Перейти к содержанию

Рекомендуемые сообщения

Сначала почистим мусор, потом получите расшифровку.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [F3C1E2DC-1936E99Ehta] => C:\Windows\TEMP\how_to_decrypt.hta [1794 2022-06-21] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\a.kartashov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\a.timofeeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\csadmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\d.ostasheva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.chistyakova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.davydova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\e.pervyakova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\i.abramenko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\k.trubitsyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\m.ispravnikova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\Print\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\testuser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\v.imikina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\vm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-06-21] () [Файл не подписан]
2022-06-21 22:39 - 2022-06-21 22:39 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-06-21 22:40 - 2022-06-21 22:40 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-06-21 22:36 - 2022-06-21 22:36 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-06-21 22:39 - 2022-06-21 22:39 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-06-21 22:44 - 2022-06-21 22:44 - 000001794 _____ () C:\Users\csadmin\AppData\Roaming\how_to_decrypt.hta
2022-06-21 22:44 - 2022-06-21 22:44 - 000001794 _____ () C:\Users\csadmin\AppData\Roaming\Microsoft\how_to_decrypt.hta
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

Ссылка на сообщение
Поделиться на другие сайты

Выполнил, спасибо за помощь

Fixlog.txt

немного не по теме, есть другая виртуальная машина, зашифрована этим же шифратором, получится ее восстановить полностью? там поднят sql server и 1с

Ссылка на сообщение
Поделиться на другие сайты

спасибо огромное,  все необходимые файлы расшифрованы на этой ВМ, включая базы данных, создам отдельную заявку по последней ВМ.

Изменено пользователем JayDee
Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] Шифровальщик hopeandhonest@smime.ninja
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Siboc
      От Siboc
      Добрый день.
       
      На компьютере запустили шифровальщик - файл нашли и приложил. Взломали или кто-то злоумышленно разбираемся.
        
      Подскажите, возможно ли такое расшиваровать.
      Файлы без пароля(virus) батник и ссылка на яндекс.
      killrdp.bat.id-EC7CEE84.[cheese47@cock.li].7z Yandex.lnk.id-EC7CEE84.[cheese47@cock.li].7z payload-шифровальщик.7z
    • JayDee
      От JayDee
      Добрый вечер, система не переустановлена. Необходимо попытаться восстановить только файлы, это ВМ, на ней находится общая папка пользователей.
       
      Addition.txt FRST.txt Файлы и требования.7z
    • maravan1
      От maravan1
      Добрый день в 2021м через слабый пароль rdp залили и запустили шифровальщика в локальной сети.
      пострадали данные как только было замечено шифрование сразу была остановлена система и сделан образ диска. (возможно к текущему моменту он потерян)
      на сетевом диске осталось много зашифрованных данных . мы сейчас переносим старые диски на новую машину и наткнулись на эти данные.
      Пожалуйста посмотрите возможно ли их расшифровать. 
       
      crylock.zip
    • valentin868
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • MilaG
      От MilaG
      Прошу помочь с расшифровкой, шифрование было где-то полгода назад, есть важные файлы.
      Пример файла
      Гимн СССР.docx[honestandhope@qq.com].rar
×
×
  • Создать...