Перейти к содержанию

Все документы в ПК зашифрованы "no_more_ransom"

Alex.1986.26
 Share

Рекомендуемые сообщения

Alex.1986.26 Новичок

Alex.1986.26

Опубликовано
Опубликовано

Добрый день!!!

 

Ситуация следующая: не так давно по почте пришёл архив! Внутри было нечто непонятное.... Не стал заморачиваться, просто удалил!!!

После следующей перезагрузки все документы, фото и т.д. в компьютере оказались зашифрованными......( Названия файлов сменились примерно на следующие: "HXfXtKelE2A5lMT-FjELx+2ay9dxSamjIfzCpAUxDk5QC38WUyA=.4CAB5880B3B4EB155657" с расширением "no_more_ransom"!!!

Прочитав много информации по этому поводу понял что именно "подцепил"..... Насторожил один момент, ни где не нашел инструкции по восстановлению и контактов как это обычно бывает!!!! По глупости конечно прогнал сам несколькими утилитами дешифровщиками, одна дала результат "ShadowExplorerPortable-0.9" если не ошибаюсь!!! но расшифровал только несколько десятков файлов из пары тысяч!!! Название и расширение файлов стало прежнем, а вот при чтении файлов ошибка.... Далее попробовал ещё пару дешифровщиков, после использования одного в папке указанной мною для дешифровки появился текстовый документ который прикрепил к теме!!!

Вопрос только один, реально ли что-то сделать???(((

Заранее спасибо!!! 

CollectionLog-2016.12.23-17.36.zip

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Вопрос только один, реально ли что-то сделать???(((

Увы, на данный момент - ничего. Но в логах видна адварь, можем почистить.
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-286390167-3299065993-3399656279-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-286390167-3299065993-3399656279-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF NewTab: Mozilla\Firefox\Profiles\7ribp8zr.default-1428398780905 -> yafd:tabs
2016-12-20 14:00 - 2016-12-23 10:25 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-20 14:00 - 2016-12-23 10:25 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Адварь и следы вымогателя очищены.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.3.3.17 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

QuickTime 7 v.7.77.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player 11.6 v.11.6.5.635 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

VKMusic 4 v.4.43.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

WildTangent Games App (HP Games) v.4.0.5.14 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Смените все важные пароли. Прочтите и выполните Рекомендации после удаления вредоносного ПО

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...