ransom.shade Зашифрованы файлы вирус шифровальщик no_more_ransom

[Aleks5517]

Требуется помощь в расшифровке файлов 

 

Baши фaйлы былu зашифрованы.

Чтобы раcшuфровamь ux, Вам нeoбхoдuмo отnрaвить koд:

E0C6357D2D835933BA6D|0

нa элеkmpoнный адрec Novikov.Vavila@gmail.com .

Далeе вы полyчиmе все необxoдимыe uнcmpyкцuи.

Попытku рacшифpoвaть сaмocmояmельно не прuведуm нu k чемy, kpoмe безвозвpamной пomери инфoрмацuи.

Еcлu вы вcё жe хomиme nonыmaтьcя, mо nредвapuтeльнo cдeлaйme peзeрвныe kоnиu фaйлов, uначe в cлучaе

их измененuя рaсшuфpовка cтанеm невозмoжной ни nрu kакиx условияx.

Еcлu вы не noлучилu отвeта no вышeуkaзaннoмy адреcy в тeчение 48 часoв (и mольko в эmoм cлyчае!),

вoсnoльзуйтeсь формoй обраmнoй связu. Эmo мoжно сдeлать двyмя сnoсoбами:

1) Сkачaйте u уcmанoвиmе Tor Browser nо ccылкe: https://www.torproject.org/download/download-easy.html.en

B aдpecнoй стрoке Tor Browser-a ввeдиme адpеc:

http://cryptsen7fo43rr6.onion/

и нaжмиme Enter. 3агрузuтcя стpaнuцa с фоpмoй обpamнoй связи.

2) В любом бpayзере nерейдuте пo одномy из aдpеcов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

E0C6357D2D835933BA6D|0

to e-mail address Novikov.Vavila@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

If you still want to try to decrypt them by yourself please make a backup at first because

the decryption will become impossible in case of any changes inside the files.

If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),

use the feedback form. You can do it by two ways:

1) Download Tor Browser from here:

https://www.torproject.org/download/download-easy.html.en

Install it and type the following address into the address bar:

http://cryptsen7fo43rr6.onion/

Press Enter and then the page with feedback form will be loaded.

2) Go to the one of the following addresses in any browser:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2017.02.26-21.25.zip

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Приложите логи FRST
 

и 
AdwCleaner
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[Aleks5517]

Вот все отчеты

Addition.txt

AdwCleanerS0.txt

FRST.txt

ClearLNK-27.02.2017_10-46.log

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2. Повторите сканирование и прикрепите оба свежих лога FRST.

[Aleks5517]

Немножко накасячил забыл в первый раз галки поставить поэтом 2 версии отчета 

Addition.txt

AdwCleanerC0.txt

AdwCleanerC2.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\em148ono.default -> @Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\em148ono.default -> hxxp://go.mail.ru/?ffverfix=1&fr=ffverfix_sg
FF Keyword.URL: Mozilla\Firefox\Profiles\em148ono.default -> hxxp://go.mail.ru/search?fr=ntg&q=
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
2017-02-17 09:24 - 2017-02-24 14:21 - 00000000 ____D C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2017-02-26 21:12 - 2017-02-22 01:56 - 4096728 _____ (Mail.Ru) C:\Users\User\AppData\Local\Temp\mrutmp.exe
Task: {BA7085BC-51BA-4247-AE0C-FE9C6AF53CD7} - System32\Tasks\MailRuUpdateTask => C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe 
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Aleks5517]

Вот

Fixlog.txt

[Sandor]

С расшифровкой помочь не сможем.

[Aleks5517]

А какие ни будь вариации есть !

Или стоит ждать ?

[Sandor]

Следите здесь: https://www.nomoreransom.org/

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Aleks5517]

Сделал 

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 11 v.11.0.64630 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.2.2.25 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 36.0.1 (x86 ru) v.36.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Google Chrome v.11.0.696.71 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------

Html5 geolocation provider v.3.5.4.872 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Update for Html5 geolocation provider v.3.5.8.884 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Aleks5517]

Все сделал спасибо ! 

А по времени не известно сколько ждать ? 

[Sandor]

К сожалению, нет, не известно.

[Aleks5517]

Спасибо!