Перейти к содержанию

[РАСШИФРОВАНО] hopeandhonest@smime.ninja[28A11195-F7636750]


Рекомендуемые сообщения

Получили такой вирус. hopeandhonest@smime.ninja[28A11195-F7636750] 

Один из компьютеров на win764pro sp1, с обновлениями, с kes стандарт, попал этот шифровальщик. Убит полным удалением раздела.

Хвост [28A11195-F7636750]  видно только с помощью freecommander или аналогов. 

На других пк пока не обнаружилось. Сервер 2019 тоже молчит, но на древнем 2008 sp2 появились зашифрованные файлы.

На него ничего не удается поставить из новых антивирусов, стоит kes 10.2.1.23 стандарт и даже не может обновляться, даже интернета на нем нет. 

Файлы зашифрованные прилагаю, сам вирус не видно, файл с текстом от вымогателя есть с компьютера с windows 7, а на 2008 нет еще. Могу приложить, сохранил на флешке.

Нужна помощь. 

1. Можно ли расшифровать? Что делать чтобы сейчас его вылечить?

2. Какие меры в будущем можно принять не только к двум описываемым пк, но и в целом, дайте, пожалуйста ссылку где можно прочитать.

До этого kes убивал все на подлете. 

 

Addition.txt FRST.txt rial1c_выгрузки.zip

Ссылка на комментарий
Поделиться на другие сайты

В этой системе не нашёл следов вымогателя.

 

17 минут назад, malex337 сказал:

на древнем 2008 sp2

Вы удивитесь, но на ещё более древнем 2003 Server успешно устанавливается, обновляется и работает Kaspersky Security для Windows Server 10.1.2.996

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Task: {DE2BA886-C26B-45FF-B724-6A15C52BF3CB} - System32\Tasks\print_ => D:\Общий обмен\МАК Админ\print.exe (Нет файла)
    FirewallRules: [{ED816C96-609D-4588-971D-D3EB6651A745}] => (Allow) LPort=475
    FirewallRules: [{EBECF97B-51DA-4F1C-9660-7CE58904A8AF}] => (Allow) LPort=475
    FirewallRules: [{7195D501-D49A-4B6B-9A9E-171D03E87A45}] => (Allow) LPort=1542
    FirewallRules: [{A99FC4E9-1BDE-46ED-BE72-C2DD35728FDF}] => (Allow) LPort=1542
    FirewallRules: [{13C4B8C6-DFE3-4123-8F48-0FF3FEA43A4D}] => (Allow) LPort=53
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Программы от производителя IObit являются нежелательным ПО, деинсталлируйте их:

Цитата

 

IObit Unlocker

Smart Defrag 5

 

 

Ссылка на комментарий
Поделиться на другие сайты

Проверьте ЛС.

 

Уязвимые места проверьте так:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Интернет подключен, заходил на яндекс новости для теста. Выдало - 

Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!

Файла не было с логом

И было сообщение, что скрипт был выполнен без ошибок.

 

 

Выполнено все по инструкции. Найденные зашифрованные файлы расшифровались. Действует ли еще шифровальщик, непонятно. Завтра буду пробовать обновлять kes до рекомендованной версии и потом проводить проверку.

Изменено пользователем malex337
Ссылка на комментарий
Поделиться на другие сайты

  • Sandor changed the title to [РАСШИФРОВАНО] hopeandhonest@smime.ninja[28A11195-F7636750]

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tadmin
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • Павел Дмитриевич
      От Павел Дмитриевич
      Знакомая подловила вирус - вымогатель , нужно снести его полностью и восстановить файлы
       

    • lex-xel
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Mitesoro
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
×
×
  • Создать...