Перейти к содержанию

[РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja

JayDee
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Сначала почистим мусор, потом получите расшифровку.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [F3C1E2DC-1936E99Ehta] => C:\Windows\TEMP\how_to_decrypt.hta [1794 2022-06-21] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\a.kartashov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\a.timofeeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\csadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\d.ostasheva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.chistyakova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.davydova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.pervyakova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\i.abramenko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\k.trubitsyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\m.ispravnikova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\Print\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\testuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\v.imikina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\vm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
2022-06-21 22:39 - 2022-06-21 22:39 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-06-21 22:40 - 2022-06-21 22:40 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-06-21 22:36 - 2022-06-21 22:36 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-06-21 22:39 - 2022-06-21 22:39 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-06-21 22:44 - 2022-06-21 22:44 - 000001794 _____ () C:\Users\csadmin\AppData\Roaming\how_to_decrypt.hta
2022-06-21 22:44 - 2022-06-21 22:44 - 000001794 _____ () C:\Users\csadmin\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

JayDee

JayDee

Опубликовано
  • Автор
Опубликовано

Выполнил, спасибо за помощь

Fixlog.txt

немного не по теме, есть другая виртуальная машина, зашифрована этим же шифратором, получится ее восстановить полностью? там поднят sql server и 1с

thyrex

thyrex

Опубликовано
Опубликовано

Проверьте ЛС.

 

С другой виртуалкой, если этот же шифратор, тоже постараемся помочь.

JayDee

JayDee

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо огромное,  все необходимые файлы расшифрованы на этой ВМ, включая базы данных, создам отдельную заявку по последней ВМ.

Изменено пользователем JayDee
  • thyrex изменил название на [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Шифровальщик extremessd@onionmail.org
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      Шифровальщик extremessd@onionmail.org, требуется помощь в дешифровке
      Автор Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • Евгений111
      Поймал шифровальщика
      Автор Евгений111
      Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил.
      архив.rar Addition.txt FRST.txt
×
×
  • Создать...