Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

NO_MORE_RANSOM

Konstantin_PP
 Share Подписчики 0

Рекомендуемые сообщения

Konstantin_PP

Konstantin_PP 0

Опубликовано
Опубликовано

Добрый день!

 

Много лет пользуемся вашими лицензионными продуктами сейчас установлен - Kaspersky Endpoint Securiry 10.2.5.3201

Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо, в результате файлы переименовались в *NO_MORE_RANSOM.

 

создались 10 файлов README.TXT следующего содержания:

 

Вaши фaйлы былu зaшuфрoвaны.
Чmобы pаcшuфpовaть иx, Вам неoбхoдимо отnpaвиmь kод:
45D044C5D4308CAE03BD|0
нa элеkтpонный адpec vladimirscherbinin1991@gmail.com .
Дaлее вы nолyчumе все неoбxoдuмыe инcтpукциu.
Попытku pаcшифрoваmь сaмocmoяmельнo нe npиведуm нu к чeмy, кpoме безвoзврamной noтepu инфоpмaциu.
Eслu вы всё жe xomиmе noпытamься, mo nрeдваpuтельно сделaйте рeзервные кoпиu фaйлов, uначe в cлучae
иx измeненuя pacшифрoвkа стaнem нeвoзможной нu nрu кaкиx ycловuяx.
Еслu вы нe полyчили оmвета по вышeуkазaнномy адреcy в mечeниe 48 часов (и moлькo в этoм cлyчaе!),
воcпoльзyйтесь фoрмой oбрamнoй cвязu. Эmо можно сделaть двумя cпocобами:
1) Cкaчайmе и уcтaновите Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
B адpecной cтpoke Tor Browser-а ввeдuтe адpeс:
и нажмите Enter. Зarpузuтся сmраница с фоpмoй oбpаmнoй cвязu.
2) В любoм бpаyзeре nеpейдите no oднoму из адpеcов:
 
вчера все работало нормально, помогите пожалуйста.
 
Павлов Константин 

Addition.txt

FRST.txt

README1.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

 

 

Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо

Вложение или ссылку из письма скиньте в ЛС. 

Ссылка на сообщение
Поделиться на другие сайты
Konstantin_PP

Konstantin_PP 0

Опубликовано
  • Автор
Опубликовано (изменено)

 

 

 

Сегодня через внутреннюю почту программы TAXCOM пришло зараженное письмо

Вложение или ссылку из письма скиньте в ЛС. 

 

 Уже не можем запустить TAXCOM (переименованы файлы) 

пока делаются логи, нашел два файла в TEMP 

Изменено пользователем mike 1
Карантин в теме
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано (изменено)

А с другого компьютера есть возможность посмотреть это письмо?

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Konstantin_PP

Konstantin_PP 0

Опубликовано
  • Автор
Опубликовано

А с другого компьютера есть возможность посмотреть это письмо?

 

Нет он был установлен только на одном компьютере (зараженном), завтра будут устанавливать на другом.

Добавил логи

cureit.rar

CollectionLog-2016.11.28-22.54.zip

post-42479-0-13473000-1480363259_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README9.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README8.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README7.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README6.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README5.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README4.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README3.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README2.txt
2016-11-28 13:13 - 2016-11-28 13:13 - 00004186 _____ C:\README10.txt
2013-06-24 11:30 - 2013-06-24 11:30 - 0000026 _____ () C:\Documents and Settings\Ira-new\Application Data\haasrree
2013-06-24 11:30 - 2013-06-24 11:30 - 0000139 _____ () C:\Documents and Settings\Ira-new\Application Data\haasrrsf
2013-06-21 12:46 - 2013-06-21 12:50 - 0000021 _____ () C:\Documents and Settings\Ira-new\Application Data\rqqqgods
2013-06-21 12:46 - 2013-06-21 12:50 - 0005946 _____ () C:\Documents and Settings\Ira-new\Application Data\rqqqgohg
2013-06-21 11:29 - 2013-06-24 11:33 - 0000038 _____ () C:\Documents and Settings\Ira-new\Application Data\ufqyhfaw
2013-06-21 11:29 - 2013-06-24 11:33 - 0065578 _____ () C:\Documents and Settings\Ira-new\Application Data\ufqyhfqu
Task: C:\WINDOWS\Tasks\DistromaticSearchProtect-hourly.job => C:\Program Files\Amazon Browser Settings\AmznSearchProtect.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\DistromaticSearchProtect-logon.job => C:\Program Files\Amazon Browser Settings\AmznSearchProtect.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\DistromaticUpdater-logon.job => C:\Program Files\Amazon Browser Settings\updater.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\DistromaticUpdater-periodic.job => C:\Program Files\Amazon Browser Settings\updater.exe <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты
Konstantin_PP

Konstantin_PP 0

Опубликовано
  • Автор
Опубликовано

Fixlog.txt  прикрепил,   Дата_время.zip - не создан,  в карантин через данную форму прикрепил зараженные файлы возможно в них есть ключ.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 044

Опубликовано
Опубликовано

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли (почта, аська, ftp, скайп, пароли сохраненные в браузерах)

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • igorX
      Зашифрованные файлы WannaCry
      От igorX
      Ноут зашифровали.
      KRD прочистил, отчет в файле Kasper.
      Логи прилагаю.
      Помогите почистить до конца.
       
      PS: От WannaCry еще дешифровальщик не появился?
      CollectionLog-2017.07.03-17.49.zip
      kasper.txt
    • KоnsтантиH
      Дешифровщик no_more_ransom
      От KоnsтантиH
      Доброго дня, помогите пожалуйста расшифровать документы.
      Они у нас в единственном экземпляре.
      Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,
      комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"
      Документы очень важны, что нам дальше делать чтобы не потерять их ? 
      CollectionLog-2017.06.21-11.40.zip
    • terentev7
      Зашифрованы файлы (no_more_ransom)
      От terentev7
      Добрый день. В середине прошлой недели на компьютер проник вирус, который зашифровал все документы на компьютере. Файлы получили новые названия, оканчивающиеся на ".no_more_ransom". Можно ли как-то восстановить документы?
       
      Требования злоумышленников и логи в прикреплённых файлах. Пример зашифрованного фала не прикрепился.
      README10.txt
      CollectionLog-2017.05.02-09.31.zip
    • bnw
      Расшифровка файлов с расширением *.no_more_ransom
      От bnw
      Здравствуйте!
       
      Открыли письмо в почте от сбербанка, в итоге все файл зашифрованы с расширением *.no_more_ransom, на рабочем столе файл readme следующего содержания:
       
      Вирусы почистила с помощью Kasperky Rescue Disk 10.
      Как быть с зашифрованными файлами? 
      CollectionLog-2017.04.23-14.33.zip
    • alexsmag
      *.no_more_ransom
      От alexsmag
      Здравствуйте. Поймали вирус,файлы зашифрованы с расширением *.no_more_ransom. Была произведена проверка Dr. Web CureIt,KRT, Malwarebytes. Спасибо!
      CollectionLog-2017.04.12-16.34.zip
×
×
  • Создать...