ransom.shade Шифровальщик no_more_ransom

[ctrlrut]

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем.

Здравствуйте, у меня та же самая ситуация. Один в один. Меня попросили помочь с такой же проблемой.

 

Соответственно следил за перепиской.

 

Я думаю что у на с один и тот же шифровальщик.

 

Вот что мне получилось выяснить:

 

В данной рассылке пришло письмо с вложением.- документ257.doc

 

В файле ссылка с анкором www.rostelecom.ru/335999028, но ссылка ведёт на [ссылка]

 

При переходе открывается пустой html документ с метатегом <meta http-equiv="refresh" content="2; [ссылка]

 

Соответственно он перезагружает страницу и предлагает скачать Schet.Rostelecom.zip

 

В zip файле -> Счет Ростелеком 17.02.2017 (исправленный).xls.js 

 

Это и есть шифратор.

 

прикрепляю zip со всем этим добром.

 

Так же в нём два файла с системы с которой я всё и узнал - один зашифрованный, а второй чистый этот же, так же файлы README1.txt.

 

По коду шифровальщик кажется себя удаляет, пока не разбирался.

 

Может всё таки получится что.

 

Спасибо.

 

 

 

Осторожно не запускайте, что скачаете ПО ССЫЛКАМ))) Пока браузеры на данные сайты не ругаются!

Изменено 17 февраля, 2017 пользователем Sandor
Убрал ссылки и файл

[Sandor]

@ctrlrut, здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи