• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик smime.ninja

Статус
В этой теме нельзя размещать новые ответы.
H

hot-bbs

Новый пользователь
Сообщения
7
Реакции
0
Логи и образцы файлов во вложении.
 

Вложения

Сначала очистим следы вымогателя.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-933995607-3989268354-860454170-1005\...\Run: [C2592AF4-8C86D14Ahta] => c:\Users\Supportese\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-30] () [Файл не подписан] <==== ВНИМАНИЕ
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Нет файла
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Нет файла
Startup: C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
Startup: C:\Users\Vova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {57C1FE20-F0C8-46D6-A950-132A5B2AC522} - System32\Tasks\relock => C:\Windows\System32\spool\svchost.exe (Нет файла) <==== ВНИМАНИЕ
2022-07-30 19:19 - 2022-07-30 19:19 - 000001794 _____ C:\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\Desktop\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 19:15 - 2022-07-30 19:15 - 000001794 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Администратор\AppData\Local\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\Downloads\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\Documents\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\Desktop\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Roaming\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\Local\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Vova\AppData\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\Documents\how_to_decrypt.hta
2022-07-30 19:14 - 2022-07-30 19:14 - 000001794 _____ C:\Users\Supportese\Desktop\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
2022-07-30 19:13 - 2022-07-30 19:13 - 000001794 _____ C:\Users\Roman\how_to_decrypt.hta
2022-07-30 19:10 - 2022-07-30 19:10 - 000001794 _____ C:\Users\Roman\Documents\how_to_decrypt.hta
2022-07-30 19:07 - 2022-07-30 19:07 - 000001794 _____ C:\Users\Roman\Desktop\how_to_decrypt.hta
2022-07-30 18:59 - 2022-07-30 18:59 - 000001794 _____ C:\Users\Roman\AppData\Roaming\how_to_decrypt.hta
2022-07-30 18:59 - 2022-07-30 18:59 - 000001794 _____ C:\Users\Roman\AppData\how_to_decrypt.hta
2022-07-30 18:45 - 2022-07-30 18:45 - 000001794 _____ C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 18:45 - 2022-07-30 18:45 - 000001794 _____ C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 18:43 - 2022-07-30 18:43 - 000001794 _____ C:\Users\Roman\AppData\LocalLow\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Roman\AppData\Local\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Roman\AppData\Local\Apps\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-07-30 17:51 - 2022-07-30 17:51 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-07-30 17:41 - 2022-07-30 17:41 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-07-30 17:41 - 2022-07-30 17:41 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-07-30 17:40 - 2022-07-30 17:40 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-07-30 17:40 - 2022-07-30 17:40 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-07-30 17:40 - 2022-07-30 17:40 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-07-30 17:39 - 2022-07-30 17:39 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-07-30 17:02 - 2022-07-30 17:02 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-07-30 16:54 - 2022-07-30 16:54 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-07-30 16:48 - 2022-07-30 16:48 - 000001794 _____ C:\Users\Roman\Downloads\how_to_decrypt.hta
2022-07-30 16:37 - 2022-07-30 19:13 - 000000000 ____D C:\Users\Supportese\AppData\Local\CEF
2022-07-30 16:31 - 2022-07-30 16:31 - 000001794 _____ C:\Users\how_to_decrypt.hta
2022-07-29 04:05 - 2022-07-29 04:05 - 000116736 _____ (Stas'M Corp.) C:\Windows\system32\rdpwrap.dll
2022-07-29 04:05 - 2022-07-29 04:05 - 000027660 _____ C:\Windows\system32\rdpwrap.ini
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Temp:5B4BB726 [137]
AlternateDataStreams: C:\Users\Roman\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Roman\AppData\Roaming:iSpring Solutions [128]
FirewallRules: [{5A38EEB1-85A0-4CAF-B59C-34FA08A8418B}] => (Allow) LPort=21
FirewallRules: [{1B8F2685-2F4D-4856-B701-8D47C21F257F}] => (Allow) LPort=69
FirewallRules: [{E753A535-EC16-4D37-82FC-1554EC0E32BB}] => (Allow) LPort=12000
FirewallRules: [{871412F0-B591-4B13-BFD6-884029364734}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0CF1\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{43F119A6-D8DE-4768-925B-36AAB2466ABA}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0CF1\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{80484B2D-414A-41CA-9ECB-DD95F02ADFE0}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0D5C\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{E6DD96E5-1477-4AED-A4E6-00FEEAA98067}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0D5C\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{BFF26B06-6099-43C5-A89A-5F0AB2C7B6DE}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0FC9\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{0B50F2D8-66F2-4173-B0CA-89FED8F1DE74}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS0FC9\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{508C89D0-A9CC-4C31-BDB2-B34B7542292A}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS31C4\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{D6924A41-986A-4D3B-AF7B-9725C2767AE8}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS31C4\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{6F617E19-9776-4F3B-98D6-2D5ED7026417}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS78E8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{5901AA6F-5B76-4D0E-BE2B-2D8CC45AF859}] => (Allow) C:\Users\Roman\AppData\Local\Temp\7zS78E8\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{2CA2967F-D42D-4955-91CB-31944476CB24}] => (Allow) LPort=21
FirewallRules: [{0CB98D46-F1DE-4725-B673-F858B19F1FB5}] => (Allow) LPort=9089
FirewallRules: [{2FD69A35-DB5C-4E1B-A6E6-6AF1702BD728}] => (Allow) LPort=123
FirewallRules: [{725BC676-0523-4D5F-AC18-ABC8AE9A17CE}] => (Allow) C:\Windows\System32\spool\svchost.exe => Нет файла
FirewallRules: [{A6535DD2-DB10-49F9-9853-8E87ECAFA421}] => (Allow) C:\Windows\System32\spool\svchost.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Скопировать предложенный скрипт удобно, нажав кнопку Copy в правом верхнем углу:
1659357564634.webp
 
Скрипт отработал успешно.
Инструкция по расшифровке отправлена вам личным сообщением.

Результат сообщите здесь, пожалуйста.
 
прикладываю пример ещё 3х файлов, которые не были расшифрованы полученным ключом.
 

Вложения

Прошёл всеми 3мя ключами, всё ещё остались папки с зашифрованными файлами, собрал файлы из разных папок. Во вложении.
 

Вложения

Отправил еще ключи
 
во вложении ещё примеры зашифрованных файлов после 4го ключа.
 

Вложения

Огромнейшая благодарность вам, ребята! Восстановили не просто нужную информацию, а абсолютно все файлы, как будто никакого шифровальщика и не было вовсе.
 
Я попробую поработать с остатками, но ничего не гарантирую. Архив пока не удаляйте на обменнике.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

A
Решена с расшифровкой. crylock 2.0.0.0 Шифровальщик-вымогатель hopeandhonest@smime.ninja
Ответы
2
Просмотры
574
adventure291277
A
D
Решена с расшифровкой. Поймал шифровальщик hopeandhonest@smime.ninja.
Ответы
10
Просмотры
577
akok
akok
I
Решена с расшифровкой. Шифровальщик hopeandhonest@smime.ninja
Ответы
3
Просмотры
616
Sandor
Sandor
Назад
Сверху Снизу