Шифровальщик no_more_ransom

[Желя Илич 0]

Поймал шифровальщика с расширение no_more_ransom. Есть ли шанс что получится расшифровать? 

Лог и примеры файлов прикрепил к теме сообщения. Спасибо!

CollectionLog-2017.03.23-15.47.zip

Desktop.rar

[regist 618]

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Деинсталируйте следующие программы:

CinemaxMe-version2.0 [2014/12/05 14:58:25]-->C:\Program Files\CinemaxMe-version2.0\Uninstall.exe /fcp=1
DealPly (remove only) [2013/06/26 13:46:33]-->"C:\Program Files\DealPly\uninst.exe" /uninstall
Dealply [2013/06/26 13:46:35]-->C:\Users\Светлана Юрьевна\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe /Uninstall
GamesDesktop 033.11 [20141205]-->"C:\Program Files\gmsd_ru_11\unins000.exe"
Lampy Lighty [2015/01/12 17:22:23]-->C:\Program Files\Lampy Lighty\LampyLightyuninstall.exe
Media+PlayerVidEd2.0 [2014/12/05 14:58:32]-->C:\Program Files\Media+PlayerVidEd2.0\Uninstall.exe /fcp=1
mystartsearch uninstall [2014/12/05 14:58:19]-->C:\Users\Светлана Юрьевна\AppData\Roaming\mystartsearch\UninstallManager.exe  -ptid=tugs
Reimage Repair [2015/03/17 13:23:27]-->C:\Program Files\Reimage\Reimage Repair\uninst.exe
TheBestDeals [2014/12/05 14:57:47]-->C:\Program Files\ver1TheBestDeals\Uninstall.exe
WindowsMangerProtect20.0.0.1277 [2014/12/05 14:58:48]-->C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -uninstall

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('Update Lampy Lighty', 4);
 SetServiceStart('Util Lampy Lighty', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('IePluginServices', 4);
 SetServiceStart('globalUpdatem', 4);
 SetServiceStart('dealplylive', 4);
 SetServiceStart('globalUpdate', 4);
 SetServiceStart('dealplylivem', 4);
 StopService('Update Lampy Lighty');
 StopService('Util Lampy Lighty');
 StopService('WindowsMangerProtect');
 StopService('IePluginServices');
 StopService('globalUpdatem');
 StopService('globalUpdate');
 StopService('dealplylivem');
 StopService('dealplylive');
 StopService('4F96D5C976A5B788');
 StopService('4F97FBB7961CC688');
 QuarantineFile('C:\Users\Светлана Юрьевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Светлана Юрьевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.url', '');
 QuarantineFile('C:\Users\Светлана Юрьевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.url', '');
 QuarantineFile('C:\Program Files\dealplylive\update\1.3.23.0\goopdate.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll', '');
 QuarantineFile('Update Lampy Lighty.sys', '');
 QuarantineFile('Util Lampy Lighty.sys', '');
 QuarantineFile('IePluginServices.sys', '');
 QuarantineFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe', '');
 QuarantineFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe', '');
 QuarantineFile('WindowsMangerProtect.sys', '');
 QuarantineFile('C:\Windows\TEMP\3AE2B9E.sys', '');
 QuarantineFile('C:\Windows\TEMP\5C0B50D.sys', '');
 QuarantineFile('C:\Program Files\Media+PlayerVidEd2.0\d2da6756-77d0-4d61-ba14-7a031ca4172e.exe', '');
 QuarantineFile('???????\AppData\Roaming\LSHLRGPF.exe', '');
 QuarantineFile('???????\AppData\Roaming\QAKOG.exe', '');
 QuarantineFile('c:\users\8185~1\appdata\local\temp\{2f3b6e2c-a6d6-4166-b685-286dc9363ab6}\{6af98601-cd0c-4817-99e8-eb09689890bf}.exe', '');
 QuarantineFile('C:\Users\Светлана Юрьевна\appdata\roaming\lshlrgpf.exe', '');
 QuarantineFileF('C:\Program Files\CinemaxMe-version2.0\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\globalUpdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Media+PlayerVidEd2.0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\dealplylive\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe', '32');
 DeleteFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe', '32');
 DeleteFile('IePluginServices.sys', '32');
 DeleteFile('Util Lampy Lighty.sys', '32');
 DeleteFile('Update Lampy Lighty.sys', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-1.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-11.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-2.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-4.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-5.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-6.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-7.job', '32');
 DeleteFile('C:\Windows\Tasks\8e11045b-3dfd-4522-a881-764a57cd8e98.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-1.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-10_user.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-11.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-2.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-3.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-4.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-5.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-6.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-7.job', '32');
 DeleteFile('C:\Windows\Tasks\Dealply.job', '32');
 DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Windows\Tasks\TheBestDeals Update.job', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '32');
 DeleteFile('C:\Program Files\dealplylive\update\1.3.23.0\goopdate.dll', '32');
 DeleteFile('C:\Windows\Tasks\d2da6756-77d0-4d61-ba14-7a031ca4172e.job', '32');
 DeleteFile('C:\Windows\Tasks\LSHLRGPF.job', '32');
 DeleteFile('C:\Windows\Tasks\QAKOG.job', '32');
 DeleteFile('WindowsMangerProtect.sys', '32');
 DeleteFile('C:\Program Files\Media+PlayerVidEd2.0\d2da6756-77d0-4d61-ba14-7a031ca4172e.exe', '32');
 DeleteFile('???????\AppData\Roaming\LSHLRGPF.exe', '32');
 DeleteFile('???????\AppData\Roaming\QAKOG.exe', '32');
 DeleteFile('c:\users\8185~1\appdata\local\temp\{2f3b6e2c-a6d6-4166-b685-286dc9363ab6}\{6af98601-cd0c-4817-99e8-eb09689890bf}.exe', '32');
 DeleteFile('C:\Users\Светлана Юрьевна\appdata\roaming\lshlrgpf.exe', '32');
 DeleteService('Update Lampy Lighty');
 DeleteService('Util Lampy Lighty');
 DeleteService('IePluginServices');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 DeleteService('dealplylivem');
 DeleteService('dealplylive');
 DeleteService('WindowsMangerProtect');
 DeleteFileMask('C:\Program Files\CinemaxMe-version2.0\', '*', true);
 DeleteFileMask('C:\Program Files\globalUpdate', '*', true);
 DeleteFileMask('C:\Program Files\Media+PlayerVidEd2.0', '*', true);
 DeleteFileMask('C:\Program Files\dealplylive\', '*', true);
 DeleteDirectory('C:\Program Files\CinemaxMe-version2.0\');
 DeleteDirectory('C:\Program Files\globalUpdate');
 DeleteDirectory('C:\Program Files\Media+PlayerVidEd2.0');
 DeleteDirectory('C:\Program Files\dealplylive\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Badoo Desktop');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
4) - Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5)  - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.


6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

7)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.