Перейти к содержанию

Зашифровано: [hopeandhonest@smime.ninja].[187D8F74-F630AD5C]


Рекомендуемые сообщения

На компьютер был предположительно занесен вирус. Много файлов, и даже базы 1с были зашифрованы. Ко всем файлам теперь приписка " [hopeandhonest@smime.ninja].[187D8F74-F630AD5C] " , были изменено разрешение файлов и файлы не открываются. Так же в каждой папке с такими файлами был создан файл " how_to_decrypt.hta " . После была проведена проверка антивирусной программой и файлы вируса были удалены. Но результат его работы остался.
Пробывали различные утилиты для расшифровки файлов, но результата они не дали. Прикладываем примеры зашифрованного файла и файла созданного в каждой папке.
Возможна ли расшифровка данных файлов?

еще файлы 2.rar

файлы.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

Систему планируете переустанавливать или нужна помощь в очистке?

Ссылка на сообщение
Поделиться на другие сайты

В системе много ключей, если возможно систему будем чистить. Слишком много настроек которые уже мало кто помнит, не хотелось бы переустанавливать. Уже двумя антивирусами прогнали, зараженные файлы были найдены и удалены. Сейчас новые файлы не шифруются. Осталось только огромное количество зашифрованных файлов и этих файлов с "инструкцией" в каждой папке.

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-22] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {14D77899-3628-4386-8991-872638BA9DD8} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "D:\Обновления\RDPWrap-v1.6.2\autoupdate\autoupdate.bat" -log <==== ВНИМАНИЕ
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\how_to_decrypt.hta
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\Downloads\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\LocalLow\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Local\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\how_to_decrypt.hta
    2022-01-22 18:44 - 2022-01-22 18:44 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{141A6705-FED7-4FC1-830D-589966CBFFAB}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk.

Ссылка на сообщение
Поделиться на другие сайты

В этой теме разговор идёт только с пользователем @Kur. Для всех действуют специальные правила раздела (кратко, создайте свою тему).

Даже если кажется похожим заражение, оно может быть совершенно другим.

Ссылка на сообщение
Поделиться на другие сайты

А можно с начало узнать подробней что делает этот код? Зашифрованные файлы не будут удалены? - или будут удалены только файлы "требований злоумышников"?

Доступ у пользователей не пропадет после этого? Хотелось бы немного понимания процесса.

И вопрос мы делали проверку двумя антивирусами, они находили и "очищали " файлы. Вирус был полностью уже удален с данного компьютера? или данный код и удалит его окончательно?

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Kur сказал:

или будут удалены только файлы "требований злоумышников"?

Да, именно так. А также отключит разрешение на порт 3389, используемый для RDP.

Причём, файлы требований будут не удалены, а помещены в карантин.

Ссылка на сообщение
Поделиться на другие сайты

К данному компьютеру люди подключаются по RDP как раз. Разве это не значит что они не смогут больше подключится к данному компьютеру по RDP?.

Или так же смогут? - этим устройством пользуются более десятка пользователей и они все подключаются по RDP.

Ссылка на сообщение
Поделиться на другие сайты

Так же через RDP и злоумышленники подключились. Поэтому обязательно

17 часов назад, Sandor сказал:

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk

 

А если нужен доступ, следует принять некоторые меры, а не просто открыть порт.

Из локальной сети - нужно явно указать подсеть, которой разрешено подключаться. А из внешней - использовать подключение через VPN.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Less
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
    • Алексейtime
      От Алексейtime
      Доброе время суток. Вчера зашифровался большой объём данных на файлообменнике. Подскажите пожалуйста есть ли возможность восстановить данные, если система не windows?
      ОС Платформы: FreeBSD 12.2-RELEASE-p7 #0 r369900M: Sun May 30 01:42:50 CEST 2021
      Версия: 12.2.0.4 - Ornithopter (сборка 8458)
      Соответственно программу Farbar Recovery Scan Tool для собора логов запустить не могу. В архиве прикрепил два зашифрованных файла, how_to_decrypt.hta файл и скрин описания системы.
      Поскольку это файлообменник доступы были открыты по всем версиям SMB.
      Не понятно каким образом был запущен вирус, если с самого файлообменника нет возможности выполнить исполняемые файлы. Есть ли смысл начинать диалог с вымогателями? Заранее спасибо за помощь
      Зашифрованные файлы.rar
    • Екатерина Зуб
      От Екатерина Зуб
      Добрый день!
      Были зашифрованы файлы на компьютера в локальной сети. Шифровальщик неизвестен, тело вируса найдено не было. 
      В архиве записка с требованиями, шифрованные файлы, файл-оригинал и его шифрованная версия. 
      Логи взяты с незараженного ПК
       
      Возможно ли расшифровать зашифрованные файлы?
      !файлы.rar FRST.txt Addition.txt
    • 9onv
      От 9onv
      Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо
      Logs Files Virus.rar
    • Streak_Striker
      От Streak_Striker
      Добрый день. Меня зовут Игорь, с компании "Фландерр". На этой недели предположительно в понедельник, один из пользователей словил вирус путем вложенного архива, после разорхивации скорее всего подрубился exe файл, который был скрыт в архиве до разорхивации, и пользователю зашифровало весь компьютер, а так же т.к. он имел доступ к папке весом более 1тб, то и её тоже затронуло, и так же зашифровало. Ниже прекреплю несколько файлов что были зашифрованы. Очень похоже на готовый софт HYDRA, если вам об этом что-то известно. Текущими декриптерами не получилось восстановить файлы.. к сожалению. Ожидаем с большим энтузиазмом от Вас ответа. 
      P.M.
      К сожалению записку с целью выкупа сам открыть не имею возможности, так как скорее всего процесс запустится уже на этом с которого Вам пишу. Так как тот компьютер на котором повреждены файлы, в данный момент выключен и диски сняты. 
      P.M.M.
      Не получается приложить файлы в тексте этого письма, с вашего позволения, сделаю это постом ниже.
       
×
×
  • Создать...