Решена с расшифровкой. подскажите пожалуйста как восстановить после hopeandhonest@smime.ninja фалы?

[Sigment]

подскажите пожалуйста как восстановить после hopeandhonest@smime.ninja фалы?

 

[akok]

Прикрепите образец зашифрованных файлов

 

[Sigment]

Прикрепите образец зашифрованных файлов

 

[thyrex]

А пароль нам самим предлагаете подобрать?

 

[Sigment]

А пароль нам самим предлагаете подобрать?

Забыла написать 123456

 

[thyrex]

Ваши файлы.

Систему переустанавливали?

 

[Sigment]

Ваши файлы.

Систему переустанавливали?

Нет не переустанавливали еще вроде, на момент отправки Вам - точно еще не переустанавливали

 

[thyrex]

Тогда начнем с выполнения правил раздела

 

[Sigment]

Очень надеюсь что правильно сделала
И надеюсь что не нужно было заново создавать запрос

Помогите пожалуйста

 

[akok]

И пару зашифрованных файлов прикрепите (небольших).

 

[Sigment]

Ваши файлы.

Систему переустанавливали?

Эти не подходят?

 

[akok]

Подходят, я пропустил сообщение.

 

[thyrex]

(ВНИМАНИЕ: Пользователь не является Администратором)

логи Farbar придется переделать, дав пользователю права администратора

Да и похоже у Вас поработали 2 шифратора, распространяемые одним и тем же злоумышленником.

 

[Sigment]

логи Farbar придется переделать, дав пользователю права администратора

Да и похоже у Вас поработали 2 шифратора, распространяемые одним и тем же злоумышленником.

пароль ваш указанный в инструкции

 

[thyrex]

На логи никакой пароль устанавливать не нужно. Вы как-то странно читаете инструкцию.

Admin (S-1-5-21-44098324-1367483854-1739750819-1000 - Administrator - Enabled) => C:\Users\Admin
Supportese (S-1-5-21-44098324-1367483854-1739750819-1007 - Administrator - Enabled)
Аdministrator (S-1-5-21-44098324-1367483854-1739750819-1008 - Administrator - Enabled)

администраторов не многовато?

!!!HOW_TO_DECRYPT!!!.txt - а Вы где этот файл нашли?

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-44098324-1367483854-1739750819-1000\...\MountPoints2: {52396a67-becd-11e7-851b-c9cabc8b9add} - H:\wpi\MInst.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1000\...\MountPoints2: {52396a6e-becd-11e7-851b-c9cabc8b9add} - J:\DriverPack.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1000\...\MountPoints2: {52396a78-becd-11e7-851b-c9cabc8b9add} - K:\DriverPack.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1002\...\MountPoints2: {52396a67-becd-11e7-851b-c9cabc8b9add} - H:\wpi\MInst.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1005\...\MountPoints2: {52396a67-becd-11e7-851b-c9cabc8b9add} - E:\wpi\MInst.exe
HKU\S-1-5-18\...\Run: [MSFEEditor] => "C:\Windows\winlogin.exe" e (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-05] () [Файл не подписан]
Policies: C:\Users\2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Buh\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-08-06 13:55 - 2020-05-23 11:19 - 006555136 __RSH (www.xmrig.com) C:\Windows\JavaUpdater.exe
2022-08-06 13:55 - 2020-05-22 18:52 - 000014544 ___RH (OpenLibSys.org) C:\Windows\WinRing0x64.sys
2022-08-06 13:55 - 2019-05-02 20:36 - 000001956 __RSH C:\Windows\config.json
2022-08-06 13:55 - 2018-01-21 07:39 - 000000832 ___RH C:\Windows\yes.bat
2022-08-06 13:55 - 2018-01-21 07:30 - 000070656 __RSH C:\Windows\csrsc.exe
2022-08-06 13:55 - 2014-08-31 19:34 - 000331264 __RSH C:\Windows\Interrupts.exe
2022-08-05 15:51 - 2022-08-05 15:51 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-05 15:51 - 2022-08-05 15:51 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-08-05 15:45 - 2022-08-05 15:45 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-08-05 15:45 - 2022-08-05 15:45 - 000000000 ____H C:\Windows\system32\Default.rdp
2022-08-05 15:44 - 2022-08-05 15:44 - 000001794 _____ C:\Users\how_to_decrypt.hta
2022-08-05 15:44 - 2022-08-05 15:44 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
Folder: C:\Windows\SHA256SUMS
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Sigment]

не совсем поняла -а куда текст этот скопированный вставлять?

 

[Sigment]

Администраторов да - многовата
После этого случая будем полностью перестраивать систему безопастности и никого больше не допускать до сервера
Всяких Мамкиных администраторов =(
По поводу файла - на рабочем столе лежит

 

[Sigment]

На логи никакой пароль устанавливать не нужно. Вы как-то странно читаете инструкцию.


администраторов не многовато?

!!!HOW_TO_DECRYPT!!!.txt - а Вы где этот файл нашли?

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-44098324-1367483854-1739750819-1000\...\MountPoints2: {52396a67-becd-11e7-851b-c9cabc8b9add} - H:\wpi\MInst.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1000\...\MountPoints2: {52396a6e-becd-11e7-851b-c9cabc8b9add} - J:\DriverPack.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1000\...\MountPoints2: {52396a78-becd-11e7-851b-c9cabc8b9add} - K:\DriverPack.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1002\...\MountPoints2: {52396a67-becd-11e7-851b-c9cabc8b9add} - H:\wpi\MInst.exe
HKU\S-1-5-21-44098324-1367483854-1739750819-1005\...\MountPoints2: {52396a67-becd-11e7-851b-c9cabc8b9add} - E:\wpi\MInst.exe
HKU\S-1-5-18\...\Run: [MSFEEditor] => "C:\Windows\winlogin.exe" e (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-05] () [Файл не подписан]
Policies: C:\Users\2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Buh\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-08-06 13:55 - 2020-05-23 11:19 - 006555136 __RSH (www.xmrig.com) C:\Windows\JavaUpdater.exe
2022-08-06 13:55 - 2020-05-22 18:52 - 000014544 ___RH (OpenLibSys.org) C:\Windows\WinRing0x64.sys
2022-08-06 13:55 - 2019-05-02 20:36 - 000001956 __RSH C:\Windows\config.json
2022-08-06 13:55 - 2018-01-21 07:39 - 000000832 ___RH C:\Windows\yes.bat
2022-08-06 13:55 - 2018-01-21 07:30 - 000070656 __RSH C:\Windows\csrsc.exe
2022-08-06 13:55 - 2014-08-31 19:34 - 000331264 __RSH C:\Windows\Interrupts.exe
2022-08-05 15:51 - 2022-08-05 15:51 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-05 15:51 - 2022-08-05 15:51 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-08-05 15:50 - 2022-08-05 15:50 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-08-05 15:45 - 2022-08-05 15:45 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-08-05 15:45 - 2022-08-05 15:45 - 000000000 ____H C:\Windows\system32\Default.rdp
2022-08-05 15:44 - 2022-08-05 15:44 - 000001794 _____ C:\Users\how_to_decrypt.hta
2022-08-05 15:44 - 2022-08-05 15:44 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
Folder: C:\Windows\SHA256SUMS
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[akok]

Инструкция по расшифровке отправлена в личное сообщение.

 

[Sigment]

Инструкция по расшифровке отправлена в личное сообщение.

Спасибо

Напишу обязательно по результату