Перейти к содержанию

Вирус шифровальщик c расширением no more ransom [Shade Ransomware]

poliprint
 Share

Рекомендуемые сообщения

poliprint Новичок

poliprint

Опубликовано
Опубликовано (изменено)
Здравствуйте! 
Поймал вирус шифровальщик.
Все файлы зашифрованы с расширением no_more_ransom. Вирус находился в письме mail.ru.
Создались 10 Readme.txt. Вот текст:
 
Ваши фaйлы были зaшифрoваны.
Чmoбы paсшuфроваmь их, Baм нeобхoдuмo оmnравить кoд:
45DAC646435CF5E0AEF0|0
на электpонный aдpeс yvonne.vancese1982@gmail.com .
Далее вы noлучиme всe нeобхoдимые инсmрykцuu.
Поnыткu расшифpоваmь cамoсmоятельно нe nривeдут нu k чeму, кpoме безвозврaтнoй noтери uнфopмaцuu.
Если вы всё же xоmитe noпыmamьcя, mо пpедвapительно сдeлайтe pезeрвные кoпии файлoв, инaче в случаe
иx измeнeния pасшuфровka станem нeвозможнoй нu nри kaкиx yслoвuяx.
Еслu вы нe пoлyчuли oтвеmа по вышеуказaннoмy адресy в mечение 48 чaсoв (и толькo в этом cлyчае!),
вocnользyйmесь фopмой обpamнoй cвязu. Эmо можно сдeлать двyмя сnoсобами:
1) Cкачайтe u yстaнoвuтe Tor Browser nо сcылке: https://www.torproject.org/download/download-easy.html.en
В адpеcной cmрoкe Tor Browser-а введиme адрec:
http://cryptsen7fo43rr6.onion/
и нажмиme Enter. 3arpузuтcя cтpанuца с фoрмой обpатнoй связи.
2) В любом брayзeрe перейдuте пo одному из адреcов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Плиз, хелп ми :(

CollectionLog-2016.12.01-10.50.zip

Изменено пользователем poliprint
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте: Advanced SystemCare 10, McAfee Security Scan Plus

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README9.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README8.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README7.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README6.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README5.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README4.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README3.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README2.txt
2016-11-29 14:44 - 2016-11-29 14:44 - 00004170 _____ C:\Users\Женя\Desktop\README10.txt
2016-11-29 11:31 - 2016-11-30 09:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-29 11:31 - 2016-11-30 09:23 - 00000000 __SHD C:\ProgramData\Windows
2016-11-29 14:44 - 2016-11-29 14:44 - 6220854 _____ () C:\Users\Женя\AppData\Roaming\45CD192345CD1923.bmp
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
HKU\S-1-5-21-240645388-234568404-2232787445-1000\...\StartupApproved\Run: => "Advanced SystemCare 10"
HKU\S-1-5-21-240645388-234568404-2232787445-1000\...\StartupApproved\Run: => "Client Server Runtime Subsystem"
FirewallRules: [{6F237C42-6DCC-4728-BEB7-F8BDC6A6F953}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
FirewallRules: [{FC37ED7C-9DFC-4988-BEF3-E422E8AF4C97}] => C:\Program Files (x86)\IObit\Advanced SystemCare\Surfing Protection\FFNativeMessage.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

AV: ESET Smart Security 9.0.402.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах). За расшифровкой обращайтесь в техподдержку своего вендора.
Ссылка на комментарий
Поделиться на другие сайты
poliprint Новичок

poliprint

Опубликовано
  • Автор
Опубликовано

 

AV: ESET Smart Security 9.0.402.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах). За расшифровкой обращайтесь в техподдержку своего вендора.

 

Спасибо, а это реально? И если не секрет как вирус называется

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...