Перейти к содержанию

[РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]

mdv
 Share Подписчики 2

Рекомендуемые сообщения

mdv

mdv 0

Опубликовано
Опубликовано

Здравствуйте.

сегодня прошелся по общим дискам на сервере шифровальщик. тело вируса обнаружить не удалось. пока нет доступа к компьютеру под учёткой которого работал вирус.

пошифровал тучу нужных документов. есть ли возможность расшифровать их?

прикладываю пару файлов в архиве и отчёты Farbar'а

Спасибо!

1.zip Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Кое-что почистим:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Start Menu\Programs\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Start Menu\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\My Documents\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Desktop\how_to_decrypt.hta
2022-08-11 03:56 - 2022-08-11 03:56 - 000001794 _____ C:\Documents and Settings\katya\Application Data\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\All Users\Application Data\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Start Menu\Programs\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Start Menu\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\My Documents\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\how_to_decrypt.hta
2022-08-11 03:55 - 2022-08-11 03:55 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Desktop\how_to_decrypt.hta
2022-08-11 03:52 - 2022-08-11 03:52 - 000001794 _____ C:\Documents and Settings\a.kudryashov\Application Data\how_to_decrypt.hta
2022-08-10 22:33 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Documents and Settings\katya\Desktop\mouselock.exe
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Многовато администраторов в системе. Желательно оставить одного и у всех сменить пароли на учётные записи.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
mdv

mdv 0

Опубликовано
  • Автор
Опубликовано

Спасибо Огромное!

большая часть файлов удачно расшифровалась.

для второй части файлов ключ не подошел. прикрепил в архиве 2.zip пару не расшифрованных.

количество администраторов в системе сократил до 2х, сменил пароли и дополнительно порезал доступы.

Fixlog так же в приложении.

Спасибо!

Fixlog.txt 2.zip

Ссылка на сообщение
Поделиться на другие сайты
mdv

mdv 0

Опубликовано
  • Автор
Опубликовано

Спасибо большое. по итогу всё расшифровал кроме одного файла. опять ключ не подошел. но файл не особо нужен, поэтому просто удалю его.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] шифровальщик [hopeandhonest@smime.ninja].[106903BB-5AF88E5C]
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Проверить уязвимые места можете так:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • vldmrmail
      Шифровальщик испортил файлы
      От vldmrmail
      Здравствуйте.
       
      В систему проник шифровальщик и испортил файлы документов. Систему сразу отключил - она неработоспособна стала. Жесткий диск с данными подключил к другому компьютеру и с него вытащил зашифрованные файлы и файл с требованием выкупа от мошенников. Прошу помочь с дешифровкой файлов.
      flash.zip
    • V.Liderov
      Шифровальщик FuxSocy
      От V.Liderov
      Здравствуйте! 04.04.2024 Обнаружили что зашифрованы файлы на компьютере. Просьба помочь расшифровать файлы. Логов нет, т.к. операционная система переустановлена
      файл шифровальщика.rar
    • tized-NSK
      Зашифровано .rty, помогите расшифровать
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      Зашифрованы компьютеры в локальной сети. вымогатель DCHELP.ORG
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      Шифровальщик 4ru9b88d70
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...