Перейти к содержанию

Зашифровало файлы NO_MORE_RANSOM


Рекомендуемые сообщения

Возникла проблема,  типичная для последних дней, женщина открыла картинку, на компьютере Касперский с просроченной лицензией и итог. Просьба помочь.

 

Вaшu файлы были зашuфровaны.
Чmoбы pacшuфpовaть иx, Baм нeобxодuмо оmпpaвиmь код:
99791CBEA8ECA56F4A7C|0
нa элeкmpoнный aдpeс Novikov.Vavila@gmail.com .
Дaлеe вы пoлучите вcе нeoбxoдимые инcmрукциu.
Пonыmku paсшифрoвamь caмоcmояmельнo нe приведуm ни к чему, kpомe бeзвозвратной noтери uнфоpмации.
Eслu вы вcё жe хoтuтe nоnыmаmьcя, то nрeдвaрительно сдeлaйте peзервные kопии файлoв, иначe в случаe
ux uзменения раcшuфровка станem нeвoзмoжнoй ни nри каkих yслoвияx.
Еcли вы нe noлyчили oтветa no вышеуказaннoму aдpecу в meчeние 48 чаcoв (и тoлькo в этом слyчaе!),
вocnoльзуйтeсь фоpмой обpaтной cвязu. Эmо можно cдeлaть двумя cnоcoбaмu:
1) Скaчайme и устaнoвuтe Tor Browser no cсылkе: https://www.torproject.org/download/download-easy.html.en
В адрeснoй cтрoke Tor Browser-a ввeдиme адpeс:
и нажмите Enter. 3arрузumся стpaница c фopмoй oбpamной связи.
2) B любoм брaузеpе пеpeйдите no oднoмy uз адpесoв:

CollectionLog-2016.12.14-06.20.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR Plugin: (Widevine Content Decryption Module) - C:\Users\user\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.885\_platform_specific\win_x86\widevinecdmadapter.dll => No File
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\54.0.2840.99\PepperFlash\pepflashplayer.dll => No File
    Folder: C:\ProgramData\services
    2016-12-12 14:34 - 2016-12-12 14:34 - 06220854 _____ C:\Users\user\AppData\Roaming\74BFEA4874BFEA48.bmp
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README9.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README8.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README7.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README6.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README5.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README4.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README3.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README2.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README10.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README1.txt
    2016-12-12 13:25 - 2016-12-13 15:32 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2016-12-12 13:25 - 2016-12-13 15:32 - 00000000 __SHD C:\ProgramData\Windows
    2016-12-12 14:34 - 2016-12-12 14:34 - 6220854 _____ () C:\Users\user\AppData\Roaming\74BFEA4874BFEA48.bmp
    2015-12-30 12:45 - 2015-12-30 12:45 - 0000000 _____ () C:\Users\user\AppData\Local\{D2F8DAEB-455D-427B-BA6E-833A0BA73B58}
    C:\Users\user\AppData\Local\Temp\COMAP.EXE
    C:\Users\user\AppData\Local\Temp\OfficeSetup.exe
    C:\Users\user\AppData\Local\Temp\SetupHomeStudentRetail.x86.ru-RU_HomeStudentRetail_M74HN-Q6H2Q-VWCQG-XQ6K9-RM2XR_act_1_.exe
    C:\Users\user\AppData\Local\Temp\siinst.exe
    C:\Users\user\AppData\Local\Temp\strings.dll
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Знакома ли Вам?

 

C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll
C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

     

    CreateRestorePoint:
    CloseProcesses:
    File: C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll
    File: C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
    Zip: C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll;C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
    C:\ProgramData\services
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе после завершения фикса образуется архив следующего вида <дата>_<время>.zip отправьте  по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты

Файлы отправил

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
A86B5C6747183B1C9BBB4181C53F302D.dll
FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

KLAN-5521388520

Изменено пользователем Nikolaos83
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Лариса B
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • hobbit86
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...