Перейти к содержанию

Зашифровало файлы NO_MORE_RANSOM


Рекомендуемые сообщения

Возникла проблема,  типичная для последних дней, женщина открыла картинку, на компьютере Касперский с просроченной лицензией и итог. Просьба помочь.

 

Вaшu файлы были зашuфровaны.
Чmoбы pacшuфpовaть иx, Baм нeобxодuмо оmпpaвиmь код:
99791CBEA8ECA56F4A7C|0
нa элeкmpoнный aдpeс Novikov.Vavila@gmail.com .
Дaлеe вы пoлучите вcе нeoбxoдимые инcmрукциu.
Пonыmku paсшифрoвamь caмоcmояmельнo нe приведуm ни к чему, kpомe бeзвозвратной noтери uнфоpмации.
Eслu вы вcё жe хoтuтe nоnыmаmьcя, то nрeдвaрительно сдeлaйте peзервные kопии файлoв, иначe в случаe
ux uзменения раcшuфровка станem нeвoзмoжнoй ни nри каkих yслoвияx.
Еcли вы нe noлyчили oтветa no вышеуказaннoму aдpecу в meчeние 48 чаcoв (и тoлькo в этом слyчaе!),
вocnoльзуйтeсь фоpмой обpaтной cвязu. Эmо можно cдeлaть двумя cnоcoбaмu:
1) Скaчайme и устaнoвuтe Tor Browser no cсылkе: https://www.torproject.org/download/download-easy.html.en
В адрeснoй cтрoke Tor Browser-a ввeдиme адpeс:
и нажмите Enter. 3arрузumся стpaница c фopмoй oбpamной связи.
2) B любoм брaузеpе пеpeйдите no oднoмy uз адpесoв:

CollectionLog-2016.12.14-06.20.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR Plugin: (Widevine Content Decryption Module) - C:\Users\user\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.885\_platform_specific\win_x86\widevinecdmadapter.dll => No File
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\54.0.2840.99\PepperFlash\pepflashplayer.dll => No File
    Folder: C:\ProgramData\services
    2016-12-12 14:34 - 2016-12-12 14:34 - 06220854 _____ C:\Users\user\AppData\Roaming\74BFEA4874BFEA48.bmp
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README9.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README8.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README7.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README6.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README5.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README4.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README3.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README2.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README10.txt
    2016-12-12 14:34 - 2016-12-12 14:34 - 00004154 _____ C:\Users\user\Desktop\README1.txt
    2016-12-12 13:25 - 2016-12-13 15:32 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2016-12-12 13:25 - 2016-12-13 15:32 - 00000000 __SHD C:\ProgramData\Windows
    2016-12-12 14:34 - 2016-12-12 14:34 - 6220854 _____ () C:\Users\user\AppData\Roaming\74BFEA4874BFEA48.bmp
    2015-12-30 12:45 - 2015-12-30 12:45 - 0000000 _____ () C:\Users\user\AppData\Local\{D2F8DAEB-455D-427B-BA6E-833A0BA73B58}
    C:\Users\user\AppData\Local\Temp\COMAP.EXE
    C:\Users\user\AppData\Local\Temp\OfficeSetup.exe
    C:\Users\user\AppData\Local\Temp\SetupHomeStudentRetail.x86.ru-RU_HomeStudentRetail_M74HN-Q6H2Q-VWCQG-XQ6K9-RM2XR_act_1_.exe
    C:\Users\user\AppData\Local\Temp\siinst.exe
    C:\Users\user\AppData\Local\Temp\strings.dll
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Знакома ли Вам?

 

C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll
C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

     

    CreateRestorePoint:
    CloseProcesses:
    File: C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll
    File: C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
    Zip: C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll;C:\ProgramData\services\FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll
    C:\ProgramData\services
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе после завершения фикса образуется архив следующего вида <дата>_<время>.zip отправьте  по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты

Файлы отправил

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
A86B5C6747183B1C9BBB4181C53F302D.dll
FB28F6B71FE7AE0A8BC48B0AD3A94DD2.dll

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

KLAN-5521388520

Изменено пользователем Nikolaos83
Ссылка на комментарий
Поделиться на другие сайты

Пробуйте создать запрос:https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • MirTa
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • itman
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
×
×
  • Создать...