Решена с расшифровкой. Зашифрованы файлы ноутбука и NAS шифровальщиком hopeandhonest@smime.ninja

[Alex-89]

Доброго времени суток!
К рабочему ноутбуку была подключена USB флешка с вирусом шифровальщиком, в следствии чего были зашифрованы файлы ноутбука, а также сетевого хранилища (QNAP Turbo NAS).
Сетевое хранилище подключено посредством протокола Samba (доступ через проводник Windows).
Была приостановлена работа вируса через диспетчер задач, больше ничего не делали.
Прошу помочь в решении данного вопроса. Приложил необходимые файлы (файл с требованиями злоумышленников найти не удалось).
Заранее благодарю!

 

[Sandor]

Здравствуйте!

Логи переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

Запущено с помощью User2 (ВНИМАНИЕ: Пользователь не является Администратором) на ADMIN-DK

 

[Alex-89]

Здравствуйте!
Переделал, также хотелось бы отметить: на данный момент сетевое хранилище с целью безопасности - отключено.
Спасибо!

 

[Sandor]

Бесполезный SpyHunter 5 деинсталлируйте.
Unchecky v1.2 - тоже.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2299452656-1628742864-1740051863-1001\...\Run: [249FDB86-6DFA730Ehta] => c:\users\user\appdata\local\temp\how_to_decrypt.hta [1794 2022-07-29] () [Файл не подписан] <==== ВНИМАНИЕ
  Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-30] () [Файл не подписан]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2299452656-1628742864-1740051863-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2299452656-1628742864-1740051863-500\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  2022-08-02 17:30 - 2022-07-29 21:17 - 000001794 _____ C:\Users\User2\Desktop\how_to_decrypt.hta
  2022-07-30 17:29 - 2022-07-30 17:29 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
  2022-07-30 17:28 - 2022-07-30 17:28 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
  2022-07-30 17:25 - 2022-07-30 17:25 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
  2022-07-30 17:25 - 2022-07-30 17:25 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
  2022-07-30 17:25 - 2022-07-30 17:25 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
  2022-07-30 17:23 - 2022-07-30 17:23 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
  2022-07-30 17:22 - 2022-07-30 17:22 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
  Hosts:
  FirewallRules: [{1F19FF66-5EF5-4186-B4D4-F4F4FE0158EF}] => (Allow) LPort=9422
  FirewallRules: [{13BB18BA-7F83-4E31-BDBA-2DFDB1977686}] => (Allow) LPort=9245
  FirewallRules: [{22708311-3987-4529-877A-AAE3376808A5}] => (Allow) LPort=9246
  FirewallRules: [{4833EB1C-6142-48A1-8C42-51F826720361}] => (Allow) LPort=9247
  FirewallRules: [{6B6C97D5-E32C-4092-9F0D-2E4BF1965D91}] => (Allow) LPort=3702
  FirewallRules: [{6B049229-B15F-4F01-8AF2-4CFCB2067B51}] => (Allow) LPort=9244
  FirewallRules: [{A3C9C358-76E6-4400-AF3C-628CA82EBB96}] => (Allow) LPort=9444
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Alex-89]

Спасибо!
Подскажите как быть с файлами на сетевом хранилище?

 

[Sandor]

Об этом позже.

 

[Alex-89]

Готово

 

[Sandor]

Инструкция по расшифровке отправлена вам личным сообщением.

 

[Sandor]

Это здесь

 

[Alex-89]

Направляю файлы.
Также интересует вопрос, можно ли запустить дешифратор с несколькими ключами в папке?
Спасибо!

 

[akok]

Можно, каждый ключ с новой строки в файле с ключами.

 

[Alex-89]

Спасибо!

 

[akok]

Ключи отправил с ЛС.

 

[Alex-89]

Подскажите, можно ли как-то самостоятельно найти ключи, может через какую-нибудь программу? (чтобы не отправлять постоянно файлы Вам)
Даже с двумя ключами, все еще остаются не расшифрованные файлы.
Спасибо за помощь!

 

[Sandor]

чтобы не отправлять постоянно файлы Вам

Отправляйте, не страшно

 

[Alex-89]

Здравствуйте!
Вот еще примеры файлов, которые не получилось расшифровать.
Большая часть уже расшифрована! Спасибо огромное Вам за помощь!

 

[akok]

Отправил ключи.