Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик no_more_ransom

pgm
 Поделиться

Рекомендуемые сообщения

pgm

pgm

Опубликовано
Опубликовано
Здравствуйте.

23.12.2016 поймали на шифровальщик, который зашифровал все фото, документы и др., расширение no_more_ransom.

В почту пришло письмо якобы от банка и т.д. с .js файлом.

Архив с письмом проверен Касперским. Файл был извлечен из архива и опять проверен касперским и был запущен 22.12.2016.

23.12.2016  все файлы были зашифрованы прежде чем Касперский обнаружил заражение.

 

Ключ Касперского 4EC8AA55.key

 

Что делать?

Содержание файла README1.txt

 

Baши фaйлы были зaшифровaны.

Чmoбы рacшифрoвamь ux, Вам необxoдuмо отпpaвumь кoд:

5CDAE1B63491DA3A3BF1|759|6|40

на элekтpoнный адpeс lukyan.sazonov26@gmail.com .

Далеe вы nолучume вcе необxoдuмыe uнстрyкции.

Пoпытku pacшuфpовaть сaмocmoятeльнo нe nрuвeдyт нu k чeму, kрoме бeзвозвpатной поmери uнфоpмацuu.

Если вы всё жe xоmитe nопытamься, mо npeдваpumельнo cдeлaйте резеpвныe кonuи фaйлов, uнaче в cлyчаe

иx изменeнuя рaсшuфровкa сmанem невoзможнoй ни nрu kaкux yсловияx.

Ecли вы не nолyчили отвеma no вышеyказанномy адpeсу в теченue 48 часов (и moлько в этoм cлyчаe!),

вocnoльзуйmeсь фоpмой обратной связu. Эmо можнo сделать двумя споcобами:

1) Скaчaйтe и устанoвuте Tor Browser пo ссылke: https://www.torproje...ad-easy.html.en

В адpеснoй cтpokе Tor Browser-a ввeдuте адрес:


u нaжмumе Enter. 3arрузитcя cтрaнuца с фopмoй обpamнoй связu.

2) В любoм бpаyзерe пеpейдume nо однoму uз aдpесoв:



 

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [Schedule] => "C:\ProgramData\Schedule\timetasks.exe"
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-299502267-764733703-839522115-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5ERU&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5ERU&apn_dbr=ie&apn_uid=299568C5-B710-46AA-A260-7825E94FCB6D&itbv=12.23.0.15&doi=2015-01-23&psv=&pt=tb
2016-12-23 09:51 - 2016-12-23 09:51 - 03686454 _____ C:\Documents and Settings\Ponomarev\Application Data\3188E2D23188E2D2.bmp
2016-12-23 09:51 - 2016-12-23 09:51 - 00004190 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-12-23 07:59 - 2016-12-23 10:01 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README9.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README8.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README7.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README6.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README5.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README4.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README3.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README2.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README10.txt
2016-12-23 07:58 - 2016-12-23 07:58 - 00004190 _____ C:\README1.txt
2016-12-22 16:39 - 2016-12-26 16:07 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

pgm

pgm

Опубликовано
  • Автор
Опубликовано

Не могу создать запрос на расшифровку, нужен код активации, а все файлы зашифрованы.

 

Сообщение от модератора Mark D. Pearlstone
Данные пользователя удалены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • chkof
      no_more_ransom
      Автор chkof
      Добрый день!
      Знакомая словила по почте вирус, который зашифровал файлы на диске. Мошенники за восстановление запросили 11тр. Есть ли возможность восстановить с вашей помощью данные? Лог по инструкции прикрепляю. Cureit обнаружил 8 вирусов, перенес в карантин.
      ПОМОГИТЕ!
      CollectionLog-2016.12.24-12.36.zip
    • Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
      Автор Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
       
      Прошел вот эту процедуру http://prntscr.com/dllhyf

      На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.
       
      Прикрепляю реадми и 3 фала для примера
       
       

      Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить
      FRST.txt
      Addition.txt
      на отправку.rar
    • Romcop
      Получил no_more_ransom
      Автор Romcop
      С Наступающим НГ!
       
      Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson.
      Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно.
       
      Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен. 
       
      Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться.
       
      CollectionLog-2016.12.28-18.53.zip
      report1.log
      report2.log
      README1.txt
    • Romcop
      2-й компьютер с NO_MORE_RAMSON
      Автор Romcop
      С Наступающим!
       
      На 2-м компьютере бухгалтерии. Зашифрованы файлы на диске С частично, на Е (восстановление системы) практически полностью. На сетевые диски тоже навалил README... Вообщем, отключил сеть, вошел под администратором, проверил KVRT, включил AutoLogger. Результаты Autologger`а. 
      CollectionLog-2016.12.29-12.39.zip
      report1.log
      report2.log
    • ill
      шифровальщик
      Автор ill
      Зашифровал почти все файлы, оставил после себя readme.txt, один из:
      readme.txt:
       
       
      CollectionLog-2016.12.09-09.34.zip
      README1.txt
×
×
  • Создать...