Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток.

Словили шифровальщика. 

Проверил систему Kaspersky Virus Removal Tool 2015, все что он нашел - удалил. Но при последующей проверке все же находит один вирус windows \ csrss.exe - он не удаляется.

Сейчас делается лог автоматическим сборщиком логов.
Скажите есть какая-то вероятность дешифровки?

Спасибо.

Изменено пользователем Tribian
Ссылка на сообщение
Поделиться на другие сайты

Лог в приложении


У меня нет лицензии, но могу приобрести. Гарантий естественно нет, что после покупки вы сможете расшифровать? Можно уточнить возможность расшифровки до покупки лицензии? Чтобы деньги не тратить если не сможете расшифровать.


Скажите пожалуйста что это за файлы? Они не опасны в дальнейшем? .tyson

CollectionLog-2017.01.22-21.43.zip

tyson.7z

Ссылка на сообщение
Поделиться на другие сайты

Вроде удалил вирус. Сделал еще один лог файл, проверьте пожалуйста что вируса нет.

По поводу расшифровки связался с организацией dr-shifro.ru они говорят 100% расшифровывают. Отпишусь по результатам.

Свежий лог в приложении 

CollectionLog-2017.01.23-14.14.zip

Ссылка на сообщение
Поделиться на другие сайты

В конторе по расшифровке озвучили цену в 58 тр. Утверждают, что удалось расшифровать. Смущает лишь то, что сначала деньги, а через ~2 часа дешефратор - доверия нет. Так что будем своими силами восстанавливать данные, благо базы 1С шифровальщик не смог испортить. 

Хорошая статья жаль только поздно прочитал её - https://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2139

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-01-21 20:37 - 2017-01-22 19:14 - 00000000 __SHD C:\Users\Все пользователи\services
2017-01-21 20:37 - 2017-01-22 19:14 - 00000000 __SHD C:\ProgramData\services
2017-01-21 20:36 - 2017-01-21 20:36 - 03888054 _____ C:\Users\Тинатин\AppData\Roaming\D7D5398FD7D5398F.bmp
2017-01-21 20:31 - 2017-01-21 20:31 - 06220854 _____ C:\Users\Бухгалтер\AppData\Roaming\2AC700A42AC700A4.bmp
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README9.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README8.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README7.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README6.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README5.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README4.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README3.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README2.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README10.txt
2017-01-21 20:31 - 2017-01-21 20:31 - 00004154 _____ C:\Users\Бухгалтер\Desktop\README1.txt
2017-01-17 19:10 - 2017-01-23 01:24 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-17 19:10 - 2017-01-23 01:24 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Следы вымогателя очищены.

 

Гарантий естественно нет, что после покупки вы сможете расшифровать?

Правильно, гарантии нет.

 

озвучили цену в 58 тр. Утверждают, что удалось расшифровать.

Скорее всего, очередные вымогатели.
Ссылка на сообщение
Поделиться на другие сайты

Следы вымогателя очищены.

 

Гарантий естественно нет, что после покупки вы сможете расшифровать?

Правильно, гарантии нет.

 

озвучили цену в 58 тр. Утверждают, что удалось расшифровать.

Скорее всего, очередные вымогатели.

 

Спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Rustem07
      От Rustem07
      как no more ransom расшифровать? Вирус зашифровал файлы 1С, word, excel У кого есть дешифратор?)

      Вaшu фaйлы былu зaшифpовaны.docx
    • piltun
      От piltun
      13.02.2017 на почту пришло письмо с вложенным файлом "Счет от Ростелеком". Через два дня, то бишь 15.02.2017 большая часть файлов с расширениями doc? exl, pdf, jpg и т.д. оказалась переименована (набор цифр и латинских букв), а тип изменился на "no more ransom". кроме того на каждом диске появились 10 файлов с расширением txt  и названием README от 1 до 10 (скриншот прилагается) текст везде одинаков приводится ниже. Собственно хотелось бы расшифровать зашифрованное.
      С уважением, PIltun.
       
