Перейти к содержанию

Зашифровано: [hopeandhonest@smime.ninja].[187D8F74-F630AD5C]

Kur
 Share Подписчики 2

Рекомендуемые сообщения

Kur

Kur 0

Опубликовано
Опубликовано

На компьютер был предположительно занесен вирус. Много файлов, и даже базы 1с были зашифрованы. Ко всем файлам теперь приписка " [hopeandhonest@smime.ninja].[187D8F74-F630AD5C] " , были изменено разрешение файлов и файлы не открываются. Так же в каждой папке с такими файлами был создан файл " how_to_decrypt.hta " . После была проведена проверка антивирусной программой и файлы вируса были удалены. Но результат его работы остался.
Пробывали различные утилиты для расшифровки файлов, но результата они не дали. Прикладываем примеры зашифрованного файла и файла созданного в каждой папке.
Возможна ли расшифровка данных файлов?

еще файлы 2.rar

файлы.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

Систему планируете переустанавливать или нужна помощь в очистке?

Ссылка на сообщение
Поделиться на другие сайты
Kur

Kur 0

Опубликовано
  • Автор
Опубликовано

В системе много ключей, если возможно систему будем чистить. Слишком много настроек которые уже мало кто помнит, не хотелось бы переустанавливать. Уже двумя антивирусами прогнали, зараженные файлы были найдены и удалены. Сейчас новые файлы не шифруются. Осталось только огромное количество зашифрованных файлов и этих файлов с "инструкцией" в каждой папке.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-22] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {14D77899-3628-4386-8991-872638BA9DD8} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "D:\Обновления\RDPWrap-v1.6.2\autoupdate\autoupdate.bat" -log <==== ВНИМАНИЕ
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\how_to_decrypt.hta
2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\Downloads\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\LocalLow\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Local\how_to_decrypt.hta
2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\how_to_decrypt.hta
2022-01-22 18:44 - 2022-01-22 18:44 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
FirewallRules: [{141A6705-FED7-4FC1-830D-589966CBFFAB}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

В этой теме разговор идёт только с пользователем @Kur. Для всех действуют специальные правила раздела (кратко, создайте свою тему).

Даже если кажется похожим заражение, оно может быть совершенно другим.

Ссылка на сообщение
Поделиться на другие сайты
Kur

Kur 0

Опубликовано
  • Автор
Опубликовано

А можно с начало узнать подробней что делает этот код? Зашифрованные файлы не будут удалены? - или будут удалены только файлы "требований злоумышников"?

Доступ у пользователей не пропадет после этого? Хотелось бы немного понимания процесса.

И вопрос мы делали проверку двумя антивирусами, они находили и "очищали " файлы. Вирус был полностью уже удален с данного компьютера? или данный код и удалит его окончательно?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
4 минуты назад, Kur сказал:

или будут удалены только файлы "требований злоумышников"?

Да, именно так. А также отключит разрешение на порт 3389, используемый для RDP.

Причём, файлы требований будут не удалены, а помещены в карантин.

Ссылка на сообщение
Поделиться на другие сайты
Kur

Kur 0

Опубликовано
  • Автор
Опубликовано

К данному компьютеру люди подключаются по RDP как раз. Разве это не значит что они не смогут больше подключится к данному компьютеру по RDP?.

Или так же смогут? - этим устройством пользуются более десятка пользователей и они все подключаются по RDP.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Так же через RDP и злоумышленники подключились. Поэтому обязательно

17 часов назад, Sandor сказал:

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk

 

А если нужен доступ, следует принять некоторые меры, а не просто открыть порт.

Из локальной сети - нужно явно указать подсеть, которой разрешено подключаться. А из внешней - использовать подключение через VPN.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 months later...
halit

halit 0

Опубликовано
Опубликовано (изменено)

У меня этот же шифровальщик.

Обнаружил "рабочую папку" шифровальщика с разными утилитами в папке "Видео" профиля пользователя.

Такими как: logs_cleaner.bat, .cr_hand.exe, .cr_auto.exe и тд.

Это не поможет в расшифровке?

Изменено пользователем halit
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

@halit, здравствуйте!

 

Не поможет. Только, пожалуйста, не нарушайте правила этого раздела. Создайте свою тему и выполните Порядок оформления запроса о помощи

 

Эта тема закрыта.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
  • Sandor unlocked this тема

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Stepan1992
      [РАСШИФРОВАНО] Попался на шифровальщика
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • davidbayra
      Шифровальщик (fairexchange@qq.com)
      От davidbayra
      Здравствуйте примерно в это-же время у меня случилось та же проблема, на win7 зашифровались все файлы этим же шифровальщиком(fairexchange@qq.com), я тоже отложил диск до лучших времен и вот сейчас увидел это сообщение на форуме я обрадовался. Подскажите как мне расшифровать данные? Приложил пример зашифрованного файла. Спасибо!
      Документы №20933363040.Pdf[fairexchange@qq.com].zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/424464-rasshifrovano-shifrovalshhik-fairexchangeqqcom/  
    • vangeraman
      [РАСШИФРОВАНО] Шифровальщик (fairexchange@qq.com)
      От vangeraman
      Всем привет) надеюсь всё верно оформил)
      В далёком 21 году на почту пришло письмо, которое открыли, все файлы на харде зашифровались, на тот момент решения не было, отложили винт. Сейчас как понял есть возможность расшифровки.
      Стояла win 7 x64 на тот момент, сейчас её нет, расшифровывать буду (если будет конечно возможность) на win 10 x64.
      Прикрепляю 2 архива, в одном файлы зашифрованные, во втором how_to_decrypt (пароль к обоим "infected" без кавычек).
       
      Прошу помощи в расшифровке.
      how_to_decrypt.zip Диана.zip
    • Shk
      [РАСШИФРОВАНО] Поймали шифровальщик [hopeandhonest@smime.ninja]
      От Shk
      Здравствуйте! Поймали эту гадость вероятнее всего через RDP. Зашифровала все до чего дотянулась.
      Диск с файлами вытащили, систему переставили. Подскажите пожалуйста, можно их расшифровать ?
      Virus.rar
    • QueenBlack
      Шифровальщик [@rudecrypt]
      От QueenBlack
      Доброго дня.
      Пришла беда, прошу помощи.
       
         var start_date = new Date('May 26 2023 23:52:20');
          var discount_date = new Date('May 28 2023 23:52:20');
          var end_date = new Date('May 31 2023 23:52:20');
          var main_contact = '@rudecrypt';
          var second_contact = 'telegramID@rudecrypt';
          var hid = '[6243493E-BBF995AE]';
          var telegram_link = 'https://telegram.org/';
       
      Addition.txt FRST.txt crypt.7z how_to_decrypt.7z
×
×
  • Создать...