• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе Зашифрованы файлы ноутбука и NAS шифровальщиком hopeandhonest@smime.ninja

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Доброго времени суток!
К рабочему ноутбуку была подключена USB флешка с вирусом шифровальщиком, в следствии чего были зашифрованы файлы ноутбука, а также сетевого хранилища (QNAP Turbo NAS).
Сетевое хранилище подключено посредством протокола Samba (доступ через проводник Windows).
Была приостановлена работа вируса через диспетчер задач, больше ничего не делали.
Прошу помочь в решении данного вопроса. Приложил необходимые файлы (файл с требованиями злоумышленников найти не удалось).
Заранее благодарю!
 

Вложения

  • Addition.txt
    64.8 KB · Просмотры: 1
  • FRST.txt
    41 KB · Просмотры: 1
  • Files.rar
    166 KB · Просмотры: 1
  • how_to_decrypt.rar
    740 байт · Просмотры: 0

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,580
Реакции
2,824
Здравствуйте!

Логи переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.
Запущено с помощью User2 (ВНИМАНИЕ: Пользователь не является Администратором) на ADMIN-DK
 

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте!
Переделал, также хотелось бы отметить: на данный момент сетевое хранилище с целью безопасности - отключено.
Спасибо!
 

Вложения

  • FRST.txt
    47.4 KB · Просмотры: 1
  • Addition.txt
    70.7 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,580
Реакции
2,824
Бесполезный SpyHunter 5 деинсталлируйте.
Unchecky v1.2 - тоже.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2299452656-1628742864-1740051863-1001\...\Run: [249FDB86-6DFA730Ehta] => c:\users\user\appdata\local\temp\how_to_decrypt.hta [1794 2022-07-29] () [Файл не подписан] <==== ВНИМАНИЕ
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2299452656-1628742864-1740051863-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2299452656-1628742864-1740051863-500\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    2022-08-02 17:30 - 2022-07-29 21:17 - 000001794 _____ C:\Users\User2\Desktop\how_to_decrypt.hta
    2022-07-30 17:29 - 2022-07-30 17:29 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
    2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
    2022-07-30 17:25 - 2022-07-30 17:25 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
    2022-07-30 17:25 - 2022-07-30 17:25 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-07-30 17:25 - 2022-07-30 17:25 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-07-30 17:23 - 2022-07-30 17:23 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-30 17:22 - 2022-07-30 17:22 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    Hosts:
    FirewallRules: [{1F19FF66-5EF5-4186-B4D4-F4F4FE0158EF}] => (Allow) LPort=9422
    FirewallRules: [{13BB18BA-7F83-4E31-BDBA-2DFDB1977686}] => (Allow) LPort=9245
    FirewallRules: [{22708311-3987-4529-877A-AAE3376808A5}] => (Allow) LPort=9246
    FirewallRules: [{4833EB1C-6142-48A1-8C42-51F826720361}] => (Allow) LPort=9247
    FirewallRules: [{6B6C97D5-E32C-4092-9F0D-2E4BF1965D91}] => (Allow) LPort=3702
    FirewallRules: [{6B049229-B15F-4F01-8AF2-4CFCB2067B51}] => (Allow) LPort=9244
    FirewallRules: [{A3C9C358-76E6-4400-AF3C-628CA82EBB96}] => (Allow) LPort=9444
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Спасибо!
Подскажите как быть с файлами на сетевом хранилище?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,580
Реакции
2,824
Об этом позже.
 

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Готово
 

Вложения

  • Fixlog.txt
    8.9 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,580
Реакции
2,824
Инструкция по расшифровке отправлена вам личным сообщением.
 
  • Like
Реакции: akok

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,580
Реакции
2,824
Это здесь
1659440529230.png
 
  • Like
Реакции: akok

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Направляю файлы.
Также интересует вопрос, можно ли запустить дешифратор с несколькими ключами в папке?
Спасибо!
 

Вложения

  • Files.rar
    1.3 MB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,500
Реакции
14,208
Можно, каждый ключ с новой строки в файле с ключами.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,500
Реакции
14,208
Ключи отправил с ЛС.
 

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Подскажите, можно ли как-то самостоятельно найти ключи, может через какую-нибудь программу? (чтобы не отправлять постоянно файлы Вам)
Даже с двумя ключами, все еще остаются не расшифрованные файлы.
Спасибо за помощь!
 

Alex-89

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте!
Вот еще примеры файлов, которые не получилось расшифровать.
Большая часть уже расшифрована! Спасибо огромное Вам за помощь!
 

Вложения

  • Files2.rar
    378.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,500
Реакции
14,208
Отправил ключи.
 
Сверху Снизу