Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Расшифровать файлы no_more_ransom после шифровальщика

BoZoN
 Поделиться

Рекомендуемые сообщения

BoZoN

BoZoN

Опубликовано
Опубликовано

В пришедшем письме пользователь нажал на ссылку, в результате чего скачался и запустился шифровальщик.теперь все файлы имеют расширение .no_more_ransom.
Лечение компьютера было выполнено  с помощью Kaspersky Virus Removal Tool 2015.
CollectionLog, а также файл README.TXT и один из зашифрованных файлов прикладываю + FRST.txt и Addition.txt.
 
Помогите, пожалуйста, вернуть информацию!
 

Строгое предупреждение от модератора thyrex
Не прикрепляйте вредоносных вложений

Addition.txt

CollectionLog-2016.12.03-15.14.zip

FRST.txt

README1.txt

mike 1

mike 1

Опубликовано
Опубликовано

Ссылку на вирус в личку скиньте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer: [DontSetAutoplayCheckbox] 1
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=5VMPKFK7_ST3250312AS&ts=1354518014
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=5VMPKFK7_ST3250312AS&ts=1354518014
SearchScopes: HKU\.DEFAULT -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - \User Data\Default\Extensions\v9.crx [2012-12-03]
2016-12-02 11:40 - 2016-12-02 16:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-02 11:40 - 2016-12-02 16:54 - 00000000 __SHD C:\ProgramData\Windows
2016-12-02 12:56 - 2016-12-02 12:56 - 03932214 _____ C:\Users\o.kayankina\AppData\Roaming\E6E63968E6E63968.bmp
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README9.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README8.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README7.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README6.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README5.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README4.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README3.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README2.txt
2016-12-02 12:56 - 2016-12-02 12:56 - 00004162 _____ C:\Users\o.kayankina\Desktop\README10.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
BoZoN

BoZoN

Опубликовано
  • Автор
Опубликовано

Fixlog.txt прикрепляю. Вирусное письмо и результат работы шифровальщика отправил в личку.

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

AV: ESET Smart Security 4.0 (Disabled - Up to date) {CB0F8167-5331-BA19-698E-64816B6801A5}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.
BoZoN

BoZoN

Опубликовано
  • Автор
Опубликовано

 

AV: ESET Smart Security 4.0 (Disabled - Up to date) {CB0F8167-5331-BA19-698E-64816B6801A5}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.

 

Есть ключ от Kaspersky Internet Security, установленном на другом ПК. Возможно ли в таком случае у вас заказать расшифровку?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Заказать нет, а обратиться в техподдержку сможешь если найдешь код активации. Хотя я считаю, что последствия должна расхлебывать техподдержка Eset, т.к. их антивирус допустил шифрование файлов.

Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...