заразить его или нет?

файлы docx.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
2 часа назад, Vol2022 сказал:

Вирус пока сам не лечил не чем, windows не переустанавливал. 

А если вирус жив, тогда файлы зашифруются повторно.Поэтому возвращайте диск обратно и собирайте логи по правилам раздела. После этого будем продолжать с расшифровкой.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Добрый день! Сделал все по инструкции создал файл логи через Farbar Recovery Scan Tool, прикладываю к сообщению. 

Вирус этот поймал, когда открыл порт 3389, для удаленного подключения к компьютеру. 

При загрузке компьютера выходит Сообщение Decrypt files? Write to this mails: hopeandhonest@smime.ninja 

Во вложении отправил файлы в виде архива где отдельно зашифрованные файлы и отдельно оригиналы до шифрования вирусом.

 

Спасибо, надеюсь что все сделал правильно.

 

 

Addition.txt FRST.txt Зашифрованные файлы.rar Записка о выкупе виде файла.rar Файлы оригиналы до шифрования.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
Startup: C:\Users\VwV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-13] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-21-2051328108-2196728158-184226881-1000\...\Run: [F330F9A3-4436E9D5hta] => C:\Users\VwV\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-13] () [Файл не подписан] <==== ВНИМАНИЕ
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-07-13 16:15 - 2022-07-13 16:15 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-07-13 16:13 - 2022-07-13 16:13 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-13 16:14 - 2022-07-13 16:14 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\how_to_decrypt.hta
2022-07-13 16:17 - 2022-07-13 16:17 - 000001794 _____ () C:\Users\VwV\AppData\Roaming\Microsoft\how_to_decrypt.hta
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Добрый день! Сделал все как вы сказали. Лог прикрепил к сообщению.

Для информации:

- на рабочем столе приложение mouselock.exe Скорее всего это вирус, если нужно прикрепить его потом, скажите пожалуйста.

- еще появился диск А где лежит файл с названием how_to_decrypt.hta

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Файлы теперь дешифруются и открываются. Спасибо большое за помощь, вы настоящие спасители!

Подскажите пожалуйста, а сам вирус как удалить?
Есть ли способ удалить файл how_to_decrypt.hta который лежит во всех папках и подпапках?

И могли бы дать рекомендации, чтобы избежать в будущем как не словить  вирус-шифровальщик, может есть какое-нибудь антивирусное решение?

 

Заранее спасибо!

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Вы для начала дождитесь полного окончания расшифровки. Могут понадобиться и другие ключи.

 

Если файлы с сообщениями злодеев находятся в папках с зашифрованными файлами, то их удаляет сам дешифратор.

 

Любой антивирус - это по сути сторож на охраняемом объекте. А что бывает на таких объектах в реальной жизни, думаю, Вам хорошо известно. Попали к Вам скорее всего через RDP. Закрывайте дыру.

Ссылка на комментарий
Поделиться на другие сайты
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Здравствуйте! 

Как вы и говорили, что может потребоваться еще ключ для дешифриванию др. файлов. Проверил др диск, есть много файлов которые еще зашифрованы. Прилагаю к письму некоторые из файлов, посмотрите пожалуйста 

Зашифрованные файла ч2.rar

Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
Vol2022 Новичок

Vol2022

Опубликовано
  • Автор
Опубликовано

Я извиняюсь, до проверил остальные диски не все файлы вылечил. Могли бы прислать пожалуйста еще ключи? Я сам не смогу их генерировать?

Я вложил еще папку Admin.zip, это хранится почему-то на одном диске под названием Зарезервировано системой, который я не создавал, думаю там исходник вируса. Мне все это удалить? (ничего не запускал от туда.)

20200328_213936_001.jpg[hopeandhonest@smime.ninja].rar IMG-20190301-WA0000.jpg[hopeandhonest@smime.ninja].rar WPI_Log_2019.01.02_21.55.41.txt[hopeandhonest@smime.ninja].rar sms_notification_ru.pdf[hopeandhonest@smime.ninja].rar Admin.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...