no_more_ransom

[Ruslan30]

Все файлы зашифрованы с расширение *no_more_ransom. 

На почту было прислано сообщение с темой "счет", сотрудник перешел по ссылке в данном сообщении. Антивирус Антивирус Касперского 6.0 для Windows Workstations, сработал, но вирус все равно заразил систему. В разделах жесткого диска были созданы *txt файлы с содержанием:

 

Вaши фaйлы былu зашифpoвaны.

Чтобы рaсшифpовать их, Baм необxoдuмо отnpавиmь кoд:

086D77EE4E4B94ABD6E9|0

на элеkmpoнный адpеc yvonne.vancese1982@gmail.com .

Далeе вы nолучuтe все нeобходимые uнcmруkции.

Попыmкu paсшuфрoвать caмoстояmельно нe прuвeдyт нu k чему, крoме бeзвозвратнoй nоmеpи информaцuи.

Ecли вы всё жe xоmume попыmаmьcя, mo npeдвaрuтeльно сделaйте резеpвные konuu файлoв, инaче в случae

иx изменения pасшuфровka сmанеm нeвозмoжнoй нu при какиx уcлoвuяx.

Eсли вы нe noлучили omветa no вышеуказaнномy адpеcу в тeчeние 48 часoв (u moльkо в эmoм слyчаe!),

воcnользуйmеcь фopмoй обpатнoй связи. Эmо мoжно сдeлaть двyмя cnoсoбами:

1) Cкачaйmе u уcтановume Tor Browser nо ссылke: https://www.torproject.org/download/download-easy.html.en

В aдрecной cтрокe Tor Browser-а ввeдиme адpeс:

http://cryptsen7fo43rr6.onion/

u нaжмume Enter. Зaгpyзuтcя cтрaницa с формой oбратной связu.

2) В любoм браyзере пepeйдumе пo одномy из адрecов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

Dr. Web Curelt  - не показал вирусов.

KVRT - не показал вирусов.

 

 

 

Проверка Kaspersky Anti-Virus 6.0 для Windows Workstations.txt

CollectionLog-2016.12.15-12.24.zip

[Sandor]

Здравствуйте!

 

Антивирус Касперского 6.0 для Windows Workstations - версия устарела и больше не поддерживается.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw.sys', '');
 DeleteFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw.sys', '32');
 DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ruslan30]

[KLAN-5522531934]

 

От Вас получено письмо, не содержащее файлов.
Возможно, антивирус на почтовом сервере удалил Ваш файл как инфицированный.

Если Вы нам посылали файл, пожалуйста, заархивируйте файл с паролем infected и пришлите снова.

Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

[Sandor]

Продолжайте.

[Ruslan30]

Отвечает всё тоже самое. и с паролем и без 

[Sandor]

Делайте лог AdwCleaner.

[Ruslan30]

[KLAN-5522876277]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
AdwCleaner[C0].txt

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

AdwCleanerC0.txt

[Sandor]

На почту больше ничего отправлять не нужно

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ruslan30]

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1438342287-1316839733-3411620543-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Extension: (Mega Browse 1.0.1) - C:\Users\Бухгалтер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}.xpi [2015-02-03] [not signed]
FF Extension: (No Name) - C:\Users\Бухгалтер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: (No Name) - C:\Users\Бухгалтер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru.xpi [not found]
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README9.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README8.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README7.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README6.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README5.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README4.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README3.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README2.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README10.txt
2016-12-14 11:56 - 2016-12-14 11:56 - 00004170 _____ C:\README1.txt
2016-12-14 11:55 - 2016-12-15 03:27 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 11:55 - 2016-12-15 03:27 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Бухгалтер\AppData\Local\Temp\DataCard_Setup.exe
C:\Users\Бухгалтер\AppData\Local\Temp\downloader.exe
C:\Users\Бухгалтер\AppData\Local\Temp\OfficeSetup.exe
C:\Users\Бухгалтер\AppData\Local\Temp\ResetDevice.exe
C:\Users\Бухгалтер\AppData\Local\Temp\sender.exe
C:\Users\Бухгалтер\AppData\Local\Temp\Setup-bm.exe
C:\Users\Бухгалтер\AppData\Local\Temp\Uninstall.exe
C:\Users\Бухгалтер\AppData\Local\Temp\_isEBE4.exe
C:\Users\Бухгалтер\AppData\Local\Temp\{98FA8B8B-073C-420A-AC9F-F96E3001C5D3}-36.0.1985.143_36.0.1985.125_chrome_updater.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ruslan30]

Fixlog.txt

[Sandor]

Создайте запрос на расшифровку.

[Ruslan30]

к сожалению не знаю логина от лк и пароля, до меня было еще это сделано. А при создании новой учетной записи неизвестная ошибка. Лицензия есть на Касперского. 

Лог и пароль нашли, запрос был отправлен.