• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик smime.ninja

Статус
В этой теме нельзя размещать новые ответы.
H

hot-bbs

Новый пользователь
Сообщения
7
Реакции
0
Логи и образцы файлов во вложении.
 

Вложения

  • Addition.txt
    162.2 KB · Просмотры: 1
  • D.zip
    32.1 KB · Просмотры: 2
  • FRST.txt
    380.2 KB · Просмотры: 1
  • how_to_decrypt.zip
    742 байт · Просмотры: 1
Сначала очистим следы вымогателя.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-933995607-3989268354-860454170-1005\...\Run: [C2592AF4-8C86D14Ahta] => c:\Users\Supportese\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-30] () [Файл не подписан] <==== ВНИМАНИЕ
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Нет файла
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Нет файла
Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
Startup: C:\Users\Vova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {57C1FE20-F0C8-46D6-A950-132A5B2AC522} - System32\Tasks\relock => C:\Windows\System32\spool\svchost.exe (Нет файла) <==== ВНИМАНИЕ
2022-07-30 19:19 - 2022-07-30 19:19 - 000001794 _____ C:\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\Downloads\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\Documents\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\Desktop\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Roaming\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Local\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Roman\how_to_decrypt.hta
2022-07-30 19:10 - 2022-07-30 19:10 - 000001794 _____ C:\Users\Roman\Documents\how_to_decrypt.hta
2022-07-30 19:07 - 2022-07-30 19:07 - 000001794 _____ C:\Users\Roman\Desktop\how_to_decrypt.hta
2022-07-30 18:59 - 2022-07-30 18:59 - 000001794 _____ C:\Users\Roman\AppData\Roaming\how_to_decrypt.hta
2022-07-30 18:59 - 2022-07-30 18:59 - 000001794 _____ C:\Users\Roman\AppData\how_to_decrypt.hta
2022-07-30 18:45 - 2022-07-30 18:45 - 000001794 _____ C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 18:45 - 2022-07-30 18:45 - 000001794 _____ C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 18:43 - 2022-07-30 18:43 - 000001794 _____ C:\Users\Roman\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Roman\AppData\Local\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Roman\AppData\Local\Apps\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-07-30 17:41 - 2022-07-30 17:41 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 17:41 - 2022-07-30 17:41 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 17:40 - 2022-07-30 17:40 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-07-30 17:40 - 2022-07-30 17:40 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-07-30 17:40 - 2022-07-30 17:40 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-07-30 17:39 - 2022-07-30 17:39 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-07-30 17:02 - 2022-07-30 17:02 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-07-30 16:54 - 2022-07-30 16:54 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-30 16:48 - 2022-07-30 16:48 - 000001794 _____ C:\Users\Roman\Downloads\how_to_decrypt.hta
2022-07-30 16:37 - 2022-07-30 19:13 - 000000000 ____D C:\Users\Supportese\AppData\Local\CEF
2022-07-30 16:31 - 2022-07-30 16:31 - 000001794 _____ C:\Users\how_to_decrypt.hta
2022-07-29 04:05 - 2022-07-29 04:05 - 000116736 _____ (Stas'M Corp.) C:\Windows\system32\rdpwrap.dll
2022-07-29 04:05 - 2022-07-29 04:05 - 000027660 _____ C:\Windows\system32\rdpwrap.ini
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Temp:5B4BB726 [137]
AlternateDataStreams: C:\Users\Roman\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Roman\AppData\Roaming:iSpring Solutions [128]
FirewallRules: [{5A38EEB1-85A0-4CAF-B59C-34FA08A8418B}] => (Allow) LPort=21
FirewallRules: [{1B8F2685-2F4D-4856-B701-8D47C21F257F}] => (Allow) LPort=69
FirewallRules: [{E753A535-EC16-4D37-82FC-1554EC0E32BB}] => (Allow) LPort=12000
FirewallRules: [{871412F0-B591-4B13-BFD6-884029364734}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0CF1\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{43F119A6-D8DE-4768-925B-36AAB2466ABA}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0CF1\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{80484B2D-414A-41CA-9ECB-DD95F02ADFE0}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0D5C\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{E6DD96E5-1477-4AED-A4E6-00FEEAA98067}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0D5C\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{BFF26B06-6099-43C5-A89A-5F0AB2C7B6DE}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0FC9\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{0B50F2D8-66F2-4173-B0CA-89FED8F1DE74}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0FC9\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{508C89D0-A9CC-4C31-BDB2-B34B7542292A}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS31C4\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D6924A41-986A-4D3B-AF7B-9725C2767AE8}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS31C4\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{6F617E19-9776-4F3B-98D6-2D5ED7026417}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS78E8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{5901AA6F-5B76-4D0E-BE2B-2D8CC45AF859}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS78E8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{2CA2967F-D42D-4955-91CB-31944476CB24}] => (Allow) LPort=21
FirewallRules: [{0CB98D46-F1DE-4725-B673-F858B19F1FB5}] => (Allow) LPort=9089
FirewallRules: [{2FD69A35-DB5C-4E1B-A6E6-6AF1702BD728}] => (Allow) LPort=123
FirewallRules: [{725BC676-0523-4D5F-AC18-ABC8AE9A17CE}] => (Allow) C:\Windows\System32\spool\svchost.exe => Нет файла
FirewallRules: [{A6535DD2-DB10-49F9-9853-8E87ECAFA421}] => (Allow) C:\Windows\System32\spool\svchost.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Скопировать предложенный скрипт удобно, нажав кнопку Copy в правом верхнем углу:
1659357564634.png
 
Сделал
 

Вложения

  • Fixlog.txt
    21.9 KB · Просмотры: 2
Скрипт отработал успешно.
Инструкция по расшифровке отправлена вам личным сообщением.

Результат сообщите здесь, пожалуйста.
 
прикладываю пример ещё 3х файлов, которые не были расшифрованы полученным ключом.
 

Вложения

  • new-key.zip
    95.4 KB · Просмотры: 2
Прошёл всеми 3мя ключами, всё ещё остались папки с зашифрованными файлами, собрал файлы из разных папок. Во вложении.
 

Вложения

  • new-key1.zip
    83 KB · Просмотры: 3
Отправил еще ключи
 
во вложении ещё примеры зашифрованных файлов после 4го ключа.
 

Вложения

  • new-key2.zip
    275.6 KB · Просмотры: 1
Огромнейшая благодарность вам, ребята! Восстановили не просто нужную информацию, а абсолютно все файлы, как будто никакого шифровальщика и не было вовсе.
 
Я попробую поработать с остатками, но ничего не гарантирую. Архив пока не удаляйте на обменнике.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу