Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja

JayDee
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Сначала почистим мусор, потом получите расшифровку.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [F3C1E2DC-1936E99Ehta] => C:\Windows\TEMP\how_to_decrypt.hta [1794 2022-06-21] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\a.kartashov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\a.timofeeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\csadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\d.ostasheva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.chistyakova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.davydova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.pervyakova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\i.abramenko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\k.trubitsyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\m.ispravnikova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\Print\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\testuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\v.imikina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\vm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
2022-06-21 22:39 - 2022-06-21 22:39 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-06-21 22:40 - 2022-06-21 22:40 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-06-21 22:36 - 2022-06-21 22:36 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-06-21 22:39 - 2022-06-21 22:39 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-06-21 22:44 - 2022-06-21 22:44 - 000001794 _____ () C:\Users\csadmin\AppData\Roaming\how_to_decrypt.hta
2022-06-21 22:44 - 2022-06-21 22:44 - 000001794 _____ () C:\Users\csadmin\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

JayDee

JayDee

Опубликовано
  • Автор
Опубликовано

Выполнил, спасибо за помощь

Fixlog.txt

немного не по теме, есть другая виртуальная машина, зашифрована этим же шифратором, получится ее восстановить полностью? там поднят sql server и 1с

thyrex

thyrex

Опубликовано
Опубликовано

Проверьте ЛС.

 

С другой виртуалкой, если этот же шифратор, тоже постараемся помочь.

JayDee

JayDee

Опубликовано
  • Автор
Опубликовано (изменено)

спасибо огромное,  все необходимые файлы расшифрованы на этой ВМ, включая базы данных, создам отдельную заявку по последней ВМ.

Изменено пользователем JayDee
  • thyrex изменил название на [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Frolov
      шифратор
      Автор Frolov
      Хотел скачать документ. При скачивании случайно ткнул на всплывшую рекламу и видимо там и подхватил.
       
      после этого на рабочем столе появилось сообщение о том что мои файлы зашифрованы читайте read me.
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 9421E5E663F084763621|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 9421E5E663F084763621|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.       CollectionLog-2015.04.01-10.16.zip
    • dezent17
      [РАСШИФРОВАНО] Шифровальщик honestandhope@qq.com
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
    • fartov.avto
      Шифровальшик email-hola@all-ransomware.info.ver 1.5.1.0
      Автор fartov.avto
      Здравствуйте, словили по сети шифровальщик "email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-3095567647-57776963088164846571618.fname-8.3.8.1652.rar.doubleoffset" все зашифрованные файлы с типом "DOUBLEOFFSET", стоит KES10 (корпоративная лицензия) проверка ничего не выявила, зашифровано файлов на 100Гб, можно ли расшифровать файлы без потери их целостности так как большинство файлов БД 1С? И есть ли угроза дальнейшего распространения шифровальщика по сети? Спасибо
      Логи прикреплены
      report1.log
      report2.log
      CollectionLog-2018.07.23-12.31.zip
    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
×
×
  • Создать...