Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Зашифровали файлы [honestandhope@qq.com]

admufimskii
 Поделиться

Рекомендуемые сообщения

admufimskii

admufimskii

Опубликовано
Опубликовано

вчера по удаленке залили шифровальщик, помогите , переустановка системы не возможно , нужно удалить и дешифровать

Addition.txt FRST.txt virus.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

admufimskii

admufimskii

Опубликовано
  • Автор
Опубликовано
19 минут назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

на виртуальных машинах как убрать его 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Как правило, вымогатель уничтожается после шифрования. Но если хотите проверить, выполните для каждой машины правила оформления запроса и создайте темы по принципу одна машина - одна тема.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • ernesto93
      Взломали RDP Сервер
      Автор ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • gnm82
      Шифровальщик extremessd@onionmail.org
      Автор gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Maroder
      Шифровальщик extremessd@onionmail.org, требуется помощь в дешифровке
      Автор Maroder
      Прошу помощи в расшифровке файлов. Все файлы с расширением: [extremessd@onionmail.org].[3E72A29B-88753196]
      После  попадания вируса, система была переустановлена. 
      Файл с требованиями.rar Поврежденные файлы.rar
    • Евгений111
      Поймал шифровальщика
      Автор Евгений111
      Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил.
      архив.rar Addition.txt FRST.txt
×
×
  • Создать...