расшифровка файлов no_more_ransom [Shade Ransomware]

[Сашаwert]

После получения письма на mail.ru/ Файлы зашифровались с расширением no_more_ransom

Log приложил. Спасибо за ранее)

CollectionLog-2016.11.30-13.01.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Сашаwert]

вот отчеты.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\RunOnce: [{E4042AE2-AB93-46F6-88E6-960A8B89F543}] => cmd.exe /C start /D "C:\Users\S_S_K_R\AppData\Local\Temp" /B {E4042AE2-AB93-46F6-88E6-960A8B89F543}.cmd
  GroupPolicy: Restriction ? <======= ATTENTION
  CHR HKU\S-1-5-21-703374447-4073913373-1893146165-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  2016-11-29 12:07 - 2016-11-29 12:07 - 03148854 _____ C:\Users\S_S_K_R\AppData\Roaming\A29C01EEA29C01EE.bmp
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README9.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README8.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README7.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README6.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README5.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README4.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README3.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README2.txt
  2016-11-29 12:07 - 2016-11-29 12:07 - 00004170 _____ C:\Users\S_S_K_R\Desktop\README10.txt
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Сашаwert]

загрузил FIXLOG.txt

спасибо

Fixlog.txt

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). С расшифровкой на форуме не поможем.

[Сашаwert]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). С расшифровкой на форуме не поможем.

спасибо