Перейти к содержанию

Зашифрованы файлы (рандомное название с расширением .no_more_ransom)

JDmitry
 Поделиться

Рекомендуемые сообщения

JDmitry

JDmitry

Опубликовано
Опубликовано

Добрый вечер!

 

Начальник поймал переименовщика через почту, письмо с файлом получить не могу, но результаты сканирования FRST прилагаю к сообщению (однако вирус шифрует на лету названия, но размер сохраняет и содержание).

 

Ни NOD, ни CureIt ничего не находят, но все документы переименованы сгенеренным именем с заменой расширения на " .no_more_ransom "

 

Работаю на машине начальника удаленно, поэтому прошу не включать в макросы команды выгрузки и блокировки TeamViewer, иначе потеряю доступ.

 

Жду с благодарностью Ваших профессиональных рекомендаций.

 

Дмитрий

recovery.rar

JDmitry

JDmitry

Опубликовано
  • Автор
Опубликовано (изменено)

Прошу прощения, Mike !

 

В спешке воспользовался шаблоном из свежего поста, а не правилами оформления :facepalm: .

Исправляюсь:

 

Логи, сгенеренные AutoLogger'ом в приложении к сообщению, инфицированное письмо академик удалил, но такое же письмо пришло сегодня на корпоративную почту многим:

 

 

Уважаемый налогоплательщик!

Проведенной проверки у Вас выявлена задолженность.

Подробнее Вы можете ознакомиться по ссылке

[скрыто]

С уважением,

Алексеев Анатолий Яковлевич

CollectionLog-2016.12.07-19.01.zip

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AF88A8EBF-9139-4D4F-AC14-81F883BC4385','32');
 DeleteFile('C:\Users\Sergey\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\060BC75C-B2A4-42CA-824F-5468A91AAAB8.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\F88A8EBF-9139-4D4F-AC14-81F883BC4385','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','32');
 DeleteFile('C:\Users\Sergey\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

JDmitry

JDmitry

Опубликовано
  • Автор
Опубликовано

скрипт прогнал в AVZ, Логи повторного запуска Loggerr'a в приложении к сообщению.

 

Есть ли надежда на декодирование? 

 

Вирус зашифровал базы Bat'овкой почты и все её backup'ы  :oh:

CollectionLog-2016.12.08-14.36.zip

mike 1

mike 1

Опубликовано
Опубликовано

На данный момент думаю нет.

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
  • 2 недели спустя...
JDmitry

JDmitry

Опубликовано
  • Автор
Опубликовано

 

На данный момент думаю нет.

 

  •  
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.

 

 

 

Windows переустановил из летнего образа, съемный диск с зашифрованными файлами лежит в столе. Есть шанс, что кто то по своей безвозмездной инициативе вскроет алгоритм и напишет декодер?

 

Существуют проекты, аналогичные совместному Касперский-Европол ?  (https://www.nomoreransom.org/)

mike 1

mike 1

Опубликовано
Опубликовано

Если и появится, то в паблике его скорее всего не будет по ряду причин.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
×
×
  • Создать...