Перейти к содержанию

Можно ли расшифровать данные honeststandhope@qq.com


Рекомендуемые сообщения

АлексейОстроумов

Утром обнаружили зашифрованные файлы баз данных 1С и документов honeststandhope@qq.com   

можно  ли расшифровать данные   

Ссылка на сообщение
Поделиться на другие сайты
АлексейОстроумов
9 минут назад, Sandor сказал:

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

FRST.txt

how_to_decrypt.rar УЧАСТКИ 2021.xls[honestandhope@qq.com].rar

архивы с файлами   заархивированы с паролем virus

И еще один файл   additional   прилагаю  

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Чистить так:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [MinerGateGui] => C:\Users\Гость\Downloads\1minergate\minergate.exe --auto
    HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101] => "C:\users\8ced~1\appdata\local\temp\svcurl.exe" -id "71C36FFC-6A1EA101" -wid "888" <==== ВНИМАНИЕ
    HKU\S-1-5-21-2357525305-1066772759-53686490-501\...\Run: [71C36FFC-6A1EA101hta] => c:\users\8ced~1\appdata\local\temp\how_to_decrypt.hta <==== ВНИМАНИЕ
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\how_to_decrypt.hta
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Downloads\how_to_decrypt.hta
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\Documents\how_to_decrypt.hta
    2021-06-13 19:12 - 2021-06-13 19:12 - 000006031 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\Desktop\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Roaming\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\LocalLow\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\Local\how_to_decrypt.hta
    2021-06-13 19:11 - 2021-06-13 19:11 - 000006031 _____ C:\Users\Гость\AppData\how_to_decrypt.hta
    2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\how_to_decrypt.hta
    2021-06-13 19:10 - 2021-06-13 19:10 - 000006031 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2021-06-13 19:09 - 2021-06-13 19:09 - 000006031 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{C4E010C1-C620-4832-BB28-64DC8778CD85}] => (Allow) LPort=3389
    FirewallRules: [{92887B23-B7E0-4A96-B570-896AE079521F}] => (Allow) LPort=80
    FirewallRules: [{D4B33ADD-5794-4B55-9A64-EA72059AEB4D}] => (Allow) LPort=3389
    FirewallRules: [{CA733FC7-B1CB-4345-A92F-3A98398DE7F0}] => (Allow) LPort=443
    FirewallRules: [{6182A95D-0875-4995-9722-6DD9A2F449D6}] => (Allow) LPort=80
    FirewallRules: [{9968BCC5-9BB2-42E0-9B7F-8138564FE9B0}] => (Allow) LPort=443
    FirewallRules: [{17F16E26-BD8D-4FD7-BDFA-BA4AE71E9387}] => (Allow) LPort=80
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пароли на RDP смените.

 

15 минут назад, АлексейОстроумов сказал:

другие компью.теры в сети то же нужно чистить ?

Если там зашифровались расшаренные папки, то не нужно. Просто смените пароль доступа в эти папки. Но если все же хотите проверить, действуйте по принципу один компьютер - одна тема.

Ссылка на сообщение
Поделиться на другие сайты
АлексейОстроумов
1 час назад, Sandor сказал:

Нет, никуда вставлять не нужно. Он будет выполнен из буфера обмена.

я сделал все что нужно по вашим рекомендациям   прилагаю файл 

Fixlog.txt

те систему ОС WIndows 10    можно оставить как  есть   или все таки переставлять ?? 

Ссылка на сообщение
Поделиться на другие сайты

Поскольку шифровальщик скорее всего был запущен вручную, по окончании своей "работы" он вручную же был удалён. Мы по сути очистили некоторые его следы.

Поэтому - да, можно оставить, только следует принять меры:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
АлексейОстроумов

Прилагаю результат   работы этой утилиты 

и еще я в папке Гость _Загрузки    нашел  такие вот файлы   

их лучше удалить наверное ?? SecurityCheck.txt  

запаковал файлы    но приложить не могу добавить в тему сейчас 

при попытке получаю ошибку - 200

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.9 v.4.19.9805 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.21.5.2.644 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

 

2 минуты назад, АлексейОстроумов сказал:

в папке Гость _Загрузки

Это не системная папка. Если файлы вам неизвестны и подозрительны, удаляйте смело.

Ссылка на сообщение
Поделиться на другие сайты

Я так понимаю, это отчёт с другой системы, верно?

Утилита показывает только уязвимые места и требуемые обновления программы. Наличие/отсутствие вредоносных файлов и/или их хвостов можно определить по логам из правил.

Но, как я говорил, один компьютер - одна тема. Иначе мы с вами запутаемся.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • LEC_AL
      От LEC_AL
      Доброго времени суток.
      В канун рождества "поймали" шифровщик.  И подарил "подарочек" в виде зашифрованных файлов. Зашифровано всё, база 1С, система, да вообще всё  
      Файлы зашифрованы lnk.[paybackformistake@qq.com].[B4C69923-2F90E5C6]
      Этот мамкин хацкер оставил на диске оставил иходник своих фикалей   
      Exp.rar
      FRST.txtAddition.txt
       
    • localhost
      От localhost
      Добрый день, словили шифровальщик, в итоге все файлы зашифрованы. Подскажите, пожалуйста, возможна ли расшифровка? Если нет - то какие действия от меня требуются для очистки системы от последствий? Заранее благодарен. 
      Ниже прикладываю требуемые файлы (логи FRST, два зашифрованных файла).
      FRST.txt Касса.xlsx[paybackformistake@qq.com].zip надпись реализация.odt[paybackformistake@qq.com].zip Addition.txt
    • ernesto93
      От ernesto93
      подобрали пароль к учетке у которой права Администратора отключили KES запароленый (KES был установлен на зараженную машину Сам виноват).
      4.jpg[paybackformistake@qq.com].zip 123123123.txt[paybackformistake@qq.com].zip
    • dminin
      От dminin
      Был взломан по RDP, зашифрован, система побита, не грузится. Шифрованые файлы имеют вид AiOLog.txt[paybackformistake@qq.com].[55F6AD3E-663A4D30].  Подцепил диск к здоровому ПК, посылаю файлы с больного диска. Обращений с вымогательством не нашел.
      Есть ли шанс спасти данные...
      Addition.txt FRST.txt how_to_decrypt.7z больные файлы - без пароля.7z
    • gnm82
      От gnm82
      Здравствуйте. Такая же проблема, но нашелся батник и исполняемые файлы шифровальщика, могут ли они помочь в расшифровке?
      crylock.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...