• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите пожалуйста в расшифровке после hopeandhonest@smime.ninja

Статус
В этой теме нельзя размещать новые ответы.
K

kekovk

Новый пользователь
Сообщения
8
Реакции
2
Сервер был зашифрован ещё в марте 2022 года, сразу передали человеку который ранее расшифровал другой сервер, но с этим очень затянул, а в итоге и не получилось расшифровать, поэтому только сейчас обращаюсь. Как он заявлял запускал какой то алгоритм дешифровки поэтому не могу сказать точно что именно он делал с сервером и файлами
Системный диск был перенесён на другой пк, но как основной, а не дополнительный, запустил и сканировал на актуальной системе, система не переустанавливалась и антивирусом не сканировалась.
 

Вложения

Ваши файлы. Посмотрю логи и подготовлю инструкцию по расшифровке.
 

Вложения

Все ли администраторы ваши? Смените пароли на RDP
RuslanDir (S-1-5-21-3072145850-1412498129-3986016805-1015 - Limited - Enabled)
saidamoscow (S-1-5-21-3072145850-1412498129-3986016805-1005 - Limited - Enabled) => C:\Users\saidamoscow
set (S-1-5-21-3072145850-1412498129-3986016805-1017 - Administrator - Enabled) => C:\Users\set
Shamil (S-1-5-21-3072145850-1412498129-3986016805-1016 - Administrator - Enabled)
АдминистраторPhoto (S-1-5-21-3072145850-1412498129-3986016805-500 - Administrator - Enabled) => C:\Users\Администратор

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-3072145850-1412498129-3986016805-1017\...\Run: [1055E494-1F5627E8hta] => C:\Users\set\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-03-18] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-18] () [Файл не подписан]
Startup: C:\Users\saidamoscow\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-18] () [Файл не подписан]
Startup: C:\Users\set\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-18] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-03-18] () [Файл не подписан]
2022-03-18 16:50 - 2022-03-18 16:50 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
2022-03-18 16:50 - 2022-03-18 16:50 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
2022-03-18 16:50 - 2022-03-18 16:50 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
2022-03-18 16:50 - 2022-03-18 16:50 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
2022-03-18 16:55 - 2022-03-18 16:55 - 000001794 _____ () C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-03-18 16:55 - 2022-03-18 16:55 - 000001794 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\how_to_decrypt.hta
2022-03-18 16:54 - 2022-03-18 16:54 - 000001794 _____ () C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Сервер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Инструкцию отправил в личные сообщения.
 
у неизвестного мне пользователя set на рабочем столе нашёл экзешник, возможный файл вируса и там же Clearlock.ini файл, так же скинул файлы которые не расшифровались, и фикс лог
 

Вложения

Ключ отправил.

Найденный файл и есть шифратор. Из-под этого пользователя и шифровали, кстати.
 
Последнее редактирование:
вторым ключом необходимые файлы тоже удалось расшифровать, а сейчас самый важный диск с актуальными документами и базами 1С остался у человека который пытался расшифровать сервер, он болеет поэтому в течении недели постарается вернуть диск, потом только я смогу отправить другие файлы если их не получится расшифровать, восстанавливать систему не будем, так как уже завели сервер на других дисках, просто перекинем необходимые файлы.
как я понял расшифрованные файлы можно спокойно перекинуть на актуальный сервер или при их запуске есть вероятность повторной шифровки?
 
Повторно шифроваться ничего не будет.
 
Если вас повторно не взломают )
 
Наконец забрал диск с актуальными данными, скинул файлы которые не расшифровались двумя предыдущими ключами
 

Вложения

Проверьте ЛС.
 
Спасибо, 3-й ключ расшифровал, но часть, скидываю файлы которые не расшифровались
 

Вложения

Отправил.
 
Диск расшифрован полностью, большое спасибо всей команде Safezone.
 
ещё раз спасибо всей команде Safezone!
 

Вложения

  • WhatsApp Image 2022-09-21 at 16.15.45.webp
    WhatsApp Image 2022-09-21 at 16.15.45.webp
    9.9 KB · Просмотры: 60
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

B
  • Закрыта
Закрыто Помогите пожалуйста в расшифровке файлов
Ответы
9
Просмотры
2K
thyrex
thyrex
S
  • Закрыта
Закрыто Словил троян browserupdphenix, помогите удалить пожалуйста
Ответы
1
Просмотры
55
thyrex
thyrex
Troll
  • Закрыта
Решена Не могу избавиться от вируса. Помогите пожалуйста
Ответы
4
Просмотры
869
Sandor
Sandor
Назад
Сверху Снизу