Перейти к содержанию

Прошу помощи с расшифровкой файлов .no_more_ransom


Рекомендуемые сообщения

Здравствуйте.

На рабочую почту пришло письмо якобы от Сбербанка со счетом.

Коллега не задумавшись запустил файл.

Много текстовых файлов зашифровались, до того как выключили комп.

 

Во вложении архив с отчетом из  Farbar Recovery Scan Tool 

 

Прошу помощи с расшифровкой файлов, если это возможно.

Спасибо

Desktop.rar

Изменено пользователем Kto-to88
Ссылка на комментарий
Поделиться на другие сайты

Во время работы Автологера ошибки были?

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 100000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 100000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
архив Report.7z из папки с AutoLogger пожалуйста прикрепите к своему сообщению.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-03-15 14:55 - 2017-03-15 14:55 - 00000000 __SHD C:\Users\Все пользователи\System32
2017-03-15 14:55 - 2017-03-15 14:55 - 00000000 __SHD C:\ProgramData\System32
2017-03-15 14:45 - 2017-03-15 15:19 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-03-15 14:45 - 2017-03-15 15:19 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Увы, помочь с расшифровкой не сможем.

 

Но, пожалуйста, для выяснения причин неверной работы утилит, ответьте:

в папке AutoLogger\HijackThis есть .log файлы?

  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Спасибо! Еще, пожалуйста, несколько движений:

 

1. Заархивируйте папку

C:\Windows\system32\tasks\
Прикрепите к сообщению.

 

2. Нажмите Win + R, введите regedit

нажмите ОК, перейдите к каждой из этих веток:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
нажмите по ним правой кнопкой мыши -> экспортировать.

Сохраните на рабочий стол. Оба файла заархивируйте и тоже прикрепите к сообщению.

  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gin
      От gin
      Добрый день! Просьба помочь расшифровать файлы
      логи FRST.zip записка.zip примеры файлов.zip
    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tkm
      От tkm
      Здравствуйте!
      Как было рекомендовано в разделе "Порядок оформления запроса о помощи" проверил ПК антивирусом, но скачать актуальную версию автоматического сборщика логов не дает McAffe (установлен был лет 5-6 назад). Удалял его обычными средствами, но видимо не получилось. 
      Пожалуйста подскажите, как решить проблему
    • Дмитрий71
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Сергей Комаров
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
×
×
  • Создать...