Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Зашифровались все файлы после открытия почты *.no_more_ransom.

Алексей Ганин

Автор Алексей Ганин
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Ганин

Алексей Ганин

Опубликовано
Опубликовано (изменено)

Зашифровались все файлы после открытия почты *.no_more_ransom.

 

Прошел вот эту процедуру http://prntscr.com/dllhyf


На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.

 

Прикрепляю реадми и 3 фала для примера

 

 


Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить

FRST.txt

Addition.txt

на отправку.rar

Изменено пользователем Алексей Ганин
Алексей Ганин

Алексей Ганин

Опубликовано
  • Автор
Опубликовано

Автоматический сбощик логов

Да после того как на этом компьютере сработал этот вирус, я снял жесткий диск и проверил его на вирусы на другом компьютере, он их нашел и удалил 9 киких то объектов

CollectionLog-2016.12.20-12.24.zip

Sandor

Sandor

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434305702&z=856b1303a47d815dc1da37bg5z1c9z3c5e6wfmde2g&from=tti&uid=ST1000LM024XHN-M101MBB_S2TTJ9DC709214&q={searchTerms}
2016-12-19 16:11 - 2016-12-19 16:11 - 06220854 _____ C:\Users\пк\AppData\Roaming\DF4040DBDF4040DB.bmp
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README9.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README8.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README7.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README6.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README5.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README4.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README3.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README2.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README10.txt
2016-12-19 16:11 - 2016-12-19 16:11 - 00004154 _____ C:\Users\пк\Desktop\README1.txt
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-19 16:10 - 2016-12-19 16:10 - 00000000 __SHD C:\ProgramData\System32
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-19 15:00 - 2016-12-19 18:36 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Алексей Ганин

Алексей Ганин

Опубликовано
  • Автор
Опубликовано

Как мне там указать ключ, если у меня ключ на 38 компьютеров, а кода активации у меня же нету

Sandor

Sandor

Опубликовано
Опубликовано

Инструкция из сообщения №2 Вам тоже не подходит?

  • 3 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

@serxan91, hello,

 

Please, do not post in someone's topoc. Create your own (based on rules of this thread).

Download Autologger, extract it to Desktop and run.

At the end of it work you'll get a zip file named CollectionLog-yyyy.mm.dd-hh.mm.zip, where yyyy.mm.dd-hh.mm - date and time. For example: CollectionLog-2016.07.14-21.04.zip

Изменено пользователем Sandor
serxan91

serxan91

Опубликовано
Опубликовано

Sorry for that.I dont know this issue.Thanks for help.I understand that I must create new topic.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • igorX
      Зашифрованные файлы WannaCry
      Автор igorX
      Ноут зашифровали.
      KRD прочистил, отчет в файле Kasper.
      Логи прилагаю.
      Помогите почистить до конца.
       
      PS: От WannaCry еще дешифровальщик не появился?
      CollectionLog-2017.07.03-17.49.zip
      kasper.txt
    • KоnsтантиH
      Дешифровщик no_more_ransom
      Автор KоnsтантиH
      Доброго дня, помогите пожалуйста расшифровать документы.
      Они у нас в единственном экземпляре.
      Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,
      комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"
      Документы очень важны, что нам дальше делать чтобы не потерять их ? 
      CollectionLog-2017.06.21-11.40.zip
    • terentev7
      Зашифрованы файлы (no_more_ransom)
      Автор terentev7
      Добрый день. В середине прошлой недели на компьютер проник вирус, который зашифровал все документы на компьютере. Файлы получили новые названия, оканчивающиеся на ".no_more_ransom". Можно ли как-то восстановить документы?
       
      Требования злоумышленников и логи в прикреплённых файлах. Пример зашифрованного фала не прикрепился.
      README10.txt
      CollectionLog-2017.05.02-09.31.zip
    • bnw
      Расшифровка файлов с расширением *.no_more_ransom
      Автор bnw
      Здравствуйте!
       
      Открыли письмо в почте от сбербанка, в итоге все файл зашифрованы с расширением *.no_more_ransom, на рабочем столе файл readme следующего содержания:
       
      Вирусы почистила с помощью Kasperky Rescue Disk 10.
      Как быть с зашифрованными файлами? 
      CollectionLog-2017.04.23-14.33.zip
    • alexsmag
      *.no_more_ransom
      Автор alexsmag
      Здравствуйте. Поймали вирус,файлы зашифрованы с расширением *.no_more_ransom. Была произведена проверка Dr. Web CureIt,KRT, Malwarebytes. Спасибо!
      CollectionLog-2017.04.12-16.34.zip
×
×
  • Создать...