Перейти к содержанию

[РАСШИФРОВАНО] зашифровали hopeandhonest@smime.ninja 2A89FD49-15216118


Рекомендуемые сообщения

Зашифровали компьютер, прошу помочь в расшифровке

hopeandhonest@smime.ninja  ИД 2A89FD49-15216118

Файлы сгенерированы как описано в инструкции

files.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Цитата

А логи Farbar почему сделаны древней версией?

Скачал по зеркалу, с основной ссылки система ругается, что вредоносное ПО,
 

Изменено пользователем СМСергей
цитата
Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKU\S-1-5-19\...\Run: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
HKU\S-1-5-21-3046764017-3922122517-4190637507-1005\...\Run: [] => [X]
HKU\S-1-5-21-3046764017-3922122517-4190637507-1005\...\Run: [VkontakteDJ] => C:\VkontakteDJ\VKontakteDJ.exe /H (No File)
HKU\S-1-5-18\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [VkontakteDJ] => C:\VkontakteDJ\VKontakteDJ.exe /H (No File)
2022-08-11 00:44 - 2022-08-11 00:44 - 000001794 _____ C:\Documents and Settings\апельсин\Мои документы\how_to_decrypt.hta
2022-08-11 00:44 - 2022-08-11 00:44 - 000001794 _____ C:\Documents and Settings\апельсин\how_to_decrypt.hta
2022-08-11 00:42 - 2022-08-11 00:42 - 000001794 _____ C:\Documents and Settings\апельсин\Главное меню\Программы\how_to_decrypt.hta
2022-08-11 00:42 - 2022-08-11 00:42 - 000001794 _____ C:\Documents and Settings\апельсин\Главное меню\how_to_decrypt.hta
2022-08-11 00:38 - 2022-08-11 00:38 - 000001794 _____ C:\Documents and Settings\апельсин\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 00:25 - 2022-08-11 00:25 - 000001794 _____ C:\Documents and Settings\апельсин\Application Data\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Рабочий стол\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Мои документы\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Главное меню\Программы\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Главное меню\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\how_to_decrypt.hta
2022-08-11 00:19 - 2022-08-11 00:19 - 000001794 _____ C:\Documents and Settings\Andrey\Application Data\how_to_decrypt.hta
2022-08-11 00:19 - 2022-08-11 00:19 - 000001794 _____ C:\Documents and Settings\All Users\Application Data\how_to_decrypt.hta
Folder: C:\Documents and Settings\Andrey\Рабочий стол\act sng
End::
[/code]


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

Ссылка на сообщение
Поделиться на другие сайты
  • thyrex changed the title to [РАСШИФРОВАНО] зашифровали hopeandhonest@smime.ninja 2A89FD49-15216118
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Runeolf
      От Runeolf
      Добрый день. Нет возможности узнать с чего началось заражение, т.к. шифровальщик объявился в локальной сети, утром уже всё было порушено. Многие файлы exe, txt, exlsx, xml и прочее зашифрованы и переименованы в filename.RUSSIA Cам вирус найти не удалось. Прикладываю логи и пример файлов.
      Архив для Касперского.rar Addition.txt FRST.txt Search.txt
    • On-Lite
      От On-Lite
      Добрый день.
      С 9-10 утра 23.01.2023 числа обнаружен сетевой вирус шифровальщик azadi33@keemail.me
      2 компа заражены. 
      зашифровал все файлы, в т.ч. файловые базы данных на сервере 1С.
      т.е. ПК пользователя, у пользователя зашифровал и пролез по RDP сеансу на сервер и всё зашифровал на сервере.
      Огромная просьба помочь расшифровать базы данных:
      Текст сообщения
      How To Restore Files
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      To restore the system write to both : azadi33@smime.ninja and azadi33@keemail.me
      Your Decryption ID: 23868595F549B397
       
       
       
       
       
      FRST.zip 1Cv7.DD.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip 1SBLOB.CDX.EMAIL=[azadi33@smime.ninja]ID=[23868595F549B397].zip
    • MaxxDamage
      От MaxxDamage
      Здравствуйте. Взломали компьютер, зашифровали файлы. Не особо надеюсь, но мало ли, нужно попробовать все варианты
      farbar.rar Proxima.rar
    • Kiiiiiisa
      От Kiiiiiisa
      Заражение через RDP, у всех файлов появилось расширение .FastSpyfastspy.rarAddition.txtFRST.txt
    • EXPO_savvin
      От EXPO_savvin
      Здравствуйте, поймали шифровальщика, зашифрованы файлы на компьютере жертвы и на сетевом диске (куда был доступ).
      Антивирус только встроенный на вин 10. 
      Можно ли что-то сделать?
      FRST.txtXcLxE89tJ.README.txtЗашифрованный файл.rarAddition.txt
×
×
  • Создать...