Зашифрованы файлы (no_more_ransom)

[terentev7 0]

Добрый день. В середине прошлой недели на компьютер проник вирус, который зашифровал все документы на компьютере. Файлы получили новые названия, оканчивающиеся на ".no_more_ransom". Можно ли как-то восстановить документы?

 

Требования злоумышленников и логи в прикреплённых файлах. Пример зашифрованного фала не прикрепился.

README10.txt

CollectionLog-2017.05.02-09.31.zip

[regist 617]

Здравствуйте!

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('D:\Users\Alexey\AppData\Roaming\System\libs\svchost.exe');
 TerminateProcessByName('D:\Users\Alexey\AppData\Roaming\System\svchost.exe');
 QuarantineFile('D:\Users\Alexey\AppData\Roaming\System\libs\svchost.exe', '');
 QuarantineFile('D:\Users\Alexey\AppData\Roaming\System\svchost.exe', '');
 QuarantineFileF('D:\Users\Alexey\AppData\Roaming\System\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('D:\Users\Alexey\AppData\Roaming\System\libs\svchost.exe', '32');
 DeleteFile('D:\Users\Alexey\AppData\Roaming\System\svchost.exe', '32');
 DeleteService('clr_optimization_v1.03');
 DeleteFileMask('D:\Users\Alexey\AppData\Roaming\System\', '*', true);
 DeleteDirectory('D:\Users\Alexey\AppData\Roaming\System\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

3) "Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\513B223DFD8D537000E7A2BAF751FD05 - webalta Search - http://webalta.ru/search?q={searchTerms}&from=IE
O3 - Toolbar: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4 - MSConfig\startupreg: [BNM Updater] D:\Users\Alexey\AppData\Local\Beeline Network Manager\updater\chp.exe cmd.exe /c ""D:\Users\Alexey\AppData\Local\Beeline Network Manager\updater\bash-run.bat" "beeline-wizard-updater"" (file missing) (HKLM) (2017/03/05)
O4 - MSConfig\startupreg: [DivXMediaServer] D:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2014/02/23)
O4 - MSConfig\startupreg: [Nvtmru] D:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe  (file missing) (HKLM) (2014/09/06)
O4 - MSConfig\startupreg: [Praetorian] D:\Users\Alexey\AppData\Local\Yandex\Updater\praetorian.exe  (file missing) (HKCU) (2015/03/22)
O22 - Task (Ready): {4C429EBC-29F4-4CF2-B5C6-CAA7198B6F85} - D:\torrents\AIMAll_10_05_04\aimall_10_05_04_win_install.exe (file missing)
O22 - Task (Ready): {8AAC6B40-C56E-4246-A8ED-9C88B7370F6E} - D:\Program Files\BlackIsle\Fallout2\fallout2.exe (file missing)
O22 - Task (Ready): {F2E943B6-936D-4A3E-8B5B-1011698FD655} - D:\Program Files (x86)\Sid Meiers Civilization V\CivilizationV_DX11.exe (file missing)

 

4) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

5)

Ace Stream Media 3.1.2 [2016/03/06 16:35:05]-->D:\Users\Alexey\AppData\Roaming\ACEStream\Uninstall.exe

деинсталируйте и удалите из браузера расширение Extension mfhnkgpdlogbknkhlgdjlejeljbhflim 1 AS Magic Player 1.0.3

Orbitum [20161230]-->"D:\Users\Alexey\AppData\Local\Orbitum\Application\48.0.2564.98\Installer\setup.exe" --uninstall

У вас установлен, используется? Или уже удалён? В любом случае советую удалить, это потенциальное нежелательная программа.

6) Программы/расширения от Mail.ru используете?

 

7)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.