• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Поймал шифровальщик hopeandhonest@smime.ninja.

denver

Новый пользователь
Сообщения
5
Реакции
0
Здравстувуйте.
Споймал шифровальщик hopeandhonest@smime.ninja.
Система не переустанавливалась, никакие действия не производились.
Следую инструкции.
 

Вложения

  • FRST.txt
    19.6 KB · Просмотры: 2
  • Addition.txt
    34 KB · Просмотры: 1
  • файлы.zip
    392.3 KB · Просмотры: 1
Ваши файлы.
 

Вложения

  • файлы2.zip
    389.5 KB · Просмотры: 2
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    VirusTotal: C:\Windows\winlogin.exe
    HKU\S-1-5-21-34079016-3942667954-767136576-1006\...\Run: [8A0A1B38-7720D4BAhta] => c:\Users\Supportese\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-30] () [Файл не подписан] <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\Run: [MSFEEditor] => C:\Windows\winlogin.exe [550400 2022-02-18] () [Файл не подписан]
    Startup: C:\Users\denver\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-30] () [Файл не подписан]
    IFEO\sethc.exe: [Debugger] C:\Windows\system32\cmd.exe
    IFEO\Utilman.exe: [Debugger] C:\Windows\system32\cmd.exe /k start taskmgr.exe
    Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-30] () [Файл не подписан]
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {3F383BF7-D528-4180-B193-0FC967A8B496} - System32\Tasks\{638052AA-55BA-438E-91E0-A3AF7D5FF31C} => C:\Users\denver\Downloads\7214\leafsdcard.exe (Нет файла)
    2022-03-30 11:42 - 2022-03-30 11:42 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
    2022-03-30 11:44 - 2022-03-30 11:44 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
    2022-03-30 11:41 - 2022-03-30 11:41 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
    2022-03-30 11:43 - 2022-03-30 11:43 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
    2022-03-30 11:51 - 2022-03-30 11:51 - 000001794 _____ () C:\Users\denver\AppData\Roaming\how_to_decrypt.hta
    2022-03-30 11:50 - 2022-03-30 11:50 - 000001794 _____ () C:\Users\denver\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-03-30 11:47 - 2022-03-30 11:47 - 000001794 _____ () C:\Users\denver\AppData\Local\how_to_decrypt.hta
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Результат
 

Вложения

  • Fixlog.txt
    5.2 KB · Просмотры: 1
Проверьте ЛС, отправил инструкцию по расшифровке. C:\Windows\winlogin.exe, проверьте на VirusTotal сами, и дайте ссылку на результат сканирования.
 
Запустил расшифровку. Расшифровались не все файлы. Прикрепляю нерасшифрованные файлы.
 

Вложения

  • Файлы.zip
    3.3 MB · Просмотры: 1
  • photo_2023-03-17_10-03-47.jpg
    photo_2023-03-17_10-03-47.jpg
    70.3 KB · Просмотры: 34
Здравствуйте!

Второй ключ отправил вам личным сообщением.
 
Всё расшифровалось! Спасибо Вам огромное!!!
 
Вас просили еще ссылку проверки файла на Вирустотал
 
Удалите файл вручную, с автозагрузки я его снял.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Назад
Сверху Снизу