Перейти к содержанию

Вирус шифровальщик c расширением no more ransom [Shade Ransomware]

poliprint
 Поделиться

Рекомендуемые сообщения

poliprint Новичок

poliprint

Опубликовано
Опубликовано (изменено)
Здравствуйте! 
Поймал вирус шифровальщик.
Все файлы зашифрованы с расширением no_more_ransom. Вирус находился в письме mail.ru.
Создались 10 Readme.txt. Вот текст:
 
Ваши фaйлы были зaшифрoваны.
Чmoбы paсшuфроваmь их, Baм нeобхoдuмo оmnравить кoд:
45DAC646435CF5E0AEF0|0
на электpонный aдpeс yvonne.vancese1982@gmail.com .
Далее вы noлучиme всe нeобхoдимые инсmрykцuu.
Поnыткu расшифpоваmь cамoсmоятельно нe nривeдут нu k чeму, кpoме безвозврaтнoй noтери uнфopмaцuu.
Если вы всё же xоmитe noпыmamьcя, mо пpедвapительно сдeлайтe pезeрвные кoпии файлoв, инaче в случаe
иx измeнeния pасшuфровka станem нeвозможнoй нu nри kaкиx yслoвuяx.
Еслu вы нe пoлyчuли oтвеmа по вышеуказaннoмy адресy в mечение 48 чaсoв (и толькo в этом cлyчае!),
вocnользyйmесь фopмой обpamнoй cвязu. Эmо можно сдeлать двyмя сnoсобами:
1) Cкачайтe u yстaнoвuтe Tor Browser nо сcылке: https://www.torproject.org/download/download-easy.html.en
В адpеcной cmрoкe Tor Browser-а введиme адрec:
http://cryptsen7fo43rr6.onion/
и нажмиme Enter. 3arpузuтcя cтpанuца с фoрмой обpатнoй связи.
2) В любом брayзeрe перейдuте пo одному из адреcов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Плиз, хелп ми :(

CollectionLog-2016.12.01-10.50.zip

Изменено пользователем poliprint
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте: Advanced SystemCare 10, McAfee Security Scan Plus

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.427.2 - McAfee, Inc.)

 

Деинсталлируйте, а потом новые логи сделайте.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README9.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README8.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README7.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README6.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README5.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README4.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README3.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README2.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README10.txt
2016-11-29 11:31 - 2016-11-30 09:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-29 11:31 - 2016-11-30 09:23 - 00000000 __SHD C:\ProgramData\Windows
2016-11-29 14:44 - 2016-11-29 14:44 - 6220854 _____ () C:\Users\Женя\AppData\Roaming\45CD192345CD1923.bmp
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
HKU\S-1-5-21-240645388-234568404-2232787445-1000\...\StartupApproved\Run: => "Advanced SystemCare 10"
HKU\S-1-5-21-240645388-234568404-2232787445-1000\...\StartupApproved\Run: => "Client Server Runtime Subsystem"
FirewallRules: [{6F237C42-6DCC-4728-BEB7-F8BDC6A6F953}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{FC37ED7C-9DFC-4988-BEF3-E422E8AF4C97}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

AV: ESET Smart Security 9.0.402.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах). За расшифровкой обращайтесь в техподдержку своего вендора.
Ссылка на комментарий
Поделиться на другие сайты
poliprint Новичок

poliprint

Опубликовано
  • Автор
Опубликовано

 

AV: ESET Smart Security 9.0.402.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах). За расшифровкой обращайтесь в техподдержку своего вендора.

 

Спасибо, а это реально? И если не секрет как вирус называется

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Bruce007
      Шифровальщик с расширением fear.pw
      Автор Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...