Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вчера подхватил Шифровальщик с расширением NO_MORE_RANSOME

Василий Баращук

Автор Василий Баращук
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Василий Баращук

Василий Баращук

Опубликовано
Опубликовано (изменено)

По почте прислали вирус, который зашифровал файлы на компьютере. Помогите расшифровать файлы пожалуйста программой  Farbar Recovery Scan Tool прошел она выдала эти файлы сейчас сканирую вашей программой KVRT скину лог

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Василий Баращук
  • Согласен 1
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows

DeleteQuarantine: 

File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION

Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd

zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Василий Баращук

Василий Баращук

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows
DeleteQuarantine: 
File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Спасибо 

Василий Баращук

Василий Баращук

Опубликовано
  • Автор
Опубликовано (изменено)

Архив загрузил через форму на сайте.

Fixlog.txt

Изменено пользователем Василий Баращук
mike 1

mike 1

Опубликовано
Опубликовано

 

AV: ESET Smart Security 8.0 (Enabled - Out of date) {19259FAE-8396-A113-46DB-15B0E7DFA289}

За расшифровкой обращайтесь к своему вендору.

Василий Баращук

Василий Баращук

Опубликовано
  • Автор
Опубликовано (изменено)

Помогите пожалуйста просто мы сейчас уходим от Eset smart Security на Kaspersky и принимаем решение тк их служба поддержки не сильно работает. Я сам работаю системным администратором уже закупили на серваки Касперского так же планируем переводить защиту Пользователей на Каспера а тут я покажу что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Изменено пользователем Василий Баращук
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

 

что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Раньше нужно было думать. 

 

А вам как к админу вопрос: 

 

 

User (S-1-5-21-1089283133-4089430199-3361968099-1000 - Administrator - Enabled) => C:\Users\User

Почему ваши пользователи сидят под админом?

Изменено пользователем mike 1
Василий Баращук

Василий Баращук

Опубликовано
  • Автор
Опубликовано (изменено)

Этот пк сейчас стоит у меня в серверной, тк мы его отключили от сетки и тут уже творю с ним то что вы советуете. Сейчас я зашел под собой, так как при входе в ее учетку "Teplyakova_NA" у меня выскакивала ошибка при нажатии отмена она выскакивает повторно и так бесконечно. А в больницу я пришел не давно еще тут не успел все доделать 290 пк в которых тут вообще полная жесть!


и из-за этого администрацию и хочу перевести на каспера

Изменено пользователем Василий Баращук
mike 1

mike 1

Опубликовано
Опубликовано

Этой модификации шифровальщика Shade от силы пару дней. Расшифровки на данный момент попросту нет. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...