шифровальщик no_more_ransom

[Max0n]

Добрый день !

 

Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js 

После запуска файла вирус начал переименовывать файлы по следующему образцу: 

XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom

 

Процесс был прерван, но часть файлов вирус успел переименовать. 

Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено).  

 

Во вложении архив с зашифрованными файлами и логи проверки AutoLogger

 

Возможно ли восстановить зашифрованные файлы ? 

CollectionLog-2017.05.12-12.42.zip

зашифрованные файлы.zip

[Sandor]

Здравствуйте!

 

Возможно ли восстановить зашифрованные файлы ?

Увы - нет.

 

Для проверки и очистки возможных следов дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Max0n]

Удалось спасти копии файлов с помощью ShadowExplorer-0.9-portable

 

Файлы с отчетами во вложении.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Повезло. Обычно он теневые копии удаляет.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://i.search.metacrawler.com/?f=1&a=ironmc2&cd=2XzuyEtN2Y1L1QzuzyyE0D0EzztDtCtCtD0D0CtCtC0EtA0FtN0D0Tzu0CyCtCtBtN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1110340088&ir=
  2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\ProgramData\Windows
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.