Перейти к содержанию
Где отпразднуем 16 лет клуба? На острове!
Задай вопрос Александру Горубнову!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.

Помощь в расшифровке файлов от вируса шифровальщика

9onv
 Share Подписчики 2

Рекомендуемые сообщения

9onv

9onv 0

Опубликовано
Опубликовано

Уважаемые коллеги, просьба рассмотреть возможность расшифровки файлов, зашифрованных вирусом шифровальщиком. Во вложении прикладываю логи системы, один из зашифрованных файлов и отчёт по результатам сканирования на вирусы с их хэшами. Заранее спасибо

Logs Files Virus.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Ссылка на сообщение
Поделиться на другие сайты
9onv

9onv 0

Опубликовано
  • Автор
Опубликовано
33 минуты назад, Sandor сказал:

Здравствуйте!

 

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или будет переустановка?

Нужна помощь для очистки системы от следов

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 991

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2643124608-3389001294-274049096-1014\...\Run: [E22F8E58-D3FA3D5Bhta] => C:\Users\serv\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-26] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-26] () [Файл не подписан]
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-03-28 13:19 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-03-26 17:50 - 2022-03-26 17:50 - 000001794 _____ C:\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
2022-03-26 17:49 - 2022-03-26 17:49 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:48 - 2022-03-26 17:48 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:46 - 2022-03-26 17:46 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
2022-03-26 17:38 - 2022-03-26 17:38 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Downloads\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Documents\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\Desktop\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\Local\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\serv\AppData\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-03-26 17:37 - 2022-03-26 17:37 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\DefaultAppPool\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-03-26 17:33 - 2022-03-26 17:33 - 000001794 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\Local\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Downloads\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Documents\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\Desktop\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\Roaming\how_to_decrypt.hta
2022-03-26 17:32 - 2022-03-26 17:32 - 000001794 _____ C:\Users\Administrator\AppData\how_to_decrypt.hta
2022-03-26 17:31 - 2022-03-26 17:31 - 000001794 _____ C:\Users\Administrator\AppData\LocalLow\how_to_decrypt.hta
2022-03-26 17:30 - 2022-03-26 17:30 - 000001794 _____ C:\Users\Administrator\AppData\Local\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 19:34 - 000000000 ____D C:\Users\serv\AppData\Local\CrashDumps
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-03-26 17:29 - 2022-03-26 17:29 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-03-26 17:28 - 2022-03-26 17:28 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-03-26 17:22 - 2022-03-26 17:22 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-03-26 17:18 - 2022-03-26 17:18 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-03-26 17:14 - 2022-03-26 17:14 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-03-26 17:13 - 2022-03-26 17:13 - 000001794 _____ C:\Users\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  Нет файла
FirewallRules: [{C3FF6FF2-F5AE-4592-A621-C89AC5A8835F}] => (Allow) LPort=475
FirewallRules: [{A6B4EB2F-5B04-4314-9FF0-653BA4A9107E}] => (Allow) LPort=475
FirewallRules: [{F741B776-CB2B-4C15-9087-6F70B4BE4BFA}] => (Allow) LPort=475
FirewallRules: [{5A7D7F6B-4D66-42DD-AEB2-423C9D404AFE}] => (Allow) LPort=475
FirewallRules: [{5B6F1455-94B4-430F-B41C-8D6DE9C94A63}] => (Allow) LPort=8000
FirewallRules: [{AF30DDC6-9589-4CDF-8793-659C9E26AF03}] => (Allow) LPort=8000
FirewallRules: [{9F100AA8-E38E-4DED-8B88-FE36C4CD2A47}] => (Allow) LPort=8000
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Замечания:

Из семи учётных записей шесть обладают правами администратора. Это неправильно.

Пароли на все учётные записи смените, а также смените пароли на подключение по RDP.

 

Версия антивируса устаревшая и больше не поддерживается. Обновите до актуальной.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Less
      Зашифрованы файлы Trojan-Ransom.Win32.Cryakl
      От Less
      Добрый день!
       
      Требуется помощь в расшифровке файлов.
       
      Вирус пробрался через RDP соединение, создал нового пользователя, администратора видимо заблокировал, т.к. в его учетную запись зайти не удается.
       
      Addition.txt FRST.txt Вирус и примеры файлов.rar
    • Алексейtime
      [hopeandhonest@smime.ninja].[49F88538-0B6E27CB]
      От Алексейtime
      Доброе время суток. Вчера зашифровался большой объём данных на файлообменнике. Подскажите пожалуйста есть ли возможность восстановить данные, если система не windows?
      ОС Платформы: FreeBSD 12.2-RELEASE-p7 #0 r369900M: Sun May 30 01:42:50 CEST 2021
      Версия: 12.2.0.4 - Ornithopter (сборка 8458)
      Соответственно программу Farbar Recovery Scan Tool для собора логов запустить не могу. В архиве прикрепил два зашифрованных файла, how_to_decrypt.hta файл и скрин описания системы.
      Поскольку это файлообменник доступы были открыты по всем версиям SMB.
      Не понятно каким образом был запущен вирус, если с самого файлообменника нет возможности выполнить исполняемые файлы. Есть ли смысл начинать диалог с вымогателями? Заранее спасибо за помощь
      Зашифрованные файлы.rar
    • Екатерина Зуб
      HELP!!! hopeandhonest@smime.ninja шифрованные файлы
      От Екатерина Зуб
      Добрый день!
      Были зашифрованы файлы на компьютера в локальной сети. Шифровальщик неизвестен, тело вируса найдено не было. 
      В архиве записка с требованиями, шифрованные файлы, файл-оригинал и его шифрованная версия. 
      Логи взяты с незараженного ПК
       
      Возможно ли расшифровать зашифрованные файлы?
      !файлы.rar FRST.txt Addition.txt
    • Streak_Striker
      Словили "вирус-шифровщик" на этой недели. Самим разобраться не получается.
      От Streak_Striker
      Добрый день. Меня зовут Игорь, с компании "Фландерр". На этой недели предположительно в понедельник, один из пользователей словил вирус путем вложенного архива, после разорхивации скорее всего подрубился exe файл, который был скрыт в архиве до разорхивации, и пользователю зашифровало весь компьютер, а так же т.к. он имел доступ к папке весом более 1тб, то и её тоже затронуло, и так же зашифровало. Ниже прекреплю несколько файлов что были зашифрованы. Очень похоже на готовый софт HYDRA, если вам об этом что-то известно. Текущими декриптерами не получилось восстановить файлы.. к сожалению. Ожидаем с большим энтузиазмом от Вас ответа. 
      P.M.
      К сожалению записку с целью выкупа сам открыть не имею возможности, так как скорее всего процесс запустится уже на этом с которого Вам пишу. Так как тот компьютер на котором повреждены файлы, в данный момент выключен и диски сняты. 
      P.M.M.
      Не получается приложить файлы в тексте этого письма, с вашего позволения, сделаю это постом ниже.
       
    • rashid47
      Зашифровало файлы, остались некоторые оригинальные файлы
      От rashid47
      Добрый день. Зашифровало все файлы на сервере, но есть такие-же файлы не зашифрованные. Есть какие-то варианты расшифровки ?
      file.rar
×
×
  • Создать...