Перейти к содержанию

шифровальщик no_more_ransom

Max0n
 Поделиться

Рекомендуемые сообщения

Max0n

Max0n

Опубликовано
Опубликовано

Добрый день !

 

Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js 

После запуска файла вирус начал переименовывать файлы по следующему образцу: 

XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom

 

Процесс был прерван, но часть файлов вирус успел переименовать. 

Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено).  

 

Во вложении архив с зашифрованными файлами и логи проверки AutoLogger

 

Возможно ли восстановить зашифрованные файлы ? 

CollectionLog-2017.05.12-12.42.zip

зашифрованные файлы.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Возможно ли восстановить зашифрованные файлы ?

Увы - нет.

 

Для проверки и очистки возможных следов дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Повезло. Обычно он теневые копии удаляет.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://i.search.metacrawler.com/?f=1&a=ironmc2&cd=2XzuyEtN2Y1L1QzuzyyE0D0EzztDtCtCtD0D0CtCtC0EtA0FtN0D0Tzu0CyCtCtBtN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1110340088&ir=
2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-11 12:01 - 2017-05-12 10:07 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • beg3mot
      Прошу помощи в расшифровке.
      Автор beg3mot
      Здравствуйте.

      Помогите пожалуйста расшифровать файлы.

      Обстоятельства заражения достоверно выяснить не удалось.

      На момент заражения антивирусных продуктов Касперского установлено не было.

      Действующая коммерческая лицензия имеется.

      Перед сбором логов компьютер был пролечен KVRT. Помимо шифровальщика обнаружилась еще и орда троянов.

      Прилагаю необходимые файлы.

      CollectionLog-2017.06.06-15.09.zip
    • gelena108
      Вирус no_more_ransom зашифровал файлы
      Автор gelena108
      У меня такая же проблема: тот же вирус зашифровал файлы. Мне нужно провести те же операции, которые здесь указаны?
    • zxmishazx
      CRYPTED000007 расшифровка файлов
      Автор zxmishazx
      Помогите расшифровать файлы примерно 90 % инфы пк перекодировалось в формат .CRYPTED000007 или CRYPTED0000078 
      как вернуть исходники примеры имён файлов zUCJJBqxKidXyEpLqnEJt5EsQdgwrJ3e5x89qyf2wT0=.C4CC5080112AC5B1FD9D.crypted000007
      GPnmjnzJRtX7aCFoMoVRiQ==.C4CC5080112AC5B1FD9D.crypted000007
    • scidrov
      Расшифровка файлов
      Автор scidrov
      Добрый день!
       
      Зашифровались файлы, формат: better_call_saul. 
      Когда именно не помню, заметил только сейчас. 
      WinRAR archive.RAR
    • real.79
      шифровальщик
      Автор real.79
      Вaши фaйлы былu зaшuфрованы. Чmобы рacшифpoваmь ux, Вaм неoбхoдuмо oтпpавить koд: 99EED036159E4525DFF2|0 на элеkтpoнный адpeс pilotpilot088@gmail.com . Дaлeе вы noлучиme всe нeoбхoдимыe uнсmрукциu. Пoпыmkи paсшифровamь сaмoсmoяmeльнo не пpuвeдут ни k чeмy, крoмe безвозвpaтной nomери инфоpмацuu. Еcлu вы вcё же xomитe пonытатьcя, то предваpumельно cделaйтe резepвныe kоnии фaйлoв, uнaчe в случаe иx измeнения расшифpовkа сmaнеm нeвoзможной нu nри каkuх yслoвuях. Еcлu вы нe пoлучили оmвеmа nо вышеyказaнномy адpecу в meчение 48 чаcoв (и тольkо в эmом слyчaе!), воспользyйmecь фopмой обрaтнoй cвязu. Эmо мoжно cдeлаmь двyмя cпocoбaми: 1) Cкачaйте и ycmановиmе Tor Browser по ссылke: https://www.torproject.org/download/download-easy.html.en B адpеcнoй сmрoке Tor Browser-a введuте aдpеc: http://cryptsen7fo43rr6.onion/ и нaжмите Enter. 3аrрyзumся странuца с формой oбраmной cвязu. 2) B любом бpаузеpe neрейдиmе пo oднoму uз адреcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/   Что делать, антивирус был аваст
      no_more_ransom расширение, загрузка файл на сайт не возможно
×
×
  • Создать...