• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Словил шифровальщика hopeandhonest@smime.ninja

Статус
В этой теме нельзя размещать новые ответы.
Система после переустановки или нужно лечение?
 
Не забудьте сменить пароли на RDP, а сам порт спрятать за VPN.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3537310174-2690388742-695247741-1019\...\Run: [DA3CEE94-EFB65302hta] => C:\Users\Supportese\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-07-31] () [Файл не подписан] <==== ВНИМАНИЕ
     C:\Users\Supportese\AppData\Local\Temp\how_to_decrypt.hta
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    022-07-31 15:11 - 2022-07-31 15:11 - 000001794 _____ C:\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\Downloads\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\AppData\Roaming\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\AppData\LocalLow\how_to_decrypt.hta
    2022-07-31 15:02 - 2022-07-31 15:02 - 000001794 _____ C:\Users\Supportese\AppData\how_to_decrypt.hta
    2022-07-31 15:01 - 2022-07-31 15:01 - 000001794 _____ C:\Users\Supportese\AppData\Local\how_to_decrypt.hta
    2022-07-31 15:01 - 2022-07-31 15:01 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-07-31 15:01 - 2022-07-31 15:01 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-07-31 15:01 - 2022-07-31 15:01 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-07-31 15:01 - 2022-07-31 15:01 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-07-31 14:51 - 2022-07-31 14:51 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-31 14:51 - 2022-07-31 14:51 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-31 14:50 - 2022-07-31 14:50 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    2022-07-31 14:50 - 2022-07-31 14:50 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    2022-07-31 14:50 - 2022-07-31 14:50 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
    2022-07-31 14:48 - 2022-07-31 14:48 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
    2022-07-31 14:48 - 2022-07-31 14:48 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
    2022-07-31 14:48 - 2022-07-31 14:48 - 000001794 _____ () C:\Program Files\how_to_decrypt.hta
    2022-07-31 14:50 - 2022-07-31 14:50 - 000001794 _____ () C:\Program Files (x86)\how_to_decrypt.hta
    2022-07-31 14:48 - 2022-07-31 14:48 - 000001794 _____ () C:\Program Files\Common Files\how_to_decrypt.hta
    2022-07-31 14:48 - 2022-07-31 14:48 - 000001794 _____ () C:\Program Files (x86)\Common Files\how_to_decrypt.hta
    FirewallRules: [{47587E92-4805-4030-ABFE-B625339F7D35}] => (Allow) D:\Dist\AnyDesk.exe => Нет файла
    FirewallRules: [{790C3319-1FCF-4D57-8D22-D42187408253}] => (Allow) D:\Dist\AnyDesk.exe => Нет файла
    FirewallRules: [{86A06746-CCFE-4F3D-8FEC-3FB739AD8115}] => (Allow) D:\Dist\AnyDesk.exe => Нет файла
    FirewallRules: [{3A658862-CA83-4625-9110-74C860496757}] => (Allow) D:\Dist\AnyDesk.exe => Нет файла
    FirewallRules: [{B5A6D671-B878-49E1-A7E3-EE6661197B9F}] => (Allow) D:\Dist\AnyDesk.exe => Нет файла
    FirewallRules: [{63A00F5A-D437-42A5-A23D-95603D464529}] => (Allow) D:\Dist\AnyDesk.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Инструкцию отправил в ЛС.
 
Восстановилось примерно половина зашифрованных документов. Отличный результат!
Отправил еще несколько зашифрованных файлов, надеюсь найдете к ним ключ...
 

Вложения

Что-то не приходит...
 
Отправьте еще раз, плз
 
Хм, действительно был сбой какой-то. Отправил.
 
Огромное спасибо!
Со вторым ключом расшифровал все документы (более тысячи, некоторые правда открываются некорректно), базы 1С, архивы.
 
Отлично. Не болейте, ибо в следующий раз так легко можно не отделаться.

Теперь займитесь лечением макровируса. Возможно, он виновник проблем с документами.
 
Последнее редактирование:
Да уж, хороший урок...
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу