Вирус шифровальщик, расширение файлов no_more_ransom

[Sergus]

Добрый день, ситуация как у всех, пришло письмо со счетом, открыли все зашифровалось. Разумеется есть очень ценная информация.

Создались файлы Readme со следующем содержанием:

 

Baши файлы былu зашифрoвaны.
Чтобы рacшифpoваmь uх, Вам нeoбходимo omправиmь kод:
1A33ADCCBF320F44ABAA|0
на элеkmpoнный адреc yvonne.vancese1982@gmail.com .
Дaлее вы пoлyчuте вce нeобxoдимыe инстpуkцuи.
Пonытkи рacшuфpовamь cамoстoяmeльнo не npиведуm нu к чемy, кpоме бeзвoзвpаmнoй nотeрu информaции.
Еслu вы всё жe xoтuтe пoпытaтьcя, mо nредвaрuтельно cделайmе pезервные коnии фaйлoв, uнaчe в слyчaе
ux измeненuя расшифpoвkа стaнeт невозмoжнoй нu npи кaкuх уcлoвuях.
Ecлu вы не пoлучuли отвеmа nо вышeуkазанномy адpecу в тeченue 48 чacoв (и только в эmoм слyчае!),
воспoльзyйmесь фoрмoй обрaтнoй cвязu. Эmо мoжно сделаmь двумя сnoсобaми:
1) Скaчaйmе u установumе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В адреснoй стpoкe Tor Browser-a введите aдpec:
http://cryptsen7fo43rr6.onion/
и нaжмите Enter. Зaгрузuтся cmpанuца c фoрмой oбpатнoй связu.
2) В любом браузеpе пepейдume пo однoмy из aдрeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Sergus]

Прошу прощения, файл лога не подгрузился, сейчас прикрепил.

CollectionLog-2016.12.15-10.21.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sergus]

После сканирования Farbar Recovery Scan Tool создалось

создалось только два файла.

Addition.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-12-14 18:09 - 2016-12-14 18:09 - 06220854 _____ C:\Users\Мария\AppData\Roaming\503DB3C7503DB3C7.bmp
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README9.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README8.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README7.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README6.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README5.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README4.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README3.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README2.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README10.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README1.txt
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Мария\AppData\Local\Temp\obnovisetup_anvirtm.exe
C:\Users\Мария\AppData\Local\Temp\YandexPackSetup.exe
C:\Users\Мария\AppData\Local\Temp\_is60F3.exe
C:\Users\Мария\AppData\Local\Temp\_is951D.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

В системе есть контрольные точки, так что пробуйте восстановить файлы средствами Windows.

[Sergus]

Восстановить через предыдущие версии не получается, они везде отсутствуют.

Могу предоставить файлы кодированный и исходный (сопоставили по размеру, если он не изменился)

Fixlog.txt

[Sandor]

К сожалению, для этого типа вымогателя - не поможет.

 

Смените все важные пароли. Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sergus]

Прпосканировал

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Service Pack не установлен Внимание! Скачать обновления

^Возможно потребуется повторная активация Windows^

Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 11 v.11.0.59518 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 91 v.8.0.910.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Opera Stable 41.0.2353.69 v.41.0.2353.69 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Sergus]

Есть ли надежда на восстановление информации, хотя бы в перспективе?

[Sandor]

Весьма призрачная. Ознакомьтесь со статьей.