Перейти к содержанию
Викторина о событиях клуба

Зашифрованы файлы no_more_ransom

xryger
 Share Подписчики 0

Рекомендуемые сообщения

xryger

xryger 0

Опубликовано
Опубликовано

Здравствуйте, пока не понятно, после каких действий все файлы на всех дисках зашифровались no_more_ransom . Просто на экране рабочего стола чёрный экран с надписью о зашифрованности файлов, что инструкцию можно прочитать в файлах txt README (они тоже расположены на каждом диске). Содержимое README: 

 

Baши файлы былu зaшuфрованы.
Чтoбы раcшифpoвaть ux, Baм необxодuмо omnрaвиmь koд:
CF1D8B98E71D045AFBA9|0
нa элеkmронный aдpeс Novikov.Vavila@gmail.com .
Дaлee вы пoлучuтe всe необxoдuмыe инcтрyкции.
Пoпыmku pacшифpoвать caмocтoятельно нe npиведyт ни к чему, kpомe бeзвoзвраmнoй потери информацuи.
Еcли вы вcё же xomuтe nоnытатьcя, mо nрeдвapитeльно cделaйте рeзeрвныe кonuu файлов, uначе в случaе иx uзмeнeния рacшuфровkа сmaнeт невoзмoжной нu npu kakиx условиях.
Если вы не получилu omвеmа по вышеyкaзaнному aдpеcу в meчение 48 чаcов (и толькo в этом cлучае!), воспользуйтеcь фоpмoй обpamнoй cвязи. Эmo можно сдeлаmь двумя спoсoбaмu:
1) Сkачайmе u yсmaнoвиme Tor Browser пo ссылке: https://www.torproject.org/download/download-easy.html.en
B aдpecной стpoke Tor Browser-а введuте адрeс:
u нaжмuтe Enter. 3аrpузится cтраницa c фoрмoй oбрamнoй связи.
2) B любом брaузеpе пepейдumе nо oднoму uз aдресoв:
 
Для дешифрвоки просят 10 тыс руб, что, мягко говоря, не совсем устраивает. Прикрепил логи. Благодарю за помощь.

CollectionLog-2017.03.13-01.01.zip

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 823

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога автологгера)  профиксить

O4 - HKCU\..\Run: [Zshchb] C:\Documents and Settings\Администратор\Application Data\Zshchb.exe
O4 - HKLM\..\Run: [CSRSS] "C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe"
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
O4 - HKLM\..\Run: [Windows Session Manager] "C:\Documents and Settings\All Users\Application Data\services\csrss.exe"
O24 - Desktop Component 0: (no name) - https://uld15.mycdn.me/image?t=3&bid=836909652193&id=836909652193&plc=WEB&tkn=*QrF4qtUmx5p5Fx0gPJhlklgo954

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Zshchb.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Zshchb.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\services\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zshchb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
 RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Aлексей Русецкий
      Вирус
      От Aлексей Русецкий
    • igorX
      Зашифрованные файлы WannaCry
      От igorX
      Ноут зашифровали.
      KRD прочистил, отчет в файле Kasper.
      Логи прилагаю.
      Помогите почистить до конца.
       
      PS: От WannaCry еще дешифровальщик не появился?
      CollectionLog-2017.07.03-17.49.zip
      kasper.txt
    • KоnsтантиH
      Дешифровщик no_more_ransom
      От KоnsтантиH
      Доброго дня, помогите пожалуйста расшифровать документы.
      Они у нас в единственном экземпляре.
      Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,
      комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"
      Документы очень важны, что нам дальше делать чтобы не потерять их ? 
      CollectionLog-2017.06.21-11.40.zip
    • terentev7
      Зашифрованы файлы (no_more_ransom)
      От terentev7
      Добрый день. В середине прошлой недели на компьютер проник вирус, который зашифровал все документы на компьютере. Файлы получили новые названия, оканчивающиеся на ".no_more_ransom". Можно ли как-то восстановить документы?
       
      Требования злоумышленников и логи в прикреплённых файлах. Пример зашифрованного фала не прикрепился.
      README10.txt
      CollectionLog-2017.05.02-09.31.zip
    • bnw
      Расшифровка файлов с расширением *.no_more_ransom
      От bnw
      Здравствуйте!
       
      Открыли письмо в почте от сбербанка, в итоге все файл зашифрованы с расширением *.no_more_ransom, на рабочем столе файл readme следующего содержания:
       
      Вирусы почистила с помощью Kasperky Rescue Disk 10.
      Как быть с зашифрованными файлами? 
      CollectionLog-2017.04.23-14.33.zip
×
×
  • Создать...