Решена без расшифровки Помогите справиться с шифровальщиком .hardbit2

[DjinnGloom]

вчера в 23:10 начал шифровать файлы. Дал имя такого вида: "g57rg0rgc3.[id-BFEBFBFF000A0655].[filetest@onionmail.org].hardbit2"
удалил панель управления сервером, скрыл диспетчер задач и все это делал под учетной "Администратор" изменил рисунок рабочего стола и в каждую папку добавил требование выкупа. Во вложенном архиве есть требование и два файла зашифрованных и результат сканирования Farbar Recovery Scan Tool

 

[Sandor]

Здравствуйте!

Во вложенном архиве

Пока не видим.

 

[DjinnGloom]

вот файлы, видимо не нажал сохранить в прошлый раз

 

[Sandor]

Деинсталлируйте нежелательное ПО:

DriverPack version 17

• Отключите до перезагрузки антивирус, сеть не отключайте.
• Выделите следующий код:
  
  Start::
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  VirusTotal: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe;C:\Windows\svchost.com;C:\Windows\directx.sys;C:\Users\Ruslan\WINDOWS\svchost.com
  Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2023-01-18] () [Файл не подписан] <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-599858676-2163706727-496452672-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  2023-01-17 23:12 - 2023-01-18 11:32 - 000041472 _____ C:\Windows\svchost.com
  2023-01-17 23:12 - 2023-01-18 11:32 - 000000029 _____ C:\Windows\directx.sys
  C:\Users\Ruslan\WINDOWS\svchost.com
  HKLM\...\.exe:  =>  <==== ВНИМАНИЕ
  HKLM\...\exefile\shell\open\command: C:\Users\Ruslan\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
  Zip: c:\FRST\Quarantine\
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

[DjinnGloom]

Во вложении файл, но он сформирован при повторном использовании вашего скрипта, при первом использовании файл не сохранился.

 

[Sandor]

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Такой файл не появился?

 

[Sandor]

Отставить! Увидел присланный файл, спасибо.
Некоторое время подождите.

 

[Sandor]

Описание Hardbit2 Ransomware пока не готово.

Исследования на выявление родства и возможность расшифровки тоже пока не проводились.
Файлы рекомендуется сохранить на будущее. Возможно будет найден способ вернуть файлы.