Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
    2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnce: [79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c] => "C:\Users\2356~1.UFI\AppData\Local\Temp\{7f69f730-0676-4518-8367-081d24172e8d}\79d2f4b5-2f32-4e61-ae46-62d8cffd5a5c.cmd" <==== ВНИМАНИЕ
    2021-06-07 21:15 - 2021-06-07 21:15 - 000006030 _____ C:\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\how_to_decrypt.hta
    2021-06-07 21:14 - 2021-06-07 21:14 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Downloads\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\Desktop\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:13 - 2021-06-07 21:13 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Downloads\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\Desktop\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей\AppData\how_to_decrypt.hta
    2021-06-07 21:11 - 2021-06-07 21:11 - 000006030 _____ C:\Users\Алексей.UFIMADM\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Ufimadm\AppData\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Downloads\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\Desktop\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Roaming\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\LocalLow\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\Local\how_to_decrypt.hta
    2021-06-07 21:10 - 2021-06-07 21:10 - 000006030 _____ C:\Users\KlNagSvc\AppData\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2021-06-07 21:09 - 2021-06-07 21:09 - 000006030 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\Users\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    2021-06-07 21:08 - 2021-06-07 21:08 - 000006030 _____ C:\ProgramData\how_to_decrypt.hta
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

на виртуальных машинах как убрать его 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Как правило, вымогатель уничтожается после шифрования. Но если хотите проверить, выполните для каждой машины правила оформления запроса и создайте темы по принципу одна машина - одна тема.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Chel
      Всем доброго времени суток.
      Поймали вирус шифровальщик.
      Теперь все данные на ПК зашифрованы.
      Нужно определить вирус-шифровальщик.
      Очень нужна помощь в расшифровке файлов.
       
      Addition.txt FRST.txt Файлы.rar
    • От АлексейОстроумов
      Утром обнаружили зашифрованные файлы баз данных 1С и документов honeststandhope@qq.com   
      можно  ли расшифровать данные   
    • От PSNSpyro
      На удаленной машине вирус-шифровальщик заблокировал все файлы на ПК, требования злоумышленников приложены. Фото баннера приложено. Файлы с логами приложены в архиве "LOGS.7z". Примеры зашифрованных файлов приложены в архиве "Photos and Pictures.7z".
      Приложить документы не смог, оставлю ссылку на Google Диск. "https://drive.google.com/drive/folders/1erNpxDsqQk-4obeHkYPH_PcmnGrA3iUD?usp=sharing"
      Искренне прошу помощи.
    • От icer127
      В один прекрасный момент файлы стали зашифрованными. Антивирус при полной проверки ПК ничего не находит. Прошу помощи или к.л. информацию по возможному восстановлению файлов
      Образцы файлов - пароль 1111.rar Addition.txt FRST.txt
    • От kabak12
      Прошу помощи по расшифровке закодированных файлов.
      Теряю нужные файлы.
      Вот как преобразовался файл
      Юшала.xlsx[honestandhope@qq.com].[0801FF12-F8F122C3]
       
      Пробовал программкой 
      CRYAKL DECODER 
      CRYAKL 1.5.1.0 DOUBLEOFFSET DECRYPTER
      Не получилось
      Перекодированные файлы.rar
×
×
  • Создать...