Перейти к содержанию

Помощь в расшифровке файлов от вируса шифровальщика

9onv
 Share

Рекомендуемые сообщения

9onv Новичок

9onv

Опубликовано
Опубликовано

Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо

Logs Files Virus.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Ссылка на комментарий
Поделиться на другие сайты
9onv Новичок

9onv

Опубликовано
  • Автор
Опубликовано
33 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Нужна помощь для очистки системы от следов

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2643124608-3389001294-274049096-1014\...\Run: [E22F8E58-D3FA3D5Bhta] => C:\Users\serv\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-26] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-03-26 17:50 - 2022-03-26 17:50 - 000001794 _____ C:\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\how_to_decrypt.hta
2022-03-26 17:31 - 2022-03-26 17:31 - 000001794 _____ C:\Users\Administrator\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:30 - 2022-03-26 17:30 - 000001794 _____ C:\Users\Administrator\AppData\Local\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 19:34 - 000000000 ____D C:\Users\serv\AppData\Local\CrashDumps
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-03-26 17:22 - 2022-03-26 17:22 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-03-26 17:18 - 2022-03-26 17:18 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-03-26 17:14 - 2022-03-26 17:14 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-03-26 17:13 - 2022-03-26 17:13 - 000001794 _____ C:\Users\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  Нет файла
FirewallRules: [{C3FF6FF2-F5AE-4592-A621-C89AC5A8835F}] => (Allow) LPort=475
FirewallRules: [{A6B4EB2F-5B04-4314-9FF0-653BA4A9107E}] => (Allow) LPort=475
FirewallRules: [{F741B776-CB2B-4C15-9087-6F70B4BE4BFA}] => (Allow) LPort=475
FirewallRules: [{5A7D7F6B-4D66-42DD-AEB2-423C9D404AFE}] => (Allow) LPort=475
FirewallRules: [{5B6F1455-94B4-430F-B41C-8D6DE9C94A63}] => (Allow) LPort=8000
FirewallRules: [{AF30DDC6-9589-4CDF-8793-659C9E26AF03}] => (Allow) LPort=8000
FirewallRules: [{9F100AA8-E38E-4DED-8B88-FE36C4CD2A47}] => (Allow) LPort=8000
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Замечания:

Из семи учётных записей шесть обладают правами администратора. Это неправильно.

Пароли на все учётные записи смените, а также смените пароли на подключение по RDP.

 

Версия антивируса устаревшая и больше не поддерживается. Обновите до актуальной.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Marauders666
      Необходима помощь в расшифровке после Mimic
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
×
×
  • Создать...