расшифровка no_more_ransom

29 марта, 2017

Вчера через почту запустили шифровальщик.

Стоит Аваст. Он среагировал, но поздно. Много зашифровал.

В 10-ти сопроводительных файлах в корнях диска сообщения:

Baшu файлы былu зaшифpoваны.

Чтoбы рacшифpовamь ux, Bам нeобxодuмo omправить koд:

8C5C197FCCE4240F8B70|728|6|40

на элeкmрoнный адрес lukyan.sazonov26@gmail.com .

Далеe вы полyчume вcе необходимые uнсmрукцuи.

Пonыткu paсшифpовamь самосmояmельно не nриведym ни к чемy, кpоме безвозвраmнoй пoтepи информацuu.

Ecлu вы вcё жe xоmиmе nопыmamьcя, то nрeдваpиmeльнo cделайтe рeзepвные кonuu фaйлoв, uначе в cлyчae

ux uзменeнuя рaсшифpoвка cтанeт невозмoжнoй ни прu kакиx ycлoвuях.

Eсли вы не пoлучилu оmвema по вышeукaзaннoмy адpeсу в meчeниe 48 часов (u только в эmoм cлyчaе!),

вoспoльзyйmecь фoрмой обрamной связu. Эmo можнo cдeлamь двумя cпoсобамu:

1) Сkачайтe u ycтaновитe Tor Browser по сcылкe: https://www.torproject.org/download/download-easy.html.en

B aдpecнoй cmроke Tor Browser-а введиmе адреc:

http://cryptsen7fo43rr6.onion/

и нaжмиmе Enter. 3arрузится сmpaнuца c фopмой oбpamнoй связu.

2) В любом брaузеpе nеpeйдumе nо одному uз адресoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

Аваст тела трояна убил. Потом чистил KRD, еще 8 разных вирей ушло.

В папке, где было тело трояна остался файл с именем xfs с текстовыми именами зашифрованных файлов и какими-то шестнадцатеричными записями (числа в 16 знаков). Файл большой (под 4 мега), поэтому приложу по запросу.

Нагуглил, что вроде как данный шифровальщик не расколот еще. Вроде там на каждый эпизод свой уникальный ключ идет. Но может что-то уже можно сделать?

FRST.txt

Addition.txt

Shortcut.txt

29 марта, 2017

Порядок оформления запроса о помощи

29 марта, 2017

Добавил еще логи.

Вроде в соседней теме FRST требовали.

CollectionLog-2017.03.29-16.14.zip

29 марта, 2017

Здравствуйте!

1) Вычистите систему от остатков McAfee.

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\system32\a2f0cf1e.exe', '');
 DeleteFile('C:\WINDOWS\system32\a2f0cf1e.exe', '32');
 DeleteService('McComponentHostService');
 DelBHO('{2318C2B1-4965-11d4-9B18-009027A5CD4F}');
 DelBHO('{AA58ED58-01DD-4d91-8333-CF10577473F7}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NIRegistrationWizard');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Regedit32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 29 марта, 2017 пользователем regist

29 марта, 2017

карантин [KLAN-6032806736]

В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. -- Это забыл, сделал без удерживания.

CollectionLog-2017.03.29-18.02.zip

ClearLNK-29.03.2017_17-40.log

29 марта, 2017

В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. -- Это забыл, сделал без удерживания.

Не проблема, не обязательно.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Documents and Settings\1\Application Data\Sasoq', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Documents and Settings\1\Application Data\Sasoq', '*', true);
 DeleteDirectory('C:\Documents and Settings\1\Application Data\Sasoq');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '{68610FAA-BA31-AD7C-40C2-ED41588ACE53}');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

30 марта, 2017

Отключение всех экранов Аваста считается за выгрузку антивируса?

30 марта, 2017

Отключение всех экранов Аваста считается за выгрузку антивируса?

Да.

30 марта, 2017

Новые логи.

CollectionLog-2017.03.30-12.55.zip

30 марта, 2017

C лечением на этом всё. С расшировкой не поможем.

Только просьба далеко из темы не исчезать, там у вас Хиджаком ошибка (если запустите его отдельно на скан) то и сами её заметите . Может понадобится, что-нибудь перепроверить.

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

30 марта, 2017

Комп не домашний. Не раньше понедельника наверное там буду.

3 апреля, 2017

+ папку

C:\Windows\Tasks

заархивируйте и прикрепите.

+ в командной строке введите

wmic process 2>&1 > %userprofile%\desktop\wmi.log

с рабочего стола лог wmi.log прикрепите.

Изменено 4 апреля, 2017 пользователем regist

расшифровка no_more_ransom

Рекомендуемые сообщения

igorX

regist

igorX

regist

igorX

regist

igorX

regist

igorX

regist

igorX

regist

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum