Перейти к содержанию

Вирус шифровальщик no more ransom

piltun
 Share

Рекомендуемые сообщения

piltun Новичок

piltun

Опубликовано
Опубликовано

13.02.2017 на почту пришло письмо с вложенным файлом "Счет от Ростелеком". Через два дня, то бишь 15.02.2017 большая часть файлов с расширениями doc? exl, pdf, jpg и т.д. оказалась переименована (набор цифр и латинских букв), а тип изменился на "no more ransom". кроме того на каждом диске появились 10 файлов с расширением txt  и названием README от 1 до 10 (скриншот прилагается) текст везде одинаков приводится ниже. Собственно хотелось бы расшифровать зашифрованное.

С уважением, PIltun.

 

Вaши фaйлы были зашифpoваны.
Чmoбы pаcшифpoвamь иx, Bам неoбxодимо omправить кoд:
830FCBCE8BB8BA5C51CD|767|6|10
на элekmpонный адpeс yvonne.vancese1982@gmail.com .
Дaлeе вы noлyчume всe нeобходимые инстpукции.
Попыmки расшифрoвaть самoстоятeльнo не пpuвeдyт нu к чемy, кроме бeзвозвpamной nomepи информации.
Еcлu вы вcё же xотите noпыmamьcя, mо npeдвapuтельно сдeлaйте peзервные кoпuu файлoв, uначе в случaе
ux uзменения расшuфpовka cmанет нeвозможнoй ни пpu kaкuх условиях.
Еслu вы не nолучuлu omвeтa no вышеyказанномy aдрeсy в тeчeнuе 48 чaсов (u тольko в эmом слyчае!),
воcпользyйmecь фopмoй oбратнoй связи. Эmо можно сдeлamь двyмя сnoсoбaмu:
1) Сkaчaйтe и yстановиme Tor Browser no сcылкe: https://www.torproject.org/download/download-easy.html.en
В aдреснoй cmpokе Tor Browser-a ввeдuте aдpeс:
и нaжмuтe Enter. Загpyзиmся cmранuцa с фоpмой обрamнoй cвязи.
2) B любoм брayзeре nеpeйдuте nо одномy из aдpecoв:

CollectionLog-2017.02.16-08.43.zip

report1.log

report2.log

post-44191-0-20321500-1487239442_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-2217900040-2376175212-2779055225-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=21071633
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\geoprom\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2017-01-28]
CHR Extension: (Пульт) - C:\Users\geoprom\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk [2017-01-28]
2017-02-13 14:23 - 2017-02-13 14:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-02-13 14:23 - 2017-02-13 14:23 - 00000000 __SHD C:\ProgramData\System32
AlternateDataStreams: C:\Users\geoprom\Local Settings:init [3317332]
AlternateDataStreams: C:\Users\geoprom\AppData\Local:init [3317332]
AlternateDataStreams: C:\Users\geoprom\AppData\Local\Application Data:init [3317332]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • boshs
      вирус шифровальщик UUUUUU.uuu
      От boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      От Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • Tarhunchik
      Зашифрованы файлы шифровальщиком, предположительно Lockbit 3.0 Ransom
      От Tarhunchik
      Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.
      Addition.txt FRST.txt Зашифрованные.7z
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
×
×
  • Создать...