Перейти к содержанию

Зашифровано: [hopeandhonest@smime.ninja].[187D8F74-F630AD5C]


Рекомендуемые сообщения

На компьютер был предположительно занесен вирус. Много файлов, и даже базы 1с были зашифрованы. Ко всем файлам теперь приписка " [hopeandhonest@smime.ninja].[187D8F74-F630AD5C] " , были изменено разрешение файлов и файлы не открываются. Так же в каждой папке с такими файлами был создан файл " how_to_decrypt.hta " . После была проведена проверка антивирусной программой и файлы вируса были удалены. Но результат его работы остался.
Пробывали различные утилиты для расшифровки файлов, но результата они не дали. Прикладываем примеры зашифрованного файла и файла созданного в каждой папке.
Возможна ли расшифровка данных файлов?

еще файлы 2.rar

файлы.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровки этой версии вымогателя нет.

Систему планируете переустанавливать или нужна помощь в очистке?

Ссылка на сообщение
Поделиться на другие сайты

В системе много ключей, если возможно систему будем чистить. Слишком много настроек которые уже мало кто помнит, не хотелось бы переустанавливать. Уже двумя антивирусами прогнали, зараженные файлы были найдены и удалены. Сейчас новые файлы не шифруются. Осталось только огромное количество зашифрованных файлов и этих файлов с "инструкцией" в каждой папке.

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-22] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {14D77899-3628-4386-8991-872638BA9DD8} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "D:\Обновления\RDPWrap-v1.6.2\autoupdate\autoupdate.bat" -log <==== ВНИМАНИЕ
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\how_to_decrypt.hta
    2022-01-22 19:05 - 2022-01-22 19:05 - 000001794 _____ C:\Users\Ivan\Downloads\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Roaming\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\LocalLow\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\Local\how_to_decrypt.hta
    2022-01-22 19:04 - 2022-01-22 19:04 - 000001794 _____ C:\Users\Ivan\AppData\how_to_decrypt.hta
    2022-01-22 18:44 - 2022-01-22 18:44 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{141A6705-FED7-4FC1-830D-589966CBFFAB}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk.

Ссылка на сообщение
Поделиться на другие сайты

В этой теме разговор идёт только с пользователем @Kur. Для всех действуют специальные правила раздела (кратко, создайте свою тему).

Даже если кажется похожим заражение, оно может быть совершенно другим.

Ссылка на сообщение
Поделиться на другие сайты

А можно с начало узнать подробней что делает этот код? Зашифрованные файлы не будут удалены? - или будут удалены только файлы "требований злоумышников"?

Доступ у пользователей не пропадет после этого? Хотелось бы немного понимания процесса.

И вопрос мы делали проверку двумя антивирусами, они находили и "очищали " файлы. Вирус был полностью уже удален с данного компьютера? или данный код и удалит его окончательно?

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Kur сказал:

или будут удалены только файлы "требований злоумышников"?

Да, именно так. А также отключит разрешение на порт 3389, используемый для RDP.

Причём, файлы требований будут не удалены, а помещены в карантин.

Ссылка на сообщение
Поделиться на другие сайты

К данному компьютеру люди подключаются по RDP как раз. Разве это не значит что они не смогут больше подключится к данному компьютеру по RDP?.

Или так же смогут? - этим устройством пользуются более десятка пользователей и они все подключаются по RDP.

Ссылка на сообщение
Поделиться на другие сайты

Так же через RDP и злоумышленники подключились. Поэтому обязательно

17 часов назад, Sandor сказал:

Смените пароли учётных записей с правами администратора и пароли на доступ по RDP и AnyDesk

 

А если нужен доступ, следует принять некоторые меры, а не просто открыть порт.

Из локальной сети - нужно явно указать подсеть, которой разрешено подключаться. А из внешней - использовать подключение через VPN.

Ссылка на сообщение
Поделиться на другие сайты
  • 4 months later...

У меня этот же шифровальщик.

Обнаружил "рабочую папку" шифровальщика с разными утилитами в папке "Видео" профиля пользователя.

Такими как: logs_cleaner.bat, .cr_hand.exe, .cr_auto.exe и тд.

Это не поможет в расшифровке?

Изменено пользователем halit
Ссылка на сообщение
Поделиться на другие сайты

@halit, здравствуйте!

 

Не поможет. Только, пожалуйста, не нарушайте правила этого раздела. Создайте свою тему и выполните Порядок оформления запроса о помощи

 

Эта тема закрыта.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Vitali
      От Vitali
      Прошу помочь почистить систему и если есть возможность расшифровать файлы. 
      Прикрепляю зашифрованный файл и файл вымогателя. 
      И какие данные вам еще скинуть?
      Как почистить систему? 
    • Asvard
      От Asvard
      Заразился windows server 2008r2, пока неизвестно по какой причине. Зашифровал на себе почти всё и куда смог дотянуться по сети к общему доступу других компьютеров.
      Во вложении так же оригинал одного из зашифрованных файлов.

      files.7z FRST_14-06-2022 13.09.50.txt Addition_14-06-2022 13.09.50.txt
    • SciFi_
      От SciFi_
      Предположительно, скачался вместе с файлами драйверов для кассовых аппаратов (либо долго прятался в системе до этого).
      все файлы зашифрованы, имеют расширение Файл "[1343ADAF-CE7CF15F]" (.[1343ADAF-CE7CF15F]). Судя по метаданным NTFS, сработал 12.06.22 вечером.
       
      Addition.txt FRST.txt EncryptedFiles.rar
    • maksim gerasimov
      От maksim gerasimov
      поймал вирус на сервере файл зашифрован резервные копии были  на этом же компьютере.как можно расшифровать помогите 
    • Less
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
×
×
  • Создать...