Перейти к содержанию

[РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]


Рекомендуемые сообщения

Здравствуйте.

сегодня прошелся по общим дискам на сервере шифровальщик. тело вируса обнаружить не удалось. пока нет доступа к компьютеру под учёткой которого работал вирус.

пошифровал тучу нужных документов. есть ли возможность расшифровать их?

прикладываю пару файлов в архиве и отчёты Farbar'а

Спасибо!

1.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Кое-что почистим:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Start Menu\Programs\how_to_decrypt.hta
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Start Menu\how_to_decrypt.hta
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\My Documents\how_to_decrypt.hta
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Local Settings\Temp\how_to_decrypt.hta
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\how_to_decrypt.hta
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Desktop\how_to_decrypt.hta
    2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Application Data\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\All Users\Application Data\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Start Menu\Programs\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Start Menu\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\My Documents\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Local Settings\Temp\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\how_to_decrypt.hta
    2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Desktop\how_to_decrypt.hta
    2022-08-11 03:52 - 2022-08-11 03:52 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Application Data\how_to_decrypt.hta
    2022-08-10 22:33 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Documents and Settings\katya\Desktop\mouselock.exe
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Многовато администраторов в системе. Желательно оставить одного и у всех сменить пароли на учётные записи.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Спасибо Огромное!

большая часть файлов удачно расшифровалась.

для второй части файлов ключ не подошел. прикрепил в архиве 2.zip пару не расшифрованных.

количество администраторов в системе сократил до 2х, сменил пароли и дополнительно порезал доступы.

Fixlog так же в приложении.

Спасибо!

Fixlog.txt 2.zip

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое. по итогу всё расшифровал кроме одного файла. опять ключ не подошел. но файл не особо нужен, поэтому просто удалю его.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]

Проверить уязвимые места можете так:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • maxim5865
      От maxim5865
      друзья всем хорошего дня! 
      сегодня в мой др, случалась неприятность, обнаружил на серваке такую гадость, зашифровала все файлы
      лог в тхт прикладываю
      и архив с паролем virus с зараженными файлами прикладываю, исполняемого файла не нашел
       
      по выкупу дешифровщика указана только почта и телеграмм и айди 
       
      Прошу помощи у сообщества
       
      архив с вирусо meow.rar Addition.txt FRST.txt
      readme.txt
    • JayDee
      От JayDee
      Добрый вечер, система не переустановлена. Необходимо попытаться восстановить только файлы, это ВМ, на ней находится общая папка пользователей.
       
      Addition.txt FRST.txt Файлы и требования.7z
    • maravan1
      От maravan1
      Добрый день в 2021м через слабый пароль rdp залили и запустили шифровальщика в локальной сети.
      пострадали данные как только было замечено шифрование сразу была остановлена система и сделан образ диска. (возможно к текущему моменту он потерян)
      на сетевом диске осталось много зашифрованных данных . мы сейчас переносим старые диски на новую машину и наткнулись на эти данные.
      Пожалуйста посмотрите возможно ли их расшифровать. 
       
      crylock.zip
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • MilaG
      От MilaG
      Прошу помочь с расшифровкой, шифрование было где-то полгода назад, есть важные файлы.
      Пример файла
      Гимн СССР.docx[honestandhope@qq.com].rar
×
×
  • Создать...