Перейти к содержанию

Можно ли расшифровать данные honeststandhope@qq.com

АлексейОстроумов

Автор АлексейОстроумов,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 1

Рекомендуемые сообщения

АлексейОстроумов

АлексейОстроумов 0

Опубликовано
Опубликовано

Утром обнаружили зашифрованные файлы баз данных 1С и документов honeststandhope@qq.com   

можно  ли расшифровать данные   

Ссылка на сообщение
Поделиться на другие сайты
АлексейОстроумов

АлексейОстроумов 0

Опубликовано
  • Автор
Опубликовано
9 минут назад, Sandor сказал:

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

FRST.txt

how_to_decrypt.rar УЧАСТКИ 2021.xls[honestandhope@qq.com].rar

архивы с файлами   заархивированы с паролем virus

И еще один файл   additional   прилагаю  

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

К сожалению, расшифровки этой версии вымогателя нет.

Систему чистим или будете переустанавливать?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Чистить так:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [MinerGateGui] => C:\Users\Гость\Downloads\1minergate\minergate.exe --auto
HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101] => "C:\users\8ced~1\appdata\local\temp\svcurl.exe" -id "71C36FFC-6A1EA101" -wid "888" <==== ВНИМАНИЕ
HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101hta] => c:\users\8ced~1\appdata\local\temp\how_to_decrypt.hta <==== ВНИМАНИЕ
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\how_to_decrypt.hta
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\how_to_decrypt.hta
2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\ProgramData\how_to_decrypt.hta
FirewallRules: [{C4E010C1-C620-4832-BB28-64DC8778CD85}] => (Allow) LPort=3389
FirewallRules: [{92887B23-B7E0-4A96-B570-896AE079521F}] => (Allow) LPort=80
FirewallRules: [{D4B33ADD-5794-4B55-9A64-EA72059AEB4D}] => (Allow) LPort=3389
FirewallRules: [{CA733FC7-B1CB-4345-A92F-3A98398DE7F0}] => (Allow) LPort=443
FirewallRules: [{6182A95D-0875-4995-9722-6DD9A2F449D6}] => (Allow) LPort=80
FirewallRules: [{9968BCC5-9BB2-42E0-9B7F-8138564FE9B0}] => (Allow) LPort=443
FirewallRules: [{17F16E26-BD8D-4FD7-BDFA-BA4AE71E9387}] => (Allow) LPort=80
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на RDP смените.

 

15 минут назад, АлексейОстроумов сказал:

другие компью.теры в сети то же нужно чистить ?

Если там зашифровались расшаренные папки, то не нужно. Просто смените пароль доступа в эти папки. Но если все же хотите проверить, действуйте по принципу один компьютер - одна тема.

Ссылка на сообщение
Поделиться на другие сайты
АлексейОстроумов

АлексейОстроумов 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

я сделал все что нужно по вашим рекомендациям   прилагаю файл 

Fixlog.txt

те систему ОС WIndows 10    можно оставить как  есть   или все таки переставлять ?? 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Поскольку шифровальщик скорее всего был запущен вручную, по окончании своей "работы" он вручную же был удалён. Мы по сути очистили некоторые его следы.

Поэтому - да, можно оставить, только следует принять меры:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
АлексейОстроумов

АлексейОстроумов 0

Опубликовано
  • Автор
Опубликовано

Прилагаю результат   работы этой утилиты 

и еще я в папке Гость _Загрузки    нашел  такие вот файлы   

их лучше удалить наверное ?? SecurityCheck.txt  

запаковал файлы    но приложить не могу добавить в тему сейчас 

при попытке получаю ошибку - 200

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.9 v.4.19.9805 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.5.2.644 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

 

2 минуты назад, АлексейОстроумов сказал:

в папке Гость _Загрузки

Это не системная папка. Если файлы вам неизвестны и подозрительны, удаляйте смело.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Я так понимаю, это отчёт с другой системы, верно?

Утилита показывает только уязвимые места и требуемые обновления программы. Наличие/отсутствие вредоносных файлов и/или их хвостов можно определить по логам из правил.

Но, как я говорил, один компьютер - одна тема. Иначе мы с вами запутаемся.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Stepan1992
      [РАСШИФРОВАНО] Попался на шифровальщика
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • davidbayra
      Шифровальщик (fairexchange@qq.com)
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • vangeraman
      [РАСШИФРОВАНО] Шифровальщик (fairexchange@qq.com)
      От vangeraman
      Всем привет) надеюсь всё верно оформил)
      В далёком 21 году на почту пришло письмо, которое открыли, все файлы на харде зашифровались, на тот момент решения не было, отложили винт. Сейчас как понял есть возможность расшифровки.
      Стояла win 7 x64 на тот момент, сейчас её нет, расшифровывать буду (если будет конечно возможность) на win 10 x64.
      Прикрепляю 2 архива, в одном файлы зашифрованные, во втором how_to_decrypt (пароль к обоим "infected" без кавычек).
       
      Прошу помощи в расшифровке.
      how_to_decrypt.zip Диана.zip
    • Shk
      [РАСШИФРОВАНО] Поймали шифровальщик [hopeandhonest@smime.ninja]
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
×
×
  • Создать...