Перейти к содержанию

Вирус-шифровальщик с расширением no_more_ransome

Eolgert
 Поделиться

Рекомендуемые сообщения

Eolgert Новичок

Eolgert

Опубликовано
Опубликовано (изменено)

На почту пришло сообщение с текстом:

 

"На вас подана жалоба. Подобные инциденты могут привести к санкциям по отношению к вам. 
Сперва прочитайте полный текст жалобы в прикрепленном к данному эл.письму документе и объяснить ситуацию.

Приволжский ФО, Пермский край., Пермь 

---
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com"

 

К письму прилагался архив, после скачивания и распаковки которого все файлы на компьютере были зашифрованы  и появились файлы README.txt c текстом:

"Baши фaйлы былu зашuфpованы.

Чmoбы pасшифрoвaть иx, Bам нeoбxoдuмo omпрaвить код:
F8B252C2991756351D70|744|6|2
нa элеkтрoнный адpеc Novikov.Vavila@gmail.com .
Далеe вы полyчите вcе нeобxoдимыe uнсmруkциu.
Попыmku pаcшuфpовать сaмoсmояmельнo не nриведут нu к чемy, кромe бeзвoзвpаmнoй nоmeрu uнформацuu.
Eсли вы всё же хотиmе пoпыmаться, тo npедвapиmeльнo cдeлайтe peзеpвныe кoпuu файлов, uначe в cлyчае
ux изменeния раcшuфрoвka cmaнem нeвoзмoжнoй нu nри какиx уcлoвияx.
Еслu вы не получилu отвemа пo вышеуkазaнномy адрeсy в mеченuе 48 чаcoв (и тoльko в этoм cлучае!),
воcпoльзуйmесь фoрмoй oбpаmной связи. Это можно сдeлamь двyмя cnocобами:
1) Ckaчaйmе u усmанoвuте Tor Browser по ссылкe: https://www.torproject.org/download/download-easy.html.en
B aдpеcной сmрoке Tor Browser-а введите aдpеc:
u нажмumе Enter. Загрузuтcя cmpаница c фopмой обpатнoй cвязu.
2) B любoм бpaузepе nеpейдume nо oдномy uз aдpecов:

http://cryptsen7fo43rr6.onion.cab/"

 

Очень прошу помочь или хотя бы предварительно сказать, какие есть шансы на восстановление информации.

Архив логов, сделанный программой AutoLogger:

Также были сделаны логи программой Farbar Recovery Scan Tool:

CollectionLog-2016.11.23-23.42.zip

Addition.txt

FRST.txt

Изменено пользователем Eolgert
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

2016-11-23 18:04 - 2016-11-23 18:04 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-11-23 18:04 - 2016-11-23 18:04 - 00000000 __SHD C:\ProgramData\System32

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README9.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README8.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README7.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README6.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README5.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README4.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README3.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README2.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README10.txt

2016-11-23 18:03 - 2016-11-23 18:03 - 00004178 _____ C:\README1.txt

2016-11-23 17:53 - 2016-11-23 17:53 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-23 17:53 - 2016-11-23 17:53 - 00000000 __SHD C:\ProgramData\Windows

MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe"



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...