Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус шифровальщик, расширение файлов no_more_ransom

Sergus
 Share Подписчики 2

Рекомендуемые сообщения

Sergus

Sergus 0

Опубликовано
Опубликовано

Добрый день, ситуация как у всех, пришло письмо со счетом, открыли все зашифровалось. Разумеется есть очень ценная информация.

Создались файлы Readme со следующем содержанием:

 

Baши файлы былu зашифрoвaны.
Чтобы рacшифpoваmь uх, Вам нeoбходимo omправиmь kод:
1A33ADCCBF320F44ABAA|0
на элеkmpoнный адреc yvonne.vancese1982@gmail.com .
Дaлее вы пoлyчuте вce нeобxoдимыe инстpуkцuи.
Пonытkи рacшuфpовamь cамoстoяmeльнo не npиведуm нu к чемy, кpоме бeзвoзвpаmнoй nотeрu информaции.
Еслu вы всё жe xoтuтe пoпытaтьcя, mо nредвaрuтельно cделайmе pезервные коnии фaйлoв, uнaчe в слyчaе
ux измeненuя расшифpoвkа стaнeт невозмoжнoй нu npи кaкuх уcлoвuях.
Ecлu вы не пoлучuли отвеmа nо вышeуkазанномy адpecу в тeченue 48 чacoв (и только в эmoм слyчае!),
воспoльзyйmесь фoрмoй обрaтнoй cвязu. Эmо мoжно сделаmь двумя сnoсобaми:
1) Скaчaйmе u установumе Tor Browser пo cсылkе: https://www.torproject.org/download/download-easy.html.en
В адреснoй стpoкe Tor Browser-a введите aдpec:
http://cryptsen7fo43rr6.onion/
и нaжмите Enter. Зaгрузuтся cmpанuца c фoрмой oбpатнoй связu.
2) В любом браузеpе пepейдume пo однoмy из aдрeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-12-14 18:09 - 2016-12-14 18:09 - 06220854 _____ C:\Users\Мария\AppData\Roaming\503DB3C7503DB3C7.bmp
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README9.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README8.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README7.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README6.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README5.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README4.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README3.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README2.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README10.txt
2016-12-14 18:09 - 2016-12-14 18:09 - 00004170 _____ C:\Users\Мария\Desktop\README1.txt
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 17:40 - 2016-12-15 09:38 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Мария\AppData\Local\Temp\obnovisetup_anvirtm.exe
C:\Users\Мария\AppData\Local\Temp\YandexPackSetup.exe
C:\Users\Мария\AppData\Local\Temp\_is60F3.exe
C:\Users\Мария\AppData\Local\Temp\_is951D.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

В системе есть контрольные точки, так что пробуйте восстановить файлы средствами Windows.

Ссылка на сообщение
Поделиться на другие сайты
Sergus

Sergus 0

Опубликовано
  • Автор
Опубликовано

Восстановить через предыдущие версии не получается, они везде отсутствуют.


Могу предоставить файлы кодированный и исходный (сопоставили по размеру, если он не изменился)

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

К сожалению, для этого типа вымогателя - не поможет.

 

Смените все важные пароли. Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Service Pack не установлен Внимание! Скачать обновления

^Возможно потребуется повторная активация Windows^

Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 11 v.11.0.59518 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 91 v.8.0.910.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Opera Stable 41.0.2353.69 v.41.0.2353.69 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • asushnik
      Зашифровались файлы no_more_ransom
      От asushnik
      KL_syscure.zipЗдравствуйте! Зашифровались файлы no_more_ransom
       
      Вaшu фaйлы были зашифровaны.
      Чтoбы pасшuфpоваmь их, Вам необходuмо отправить kод: 2B2F28FB6038DEABAA9A|0 нa элeкmронный адреc yvonne.vancese1982@gmail.com 
×
×
  • Создать...