Дешифровщик no_more_ransom

21 июня, 2017

Доброго дня, помогите пожалуйста расшифровать документы.

Они у нас в единственном экземпляре.

Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,

комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"

Документы очень важны, что нам дальше делать чтобы не потерять их ?

CollectionLog-2017.06.21-11.40.zip

21 июня, 2017

Здравствуйте!

Сразу предупрежу, что расшифровки для этого типа вымогателя пока нет. Будет только очистка.

Антивирус Касперского 6.0 для Windows Workstations

Версия очень устаревшая, в которой отсутствует защита от шифрования. К тому же она снята с поддержки и не обновляется. В актуальных версиях (KES10) такая защита есть.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Гл.Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YY61I5PK', '');
 QuarantineFile('C:\Users\Гл.Бухгалтер\AppData\Local\Temp\wz254c\Setup_Forecast.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{D70085B1-E54A-4613-93CA-6FA0EEDF369A}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Гл.Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YY61I5PK', '32');
 DeleteFile('C:\Users\Гл.Бухгалтер\AppData\Local\Temp\wz254c\Setup_Forecast.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 22 июня, 2017 пользователем Sandor

23 июня, 2017

Спасибо, понял что расшифровки не будет, уже прочитал на форуме у людей,

комп почистил разными утилитами, создал нового пользователя в домене и убрал все права администратора на компе у этого пользователя....

Скажите, будет ли когда-нибудь дешифратор создаваться ВАМИ, хотя бы в ближайшие 2-3 месяца ??

стоит ли хранить профиль пользователя с зашифрованными файлами ??

23 июня, 2017

Мы - не сотрудники ЛК. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Но предварительно все же выполните рекомендации из предыдущего моего сообщения.

25 июня, 2017

спасибо...

Дешифровщик no_more_ransom

Рекомендуемые сообщения

KоnsтантиH

Sandor

KоnsтантиH

Sandor

KоnsтантиH

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum