Перейти к содержанию

Расшифровать файлы no_more_ransom после шифровальщика

BoZoN
 Поделиться

Рекомендуемые сообщения

BoZoN Новичок

BoZoN

Опубликовано
Опубликовано

В пришедшем письме пользователь нажал на ссылку, в результате чего скачался и запустился шифровальщик.теперь все файлы имеют расширение .no_more_ransom.
Лечение компьютера было выполнено  с помощью Kaspersky Virus Removal Tool 2015.
CollectionLog, а также файл README.TXT и один из зашифрованных файлов прикладываю + FRST.txt и Addition.txt.
 
Помогите, пожалуйста, вернуть информацию!
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных вложений

Addition.txt

CollectionLog-2016.12.03-15.14.zip

FRST.txt

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Ссылку на вирус в личку скиньте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer: [DontSetAutoplayCheckbox] 1
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=5VMPKFK7_ST3250312AS&ts=1354518014
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=5VMPKFK7_ST3250312AS&ts=1354518014
SearchScopes: HKU\.DEFAULT -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - \User Data\Default\Extensions\v9.crx [2012-12-03]
2016-12-02 11:40 - 2016-12-02 16:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-02 11:40 - 2016-12-02 16:54 - 00000000 __SHD C:\ProgramData\Windows
2016-12-02 12:56 - 2016-12-02 12:56 - 03932214 _____ C:\Users\o.kayankina\AppData\Roaming\E6E63968E6E63968.bmp
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README9.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README8.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README7.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README6.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README5.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README4.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README3.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README2.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README10.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

AV: ESET Smart Security 4.0 (Disabled - Up to date) {CB0F8167-5331-BA19-698E-64816B6801A5}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.
Ссылка на комментарий
Поделиться на другие сайты
BoZoN Новичок

BoZoN

Опубликовано
  • Автор
Опубликовано

 

AV: ESET Smart Security 4.0 (Disabled - Up to date) {CB0F8167-5331-BA19-698E-64816B6801A5}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.

 

Есть ключ от Kaspersky Internet Security, установленном на другом ПК. Возможно ли в таком случае у вас заказать расшифровку?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Заказать нет, а обратиться в техподдержку сможешь если найдешь код активации. Хотя я считаю, что последствия должна расхлебывать техподдержка Eset, т.к. их антивирус допустил шифрование файлов.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nik10
      Возможно ли расшифровать зашифрованные файлы
      Автор Nik10
      Возможно ли расшифровать зашифрованые файлы. Предположительно mimic

      В архивы 2 экзэмпляра зашифрованных файла, результаты утилиты FRST и записка о выкупе. Оригинал ВПО не найден.
      ransomware_1c.zip
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • Rena73
      Пытаюсь расшифровать шифровальщика.
      Автор Rena73
      Пытаюсь расшифровать файлы. не получается. ZXyL8wFFae.rar
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
×
×
  • Создать...