Решена с расшифровкой. hopeandhonest@smime.ninja шифровальщик

Alex09 · 2 Авг 2022

Здравстувуйте.
Споймал шифровальщик hopeandhonest@smime.ninja.
Система не переустанавливалась, никакие действия не производились.
Следую инструкции.
Благодарю за Вашу работу.

Sandor · 2 Авг 2022

Здравствуйте!

Сначала чистим систему.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Startup: C:\Users\alla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Startup: C:\Users\mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Startup: C:\Users\olha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Startup: C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-02] () [Файл не подписан]
Task: {BC8CD67D-452A-4F8E-9017-E1D843B5A42D} - System32\Tasks\{C433DA80-3AC2-49A6-8022-46BBB130F88E} => C:\Users\mike\Desktop\NN_2021.11\bookkeep\setup.exe (Нет файла)
Task: {D527F55F-A5F8-4085-B32F-C398EB36F855} - System32\Tasks\{B9FA58C9-A225-4E17-BE17-647BEDC9349C} => C:\Users\mike\Desktop\NN_2021.11\bookkeep\setup.exe (Нет файла)
Task: {FDB285EE-BDC5-4F18-8B5C-469A1D79BC02} - System32\Tasks\{5412A09A-1F36-4303-AAB0-1486E3AA38D9} => C:\Users\mike\Desktop\NN_2021.11\bookkeep\setup.exe (Нет файла)
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-08-02 00:38 - 2022-08-02 00:38 - 000001794 _____ C:\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\Downloads\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\Documents\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\Desktop\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\AppData\LocalLow\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\AppData\Local\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Support\AppData\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-08-02 00:37 - 2022-08-02 00:37 - 000001794 _____ C:\Users\olha\how_to_decrypt.hta
2022-08-02 00:36 - 2022-08-02 00:36 - 000001794 _____ C:\Users\olha\Downloads\how_to_decrypt.hta
2022-08-02 00:36 - 2022-08-02 00:36 - 000001794 _____ C:\Users\olha\Documents\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\Desktop\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\AppData\LocalLow\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\AppData\Local\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\olha\AppData\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\Downloads\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\Documents\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\Desktop\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:35 - 2022-08-02 00:35 - 000001794 _____ C:\Users\mike\AppData\how_to_decrypt.hta
2022-08-02 00:34 - 2022-08-02 00:34 - 000001794 _____ C:\Users\mike\AppData\LocalLow\how_to_decrypt.hta
2022-08-02 00:34 - 2022-08-02 00:34 - 000001794 _____ C:\Users\mike\AppData\Local\how_to_decrypt.hta
2022-08-02 00:34 - 2022-08-02 00:34 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
2022-08-02 00:34 - 2022-08-02 00:34 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-08-02 00:34 - 2022-08-02 00:34 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\Downloads\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\Documents\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\Desktop\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\AppData\LocalLow\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\AppData\Local\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alla\AppData\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\Downloads\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\Documents\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\Desktop\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\AppData\Roaming\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\AppData\LocalLow\how_to_decrypt.hta
2022-08-02 00:33 - 2022-08-02 00:33 - 000001794 _____ C:\Users\alex\AppData\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\Users\alex\AppData\Local\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-08-02 00:32 - 2022-08-02 00:32 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-08-02 00:31 - 2022-08-02 00:31 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-08-02 00:29 - 2022-08-02 00:29 - 000001794 _____ C:\Users\how_to_decrypt.hta
2022-08-02 00:29 - 2022-08-02 00:29 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{6AD034F3-E207-4E15-B1A0-1794949969CB}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => Нет файла
FirewallRules: [{4E927AEB-4813-42BC-AC70-2802B7F8F4D0}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => Нет файла
FirewallRules: [{2AD133D9-A50C-455B-A4A2-1283AD0D8613}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe => Нет файла
FirewallRules: [{E74EC8A3-0AD8-4E20-8BD8-2F6E34285D65}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe => Нет файла
FirewallRules: [{A6B4BA49-68D3-44E8-91EF-AC114F54D5C4}] => (Allow) C:\Program Files (x86)\360\Total Security\softmgr\360InstantSetup.exe => Нет файла
FirewallRules: [{43E5700B-4C7F-451B-B623-CD16A758AC8B}] => (Allow) C:\Program Files (x86)\360\Total Security\softmgr\360InstantSetup.exe => Нет файла
FirewallRules: [{465BB3C8-B5F8-4526-B384-BBC7DDA530A0}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{41A66B23-147E-4A9C-9A64-A4B10DF5EE5A}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{24260557-B78C-4974-B617-8D26CD105D44}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{F8A6B17E-CA48-452E-AE90-7F892A66AB0F}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{C511CD55-31D7-40E7-B72D-76F4D9816D5F}] => (Allow) LPort=9422
FirewallRules: [{9F6710AA-5C25-4CCA-A58C-2A7A25D057DD}] => (Allow) LPort=9245
FirewallRules: [{44023501-B154-4010-865C-815BF6A9236D}] => (Allow) LPort=9246
FirewallRules: [{1EFB2847-4AB5-4C8D-93FD-3A4B5C3B6740}] => (Allow) LPort=9247
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Alex09 · 2 Авг 2022

Очистка FRST64:

Sandor · 2 Авг 2022

Хорошо. Инструкция по расшифровке отправлена вам личным сообщением.

Sandor · 2 Авг 2022

Личные сообщения находятся здесь:

Alex09 · 3 Авг 2022

Большая благодарность за Ваш труд.
Было некоторое количество нераскодированных файлов (статистика в программе), но визуально я их не заметил.

Sandor · 3 Авг 2022

Если найдёте такие, прикрепите их в архиве следующим сообщением.

Проверьте уязвимые места системы:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Alex09 · 8 Авг 2022

Alex09 написал(а):
Было некоторое количество нераскодированных файлов (статистика в программе), но визуально я их не заметил.

Отдельно скопированные файлы раскодировались. Скорее всего, как и пишет в программе - символы кириллицы (системное меню, ярлыки, пуск...). Нужно как-то в ручную, наверное с лайва грузится, чтобы заменить системные файлы...
Еще, например, не видит системный каталог ProgramData.

Sandor · 8 Авг 2022

Alex09 написал(а):
не видит системный каталог ProgramData.

Пробуйте посмотреть через Total Commander.

Alex09 · 8 Авг 2022

Sandor написал(а):
Пробуйте посмотреть через Total Commander

ну так, то видно )
Программа-дешифратор не видит.
Когда ей задавать папку для расшифровки - она этот каталог не видит.
А там, как раз, системное меню и тд.

Sandor · 8 Авг 2022

А скопировать в другую папку на другом диске можете?

Alex09 · 8 Авг 2022

Sandor написал(а):
А скопировать в другую папку на другом диске можете?

Из загруженной системы все файлы не скопируються, из лайва разве загрузится (с флешки).
Но поменял атрибут папки (убрал скрытый) и норм, видно из дешифратора.
Но вот с кириллицей в названиях не работает (ну там так и написано).
Что бы систему вылечить немного нужно потанцевать с бубном, а нужные файлы (что самое главное) нормально восстановились.

Решена с расшифровкой. hopeandhonest@smime.ninja шифровальщик

Alex09

Новый пользователь

Вложения

Sandor

Alex09

Новый пользователь

Вложения

Sandor

Sandor

Alex09

Новый пользователь

Sandor

Alex09

Новый пользователь

Sandor

Alex09

Новый пользователь

Sandor

Alex09

Новый пользователь