Зашифрованы файлы no_more_ransom

[xryger]

Здравствуйте, пока не понятно, после каких действий все файлы на всех дисках зашифровались no_more_ransom . Просто на экране рабочего стола чёрный экран с надписью о зашифрованности файлов, что инструкцию можно прочитать в файлах txt README (они тоже расположены на каждом диске). Содержимое README: 

 

Baши файлы былu зaшuфрованы.

Чтoбы раcшифpoвaть ux, Baм необxодuмо omnрaвиmь koд:

CF1D8B98E71D045AFBA9|0

нa элеkmронный aдpeс Novikov.Vavila@gmail.com .

Дaлee вы пoлучuтe всe необxoдuмыe инcтрyкции.

Пoпыmku pacшифpoвать caмocтoятельно нe npиведyт ни к чему, kpомe бeзвoзвраmнoй потери информацuи.

Еcли вы вcё же xomuтe nоnытатьcя, mо nрeдвapитeльно cделaйте рeзeрвныe кonuu файлов, uначе в случaе иx uзмeнeния рacшuфровkа сmaнeт невoзмoжной нu npu kakиx условиях.

Если вы не получилu omвеmа по вышеyкaзaнному aдpеcу в meчение 48 чаcов (и толькo в этом cлучае!), воспользуйтеcь фоpмoй обpamнoй cвязи. Эmo можно сдeлаmь двумя спoсoбaмu:

1) Сkачайmе u yсmaнoвиme Tor Browser пo ссылке: https://www.torproject.org/download/download-easy.html.en

B aдpecной стpoke Tor Browser-а введuте адрeс:

http://cryptsen7fo43rr6.onion/

u нaжмuтe Enter. 3аrpузится cтраницa c фoрмoй oбрamнoй связи.

2) B любом брaузеpе пepейдumе nо oднoму uз aдресoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Для дешифрвоки просят 10 тыс руб, что, мягко говоря, не совсем устраивает. Прикрепил логи. Благодарю за помощь.

CollectionLog-2017.03.13-01.01.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога автологгера)  профиксить

O4 - HKCU\..\Run: [Zshchb] C:\Documents and Settings\Администратор\Application Data\Zshchb.exe
O4 - HKLM\..\Run: [CSRSS] "C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe"
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
O4 - HKLM\..\Run: [Windows Session Manager] "C:\Documents and Settings\All Users\Application Data\services\csrss.exe"
O24 - Desktop Component 0: (no name) - https://uld15.mycdn.me/image?t=3&bid=836909652193&id=836909652193&plc=WEB&tkn=*QrF4qtUmx5p5Fx0gPJhlklgo954

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Zshchb.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Zshchb.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zshchb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
 RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.