Зашифровало файлы NO_MORE_RANSOM

[Nikolaos83]

Возникла проблема,  типичная для последних дней, женщина открыла картинку, на компьютере Касперский с просроченной лицензией и итог. Просьба помочь.

 

Вaшu файлы были зашuфровaны.

Чmoбы pacшuфpовaть иx, Baм нeобxодuмо оmпpaвиmь код:

99791CBEA8ECA56F4A7C|0

нa элeкmpoнный aдpeс Novikov.Vavila@gmail.com .

Дaлеe вы пoлучите вcе нeoбxoдимые инcmрукциu.

Пonыmku paсшифрoвamь caмоcmояmельнo нe приведуm ни к чему, kpомe бeзвозвратной noтери uнфоpмации.

Eслu вы вcё жe хoтuтe nоnыmаmьcя, то nрeдвaрительно сдeлaйте peзервные kопии файлoв, иначe в случаe

ux uзменения раcшuфровка станem нeвoзмoжнoй ни nри каkих yслoвияx.

Еcли вы нe noлyчили oтветa no вышеуказaннoму aдpecу в meчeние 48 чаcoв (и тoлькo в этом слyчaе!),

вocnoльзуйтeсь фоpмой обpaтной cвязu. Эmо можно cдeлaть двумя cnоcoбaмu:

1) Скaчайme и устaнoвuтe Tor Browser no cсылkе: https://www.torproject.org/download/download-easy.html.en

В адрeснoй cтрoke Tor Browser-a ввeдиme адpeс:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. 3arрузumся стpaница c фopмoй oбpamной связи.

2) B любoм брaузеpе пеpeйдите no oднoмy uз адpесoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2016.12.14-06.20.zip

report1.log

report2.log

[SQ]

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Nikolaos83]

Сделал

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR Plugin: (Widevine Content Decryption Module) - C:\Users\user\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.885\_platform_specific\win_x86\widevinecdmadapter.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\54.0.2840.99\PepperFlash\pepflashplayer.dll => No File
  Folder: C:\ProgramData\services
  2016-12-12 14:34 - 2016-12-12 14:34 - 06220854 _____ C:\Users\user\AppData\Roaming\74BFEA4874BFEA48.bmp
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README9.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README8.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README7.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README6.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README5.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README4.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README3.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README2.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README10.txt
  2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README1.txt
  2016-12-12 13:25 - 2016-12-13 15:32 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-12-12 13:25 - 2016-12-13 15:32 - 00000000 __SHD C:\ProgramData\Windows
  2016-12-12 14:34 - 2016-12-12 14:34 - 6220854 _____ () C:\Users\user\AppData\Roaming\74BFEA4874BFEA48.bmp
  2015-12-30 12:45 - 2015-12-30 12:45 - 0000000 _____ () C:\Users\user\AppData\Local\{D2F8DAEB-455D-427B-BA6E-833A0BA73B58}
  C:\Users\user\AppData\Local\Temp\COMAP.EXE
  C:\Users\user\AppData\Local\Temp\OfficeSetup.exe
  C:\Users\user\AppData\Local\Temp\SetupHomeStudentRetail.x86.ru-RU_HomeStudentRetail_M74HN-Q6H2Q-VWCQG-XQ6K9-RM2XR_act_1_.exe
  C:\Users\user\AppData\Local\Temp\siinst.exe
  C:\Users\user\AppData\Local\Temp\strings.dll
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Nikolaos83]

Все сделал.

Fixlog.txt

[SQ]

Знакома ли Вам?

 

C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll
C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   

  CreateRestorePoint:
  CloseProcesses:
  File: C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll
  File: C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
  Zip: C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll;C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
  C:\ProgramData\services
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе после завершения фикса образуется архив следующего вида <дата>_<время>.zip отправьте  по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[Nikolaos83]

Файлы отправил

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
A86B5C6747183B1C9BBB4181C53F302D.dll
FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

KLAN-5521388520

Изменено 15 декабря, 2016 пользователем Nikolaos83

[SQ]

Уточните выполняли фикс, если да где лог Fixlog.txt?

[Nikolaos83]

Извините, забыл.

Fixlog.txt

[SQ]

Пробуйте создать запрос:https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.