Перейти к содержанию

Вирус шифровальщик, расширение файлов no_more_ransom

Sergus
 Share

Рекомендуемые сообщения

Sergus Новичок

Sergus

Опубликовано
Опубликовано

Добрый день, ситуация как у всех, пришло письмо со счетом, открыли все зашифровалось. Разумеется есть очень ценная информация.

Создались файлы Readme со следующем содержанием:

 

Baши файлы былu зашифрoвaны.
Чтобы рacшифpoваmь uх, Вам нeoбходимo omправиmь kод:
1A33ADCCBF320F44ABAA|0
на элеkmpoнный адреc yvonne.vancese1982@gmail.com .
Дaлее вы пoлyчuте вce нeобxoдимыe инстpуkцuи.
Пonытkи рacшuфpовamь cамoстoяmeльнo не npиведуm нu к чемy, кpоме бeзвoзвpаmнoй nотeрu информaции.
Еслu вы всё жe xoтuтe пoпытaтьcя, mо nредвaрuтельно cделайmе pезервные коnии фaйлoв, uнaчe в слyчaе
ux измeненuя расшифpoвkа стaнeт невозмoжнoй нu npи кaкuх уcлoвuях.
Ecлu вы не пoлучuли отвеmа nо вышeуkазанномy адpecу в тeченue 48 чacoв (и только в эmoм слyчае!),
воспoльзyйmесь фoрмoй обрaтнoй cвязu. Эmо мoжно сделаmь двумя сnoсобaми:
1) Скaчaйmе u установumе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В адреснoй стpoкe Tor Browser-a введите aдpec:
http://cryptsen7fo43rr6.onion/
и нaжмите Enter. Зaгрузuтся cmpанuца c фoрмой oбpатнoй связu.
2) В любом браузеpе пepейдume пo однoмy из aдрeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-12-14 18:09 - 2016-12-14 18:09 - 06220854 _____ C:\Users\Мария\AppData\Roaming\503DB3C7503DB3C7.bmp
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README9.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README8.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README7.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README6.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README5.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README4.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README3.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README2.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README10.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README1.txt
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Мария\AppData\Local\Temp\obnovisetup_anvirtm.exe
C:\Users\Мария\AppData\Local\Temp\YandexPackSetup.exe
C:\Users\Мария\AppData\Local\Temp\_is60F3.exe
C:\Users\Мария\AppData\Local\Temp\_is951D.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

В системе есть контрольные точки, так что пробуйте восстановить файлы средствами Windows.

Ссылка на комментарий
Поделиться на другие сайты
Sergus Новичок

Sergus

Опубликовано
  • Автор
Опубликовано

Восстановить через предыдущие версии не получается, они везде отсутствуют.


Могу предоставить файлы кодированный и исходный (сопоставили по размеру, если он не изменился)

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

К сожалению, для этого типа вымогателя - не поможет.

 

Смените все важные пароли. Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Service Pack не установлен Внимание! Скачать обновления

^Возможно потребуется повторная активация Windows^

Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 11 v.11.0.59518 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 91 v.8.0.910.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Opera Stable 41.0.2353.69 v.41.0.2353.69 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DenSyaoLin
      Вирус шифровальщик заменил расширения на Elpaco-team
      От DenSyaoLin
      добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С нет доступа к бэкапам и точкам восстановления. читал темы, и понимаю что дешифратора от этой гадости еще нет, хотелось бы надеяться на чудо и может вдруг что то получится. спасибо заранее
      по тому что уже сделал, выполнил проверку касперским, что то он нашел, удалил, а вот что нашел не подскажу, оставлял проверку на ночь.
      необходимые файлы прикладываю
      Addition.txt Files.rar FRST.txt
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • tom1
      Шифровальщик с расширением .wtch
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      Шифровальщик с расширением LOQ
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
×
×
  • Создать...