Шифровальщик .no_more_ransom

[Aleksey2501]

Добрый день!

Сегодня ко мне обратились за помощью - столкнулись с вирусом-шифровальщиком. Как назло, пользователь забыл ввести код активации в KIS. В результате, зашифрованы (случайное имя, расширение .no_more_ransom, медиафайлы - расширение .tyson) все офисные документы и архивы. Базы, не открытые в момент катастрофы, по-моему, тоже уничтожены. Диски засыпаны текстовыми файлами ридми.  Антивирус после активации первым делом уничтожил процесс csrss.exe в каталоге ProgramData\windows. Откуда запущен вирус, вложение из письма, сайт или что-то ещё.. сказать пока затрудняются.

 

upd. нашел письмо, по ссылке из которого загружен вирус. Замаскировано под предупреждение из ФНС, вложений нет, ссылки на "архив с документами" якобы с nalog.ru, но ведут на сторонние сайты.

README1.txt

CollectionLog-2017.02.02-12.12.zip

Изменено 2 февраля, 2017 пользователем Aleksey2501

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Aleksey2501]

просканировал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1917618576-28395371-2140963883-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-02-02 10:42 - 2017-02-02 10:42 - 05292054 _____ C:\Users\SP\AppData\Roaming\C78F9FB7C78F9FB7.bmp
2017-02-02 09:37 - 2017-02-02 11:03 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-02-02 09:37 - 2017-02-02 11:03 - 00000000 __SHD C:\ProgramData\Windows
2013-01-29 05:20 - 2013-01-29 05:20 - 0248008 _____ (Ask.com) C:\Users\SP\AppData\Local\Temp\AskSLib.dll
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Aleksey2501]

готово

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.