Все файлы зашифрованы в формате .no_more_ransom.

[Belimenko Oxana]

Компьютер рабочий, пришли квитанции какие то на почту открылись и сначала ничего не было. Компьютер выключили и оставили до утра! на утро после включения красными буквами на русском и английском языках надпись о том что все файлы на жестких дисках заблокированны и информация для разблокировки указанна в файле readme.txt. Зашифровалось все абсолютно, кроме новых созданных файлов, они не шифруются. Формат файла .no_more_ransom.

Прикрепляю файл из программы AutoLogger!

CollectionLog-2016.12.03-14.58.zip

Изменено 3 декабря, 2016 пользователем Belimenko Oxana

[mike 1]

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологера).

 

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKU\S-1-5-18\..\RunOnce: [panda4_1dn] reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_1dn" /f
O4 - HKU\S-1-5-18\..\RunOnce: [panda4_1dn_DATA_FOLDER] cmd.exe /c rmdir "C:\ProgramData\Panda Security URL Filtering" /s /q
O4 - HKU\S-1-5-18\..\RunOnce: [panda4_1dn_INSTALL_FOLDER] cmd.exe /c rmdir "C:\Windows\system32\config\systemprofile\AppData\Local\panda4_1dn" /s /q
O4 - HKU\S-1-5-18\..\RunOnce: [panda4_1dn_XP] reg.exe delete "HKCU\Software\panda4_1dn" /f
O4 - HKU\S-1-5-18\..\RunOnce: [panda] reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f
O4 - HKU\S-1-5-18\..\RunOnce: [panda_XP] reg.exe delete "HKCU\Software\panda" /f
O4 - MSConfig\startupreg:  [ServerCore] C:\Program Files (x86)\Application Installer\ServerCore.exe (2015/02/09)
O4 - MSConfig\startupreg:  [SystemScript] "C:\Users\Lenovo\AppData\Local\Microsoft\Windows\toolbar.exe" (2015/02/09)
O4 - MSConfig\startupreg:  [amigo] C:\Users\Lenovo\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (2016/12/02)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Belimenko Oxana]

прикрепляю отчеты из программы FRST!

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicyScripts-x32: Restriction <======= ATTENTION
  2016-11-30 20:20 - 2016-12-01 10:00 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2016-11-30 20:20 - 2016-12-01 10:00 - 00000000 __SHD C:\ProgramData\Csrss
  2016-11-30 20:19 - 2016-11-30 20:19 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\608EEC80608EEC80.bmp
  2016-11-30 20:18 - 2016-11-30 20:20 - 00000000 __SHD C:\Users\Все пользователи\System32
  2016-11-30 20:18 - 2016-11-30 20:20 - 00000000 __SHD C:\ProgramData\System32
  2016-11-30 19:16 - 2016-12-01 21:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-11-30 19:16 - 2016-12-01 21:12 - 00000000 __SHD C:\ProgramData\Windows
  2016-12-02 22:56 - 2015-02-09 22:58 - 00000000 ____D C:\Program Files (x86)\Application Installer
  C:\Users\Lenovo\AppData\Local\Temp\73b8-42fd-1220-f582.exe
  Task: {AEC9013A-B4B7-4132-B172-D25CDECD0F31} - \SystemScript -> No File <==== ATTENTION
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
  FirewallRules: [{F83CB719-DF8E-41B3-AB96-938F8A6A7D83}] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
  FirewallRules: [{8A6AE640-721B-4AF1-980B-28A627C85FD4}] => C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте и вставьте содержимое отчета

[Belimenko Oxana]

Отчеты программ! И содержимое отчета SecurityCheck!

 

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]

WebSite: www.safezone.cc

DateLog: 03.12.2016 17:52:04

Path starting: C:\Users\Lenovo\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Lenovo

VersionXML: 3.58is-03.12.2016

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 09.02.2015 17:03:44

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Internet Explorer\iexplore.exe

Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [57.7 Гб] Свободно: [40 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба остановлена

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.4518.1031

Microsoft Office 2010 x86 v.14.0.4763.1000

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

ESET NOD32 Antivirus v.5.2.9.12

--------------------------- [ OtherUtilities ] ----------------------------

Foxit Reader v.7.3.6.321 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

TeamViewer 9 v.9.0.26297 Внимание! Скачать обновления

Архиватор WinRAR

TeamViewer 9 (TeamViewer9) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.25 v.7.25.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 91 v.8.0.910.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 23 PPAPI v.23.0.0.207

------------------------------- [ Browser ] -------------------------------

Yandex v.16.10.1.1116

Google Chrome v.54.0.2840.99 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 41.0.2353.69 v.41.0.2353.69

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.54.0.2840.99

------------------ [ AntivirusFirewallProcessServices ] -------------------

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.5.2.7.0

ESET Service (ekrn) - Служба работает

C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe v.5.2.7.0

Защитник Windows (WinDefend) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

 

Fixlog.txt

[mike 1]

Установите обновления по ссылкам. Eset обновите до 10 версии. Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего вендора.

[Belimenko Oxana]

не могли бы вы немного мне объяснить что значит тех поддержка моего вендора?

[mike 1]

В техподдержку Eset Anti-Virus вам нужно обращаться

Изменено 3 декабря, 2016 пользователем mike 1

[Belimenko Oxana]

а что мне им написать?
скинуть образец файла и попросить дешифратор?

[mike 1]

Что у вас зашифровались файлы и вам требуется помощь в их расшифровке.

[Belimenko Oxana]

спасибо вам большое!

[Belimenko Oxana]

здравствуйте еще раз
я обратилась к своему вендору но для их помощи мне требуется лицензия, увы как таковой не имею(
нет ли других антивирусных лабораторий которые помогают с такой проблемой? не важно за какой срок, главное что бы хоть капельку помогли.

Или все же остается только ждать когда в сети будет доступен дешифратор такого расширения? Спасибо за внимание!

[mike 1]

нет ли других антивирусных лабораторий которые помогают с такой проблемой?

Расшифровкой занимаются в основном Eset, Kaspersky Lab и Dr.Web, но для обращения в техподдержку каждой из этих компаний требуется коммерческая лицензия (лицензия на год) на антивирус. В публичном доступе дешифратор выкладывать не будут, т.к. если авторы шифровальщика узнают об этом, что их расшифровывают, то они выпустят новую версию шифровальщика.