Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Зашифровали файлы [honestandhope@qq.com]

misha.dp
 Share Подписчики 2

Рекомендуемые сообщения

misha.dp

misha.dp 0

Опубликовано
Опубликовано (изменено)

Доброго дня, зашифровали файлы на сервере, прошу помощи в удалении шифровальщика 

Documents.rar Addition.txt FRST.txt

Изменено пользователем misha.dp
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии нет, к сожалению.

Систему чистим или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-1724452032-2733404677-1963732981-1003\...\Run: [4129B77B-2C704C35hta] => c:\users\tuser3\appdata\local\temp\2\how_to_decrypt.hta [6031 2021-04-04] (Доступ не разрешён)  [Файл не подписан] <==== ВНИМАНИЕ
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\how_to_decrypt.hta
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\Downloads\how_to_decrypt.hta
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\Documents\how_to_decrypt.hta
2021-04-04 19:10 - 2021-04-04 19:10 - 000000000 _____ C:\Users\TUser3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\Desktop\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\Roaming\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\LocalLow\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\Local\how_to_decrypt.hta
2021-04-04 19:07 - 2021-04-04 19:07 - 000000000 _____ C:\Users\TUser3\AppData\how_to_decrypt.hta
2021-04-04 19:04 - 2021-04-04 19:04 - 000000000 _____ C:\ProgramData\how_to_decrypt.hta
2021-04-04 19:02 - 2021-04-04 19:02 - 000000000 _____ C:\ProgramData\Documents\how_to_decrypt.hta
2021-04-04 18:56 - 2021-04-04 19:07 - 000000000 ____D C:\Users\TUser3\AppData\Local\ऽऱएाझऴलङभहऒटसी़सऒऔऺर
2021-04-04 18:55 - 2021-04-04 19:07 - 000000000 ____D C:\Users\TUser3\AppData\Local\WdYMZdRiGynminzHtgRpBXpmZ
2021-04-04 18:17 - 2021-04-04 19:07 - 000000000 ____D C:\Users\TUser3\AppData\Local\鯯鯩鰋鰉鰏鰆鯾鯼鰈鰏鯵鯭鰐鰜鯨鯧鰈鯸鰈鰔鰍鰇鰝鰌鯻
FirewallRules: [{561C6A77-81DB-41FF-BA58-81AFE56789CF}] => (Allow) LPort=3389
FirewallRules: [{F40B5836-8728-435F-AB21-2F5C461CFAED}] => (Allow) LPort=3733
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

Смените пароли на RDP. Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет: 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...
колян777

колян777 0

Опубликовано
Опубликовано (изменено)

есть сайт, dr-shifro на котором мне расшифровали файл с этим вирусом для примера. для расшифровки базы просят 200000 рублей. значит можно расшифровать этот вирус. неужели касперский не в силах это сделать ?

Изменено пользователем Sandor
Убрал активную ссылку
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 296

Опубликовано
Опубликовано

@колян777, здравствуйте!

 

Во-первых, это посредники, которые связаны со злоумышленниками и берут за свои "услуги" дополнительную плату.

Во-вторых, в этом разделе вы не имеете права отвечать в чужих темах.

 

Закрыто.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Mickl1977
      Шифроватор IxehUe8Rg
      От Mickl1977
      Подключились к серверу 03.0087 в 00:19 часа примерно и зашифровали файлы.  Файлы получили расширение .IxehUe8Rg. Есть ли возможность расшифровать?
      Files.rar
    • nevvermind
      Cryakl / Crylock
      От nevvermind
      Добрый день,  по этой версии шифровальщика нет шансов?
       
      пароль на архив с зашифрованными " 1 "
       
       
      Downloads.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
×
×
  • Создать...