      Вaши фaйлы были зашифpoваны. Чmoбы pаcшифpoвamь иx, Bам неoбxодимо omправить кoд: 830FCBCE8BB8BA5C51CD|767|6|10 на элekmpонный адpeс yvonne.vancese1982@gmail.com . Дaлeе вы noлyчume всe нeобходимые инстpукции. Попыmки расшифрoвaть самoстоятeльнo не пpuвeдyт нu к чемy, кроме бeзвозвpamной nomepи информации. Еcлu вы вcё же xотите noпыmamьcя, mо npeдвapuтельно сдeлaйте peзервные кoпuu файлoв, uначе в случaе ux uзменения расшuфpовka cmанет нeвозможнoй ни пpu kaкuх условиях. Еслu вы не nолучuлu omвeтa no вышеyказанномy aдрeсy в тeчeнuе 48 чaсов (u тольko в эmом слyчае!), воcпользyйmecь фopмoй oбратнoй связи. Эmо можно сдeлamь двyмя сnoсoбaмu: 1) Сkaчaйтe и yстановиme Tor Browser no сcылкe: https://www.torproject.org/download/download-easy.html.en В aдреснoй cmpokе Tor Browser-a ввeдuте aдpeс: http://cryptsen7fo43rr6.onion/ и нaжмuтe Enter. Загpyзиmся cmранuцa с фоpмой обрamнoй cвязи. 2) B любoм брayзeре nеpeйдuте nо одномy из aдpecoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2017.02.16-08.43.zip
      report1.log
      report2.log

    • KarMike
      От KarMike
      Поймали вирус no more ransom, но у меня есть копии почти всех моих файлов. Вируса прибили утилитой от Malwarebytes, потом проверил еще Farbar Recovery Scan Tool.
       
      Вопрос такой: помимо шифрования файлов, для некоторых (небольшой процент от общего числа) файлов doc,docx,zip,eml,pdf,ppt,jpg,mht,xls он создал измененные копии с дополнительным расширением .tyson.
       
      В и-нете ничего подобного не нашел.
      Подозреваю, что эти файлы как-то способны снова заражать компьютер.
       
      Файл от AVZ прилагаю.
      CollectionLog-2017.01.19-22.01.zip
    • MackMahon
      От MackMahon
      Добрый день!
       
      После вскрытия архива, присланного по почте, троянская программа зашифровала пользовательские файлы. В Readme файлах, оставленных программой текст:
      "Baшu фaйлы былu зашuфpoвaны.
      Чтoбы рaсшuфровaть иx, Baм нeoбхoдимо отnравuть kод:4798D540A7C3F6F6F496|0на электpонный aдрeс vladimirscherbinin1991@gmail.com .Дaлeе вы пoлyчuтe вce необxодимые инструkцuu.Поnытkи расшuфровать сaмоcmoяmeльнo нe прuвeдут нu к чeмy, кроме бeзвoзвpamнoй nоmери информациu.Если вы вcё же xоmите noпытaтьcя, тo пpeдвaриmельно сделайmе резервные koпuи фaйлoв, иначе в cлучаеuх uзменeнuя рacшифpовка cmанет нeвозможнoй ни nри kaкux ycловияx.Еcлu вы нe noлучилu оmвemа nо вышеykазaнномy aдреcу в mечeнue 48 чаcов (u moльko в эmoм случае!),восnoльзyйтесь фoрмoй обрaтной cвязи. Это можно cделаmь двумя сnоcобaмu:1) Скачайтe и уcmановuте Tor Browser nо ccылкe: https://www.torproject.org/download/download-easy.html.enВ адpеснoй строke Tor Browser-а введите aдрec:http://cryptsen7fo43rr6.onion/и нaжмuте Enter. Загpyзиmся cmрaницa с фopмoй обрamной связи.2) В любом бpaузepе nepeйдume no oднoмy из адpеcoв:http://cryptsen7fo43rr6.onion.to/http://cryptsen7fo43rr6.onion.cab/All the important files on your computer were encrypted.To decrypt the files you should send the following code:4798D540A7C3F6F6F496|0to e-mail address vladimirscherbinin1991@gmail.com .Then you will receive all necessary instructions.All the attempts of decryption by yourself will result only in irrevocable loss of your data.If you still want to try to decrypt them by yourself please make a backup at first becausethe decryption will become impossible in case of any changes inside the files.If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),use the feedback form. You can do it by two ways:1) Download Tor Browser from here:https://www.torproject.org/download/download-easy.html.enInstall it and type the following address into the address bar:http://cryptsen7fo43rr6.onion/Press Enter and then the page with feedback form will be loaded.2) Go to the one of the following addresses in any browser:http://cryptsen7fo43rr6.onion.to/http://cryptsen7fo43rr6.onion.cab/ Логи в приложении.
       
      Заранее благодарю!
       
      CollectionLog-2017.01.17-14.22.zip
    • StaGe7
      От StaGe7
      Добрый день...После того как переболел вирусом vault подхватил новенькое no more ransom 
      Так понимаю что шансов мало...Скажите как его остановить...и удалить....что бы вирус не пошёл в сеть и на сервер?
      установлен kaspersky endpoint security 10.. самое интересное что скрипт вырубил всю защиту каспера и я потерял комп в администрировании..Kaspersky Security Center..
       
×
×
  • Создать...