Перейти к содержанию

Помогите расшифровать hopeandhonest@smime.ninja].

Philipp6
 Поделиться

Рекомендуемые сообщения

Philipp6

Philipp6

Опубликовано
Опубликовано (изменено)

Помогите расшифровать hopeandhonest@smime.ninja], порядка 10 excel файлов. Что нужно предоставить какие данные

Изменено пользователем Philipp6
Sandor

Sandor

Опубликовано
Опубликовано

К сожалению, для этой версии нет расшифровки.

 

Вместо файла FRST.txt вы упаковали FRST64.exe

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2022-08-22 23:29 - 2022-08-22 23:29 - 000002454 _____ C:\Users\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:29 - 000002454 _____ C:\ProgramData\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Администратор\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Администратор\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Администратор\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Администратор\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Public\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Public\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Public\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Public\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\phil\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\phil\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\phil\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\kss\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\kss\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\kss\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\kss\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Default\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Default\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Default\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\Default\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\avden\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\avden\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\avden\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\avden\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5 Classic\Downloads\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5 Classic\Documents\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5 Classic\Desktop\#_README-WARNING_#.TXT
2022-08-22 23:26 - 2022-08-22 23:26 - 000002454 _____ C:\Users\.NET v4.5 Classic\#_README-WARNING_#.TXT
FirewallRules: [{7556F2A7-C669-44DF-9002-A5B4EEEACC71}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{9774BDBA-C1AD-44E8-BD04-4043DCD4E7EA}] => (Allow) C:\Users\Администратор\AppData\Roaming\DRPSu\Alice\cloud.exe (DriverPack Solution) [Файл не подписан]
FirewallRules: [{31CD5899-CC57-4A5C-B4DD-C263C669BE06}] => (Allow) LPort=82
FirewallRules: [{1C5075CC-8193-424E-9AEB-FA7FA419D41B}] => (Allow) LPort=82
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Из пяти учётных записей системы четыре обладают правами администратора. Исправьте и смените пароли.

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Philipp6

Philipp6

Опубликовано
  • Автор
Опубликовано

Большое спасибо, а с дешифровкой файлов, бесполезно??? Только ждать?

Sandor

Sandor

Опубликовано
Опубликовано

Да. Но сколько ждать - никто не ответит. Можете и не дождаться, увы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sntsnt
      Шифровальщик nigra зашифровал базы sql
      Автор sntsnt
      Здравствуйте. Сервер с базами SQL оказался зашифрован. С утра SQL сервер оказался выгруженным. Сервер включен 24/7. Все файлы имеют расширение nigra. Следов от NOD32 на компьютере вообще не нашел. В трее оказался запущенным AnyDesk. Взлом скорее всего произошел через RDP. Файлы ежедневного бэкапа баз SQL тоже зашифрованы. Резервные копии от акрониса тоже зашифрованы. Возможна ли расшифровка SQL баз или файлов бэкапа от акрониса в принципе?
      Шифрованные файлы.rar FRST.txt Addition.txt
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      Автор Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
    • Ромик Комлев
      [oct@sent.com].nigra Шифровальщик-вымогатель-nigra повредил все данные
      Автор Ромик Комлев
      Поражён компьютер вирусом шифровальщиком. Выкладываю в облако. 
      Сообщение от модератора mike 1 Ссылка скрыта.  Сам вирус (в двойном архиве) пароль 1111.
      id пк из файла Readme от вируса
      и три разных файла
       
      Файлы вытаскивал не из системы, так как она не запускается совсем, а  через другой ПК, поэтому AutoLogger не запустил на той пораженной системе
       
      Сообщение от модератора mike 1 Тема перемещена из раздела https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/  
    • DYK
      Шифровальщик-вымогатель-nigra
      Автор DYK
      День добрый. Прошу помощи в борьбе с шифровальщиком-вымогателем-nigra
      Файлы выглядят сейчас так: имя файла.[89e27b1d56].[nigra@privatemail.com].nigra
      Зашифровал все файлы на жестких дисках. Не тронул только Windows и Program Files похоже.
      Зашифрованые файлы и записка о выкупе.rar FRST.txt Addition.txt
    • ural8
      Шифровальщик hopeandhonest@smime.ninja
      Автор ural8
      Помогите с расшифровкой файлов, пожалуйста.
      https://drive.google.com/file/d/1JmzB8OgVuw5tOlPhxuwuME32zNqViqsV/view?usp=sharing
×
×
  • Создать...