Перейти к содержанию

Шифровальщик. no_more_ransom


Рекомендуемые сообщения

У бухгалтера на компе зашифровались файлы.

Говорит ничего подозрительного не запускала. Направление заражения не понятно.

Зашифрованы базы 1С, главное хотелось восстановить их.

 

KVRT при проверке ничего не нашел.

CollectionLog-2017.01.16-10.47.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-01-12 19:37 - 2017-01-13 17:24 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-12 19:37 - 2017-01-13 17:24 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Пётр Б
      От Пётр Б
      Добрый вечер.
      Зашифровались файлы на сервере. Дешифраторы, описанные на форуме не помогли
      Систему не переустанавливали и не чистили
      В архиве virus файл из автозагрузки
      Зашифрованные файлы и файлы с требованиями.zip virus.zip hrmlog.zip frst.zip
    • Master604
      От Master604
      Добрый день. Шифровальщик прошелся по большинству файлов. Есть возможность помочь в расшифровке?
      crypmod.zip
    • Paul99
      От Paul99
      HISTORY: We were hit with a ransom attack. My daily backups were deleted by the attackers. The backups were situated on a NAS (Synology RS814+) I have sent this appliance into a professional Data Recovery Company (WeRecoverData) in the hopes the files on it can be recovered. If this works I can restore my entire network shares and folders from an Arcserve UDP backup that is current to the date of the attack.  I also have an off-site copy of the restoration files on an external USB drive.  Unfortunately this was created using Arcserve's File Copy job, and my data being backed up was taking longer and longer to complete copy job. Data as a whole was growing incredibly large fast, and network files were making for 19+ days to create a copy job over the network. I used this copy to carry out of premises. That copy has a last successful copy job of backup files that is 6.5 months old.  My hope is that there is a known decryption tool for the medlock7 ransomware. I have access to my server and all encrypted files are still intact. My question, can I restore/repair these files without paying the attackers?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Интервью с экспертами «Лаборатории Касперского»".
    • Юрий_Колбин
      От Юрий_Колбин
      Desktop.zip
       
      Организация поймала шифровальщик.
      Каспер был благополучно остановлен и запущен kavremover.
      Расскажите о перспективах расшифровки.
      Пароль 12345
      Есть так-же образцы этой заразы, если поможет, могу выложить.
×
×
  • Создать...