Вирус шифровальщик, расширение файлов no_more_ransom

15 декабря, 2016

Добрый день, ситуация как у всех, пришло письмо со счетом, открыли все зашифровалось. Разумеется есть очень ценная информация.

Создались файлы Readme со следующем содержанием:

Baши файлы былu зашифрoвaны.
Чтобы рacшифpoваmь uх, Вам нeoбходимo omправиmь kод:
1A33ADCCBF320F44ABAA|0
на элеkmpoнный адреc yvonne.vancese1982@gmail.com .
Дaлее вы пoлyчuте вce нeобxoдимыe инстpуkцuи.
Пonытkи рacшuфpовamь cамoстoяmeльнo не npиведуm нu к чемy, кpоме бeзвoзвpаmнoй nотeрu информaции.
Еслu вы всё жe xoтuтe пoпытaтьcя, mо nредвaрuтельно cделайmе pезервные коnии фaйлoв, uнaчe в слyчaе
ux измeненuя расшифpoвkа стaнeт невозмoжнoй нu npи кaкuх уcлoвuях.
Ecлu вы не пoлучuли отвеmа nо вышeуkазанномy адpecу в тeченue 48 чacoв (и только в эmoм слyчае!),
воспoльзyйmесь фoрмoй обрaтнoй cвязu. Эmо мoжно сделаmь двумя сnoсобaми:
1) Скaчaйmе u установumе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В адреснoй стpoкe Tor Browser-a введите aдpec:
http://cryptsen7fo43rr6.onion/
и нaжмите Enter. Зaгрузuтся cmpанuца c фoрмой oбpатнoй связu.
2) В любом браузеpе пepейдume пo однoмy из aдрeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

15 декабря, 2016

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

15 декабря, 2016

Прошу прощения, файл лога не подгрузился, сейчас прикрепил.

CollectionLog-2016.12.15-10.21.zip

15 декабря, 2016

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

15 декабря, 2016

После сканирования Farbar Recovery Scan Tool создалось

создалось только два файла.

Addition.txt

FRST.txt

15 декабря, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-12-14 18:09 - 2016-12-14 18:09 - 06220854 _____ C:\Users\Мария\AppData\Roaming\503DB3C7503DB3C7.bmp
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README9.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README8.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README7.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README6.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README5.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README4.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README3.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README2.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README10.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README1.txt
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Мария\AppData\Local\Temp\obnovisetup_anvirtm.exe
C:\Users\Мария\AppData\Local\Temp\YandexPackSetup.exe
C:\Users\Мария\AppData\Local\Temp\_is60F3.exe
C:\Users\Мария\AppData\Local\Temp\_is951D.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В системе есть контрольные точки, так что пробуйте восстановить файлы средствами Windows.

15 декабря, 2016

Восстановить через предыдущие версии не получается, они везде отсутствуют.

Могу предоставить файлы кодированный и исходный (сопоставили по размеру, если он не изменился)

Fixlog.txt

15 декабря, 2016

К сожалению, для этого типа вымогателя - не поможет.

Смените все важные пароли. Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

15 декабря, 2016

Прпосканировал

SecurityCheck.txt

15 декабря, 2016

------------------------------- [ Windows ] -------------------------------

Service Pack не установлен Внимание! Скачать обновления

^Возможно потребуется повторная активация Windows^

Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 11 v.11.0.59518 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 91 v.8.0.910.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Opera Stable 41.0.2353.69 v.41.0.2353.69 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

15 декабря, 2016

Есть ли надежда на восстановление информации, хотя бы в перспективе?

15 декабря, 2016

Весьма призрачная. Ознакомьтесь со статьей.

Вирус шифровальщик, расширение файлов no_more_ransom

Рекомендуемые сообщения

Sergus

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sergus

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sergus

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sergus

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sergus

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sergus

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum