вирус no_more_ransom Olimpiada.Ignatieva@gmail.com

16 января, 2017

Здравствуйте! Мои важные файлы были зашифрованы вирусом no_more_ransom

Можно ли их расшифровать обратно, если конечно, не платить злоумышленникам?

CollectionLog-2017.01.17-13.33.zip

17 января, 2017

Здравствуйте,

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432273940&z=64557c19ee5218bb76cd3abg8z9c5o0o0mcc9q7g8b&from=cmi&uid=WDCXWD5000AAKS-00A7B0_WD-WMASY304892948929
O22 - ScheduledTask: (Ready) Crossbrowse - {root} - C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe /rawdata='swenTq0/vNIVYbQ2IDaAIuUKAX1UI6b7laHBgR4ZAVMF38T4bP1g6cffVuVEfIR5/UO2JjGE1Tk5kIwaslePS2S5Zj8FFVF65Ub9NgvWC5s/eJyP/rR145JGQhNgXw75QASxv/34CjBmL7x/3REB8CFgOJ9seiAaOjqx7HZKJaKOJlJxzHbdN1UU2NWRmwAzni18LVv9vNx3M33KPDR3bJ9s0bUgp7DjbkLiI1oWbWs6zlH/ELysBsNS7A8JypQJ76JsqicGDL5u4irVc5im61BdW3dRu1F7Py+VuhyThYBiwaRN3jYRN8duk5A4u5kzpDnoyUynMN3uDpT+kgH1Uw==' (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('BAPIDRV');
 DeleteService('BAPIDRV');
 QuarantineFile('C:\Windows\system32\system','');
 QuarantineFile('C:\Windows\System32\svchost.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\oursurfing\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\6hh588yw.exe','');
 QuarantineFile('C:\ProgramData\WindowsMangerPro','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\6hh588yw.exe','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('C:\Windows\Tasks\6hh588yw.job','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{89050072-8A8D-4D67-8B3A-BE1215B5B020}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{E632CDCD-198B-419E-9D6A-269AEC4F6AE9}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Сергей\AppData\Roaming\oursurfing\UninstallManager.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

>>> Подозрение на маскировку ключа реестра службы\драйвера "14306BBDA"

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- Подготовьте лог AdwCleaner и приложите его в теме.

17 января, 2017

подозреваю, что с этого письма скачала программу

подозреваю, что с этого письма скачала программу
Здравствуйте,

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432273940&z=64557c19ee5218bb76cd3abg8z9c5o0o0mcc9q7g8b&from=cmi&uid=WDCXWD5000AAKS-00A7B0_WD-WMASY304892948929
O22 - ScheduledTask: (Ready) Crossbrowse - {root} - C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe /rawdata='swenTq0/vNIVYbQ2IDaAIuUKAX1UI6b7laHBgR4ZAVMF38T4bP1g6cffVuVEfIR5/UO2JjGE1Tk5kIwaslePS2S5Zj8FFVF65Ub9NgvWC5s/eJyP/rR145JGQhNgXw75QASxv/34CjBmL7x/3REB8CFgOJ9seiAaOjqx7HZKJaKOJlJxzHbdN1UU2NWRmwAzni18LVv9vNx3M33KPDR3bJ9s0bUgp7DjbkLiI1oWbWs6zlH/ELysBsNS7A8JypQJ76JsqicGDL5u4irVc5im61BdW3dRu1F7Py+VuhyThYBiwaRN3jYRN8duk5A4u5kzpDnoyUynMN3uDpT+kgH1Uw==' (file missing)
HiJackThis не понятно что нажимать в нём. по одной ссылке "Do a system scan and save a logfile" а по второй ссылке "Do a system scan only" надо нажать. Пожалуйста, пришлите руководство поподробнее как им пользоваться чтобы не навредить системе.

17 января, 2017

Важно: Не прикладываете вредоносное ПО, только отправляйте по адресу newvirus@kaspersky.com

Само руководство ознакомьтесь по ссылке при нажатие на профиксить.

вирус no_more_ransom Olimpiada.Ignatieva@gmail.com

Рекомендуемые сообщения

Makar

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

Makar

Ссылка на комментарий

Поделиться на другие сайты

SQ

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum