Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Дешифровщик no_more_ransom

KоnsтантиH
 Поделиться

Рекомендуемые сообщения

KоnsтантиH

KоnsтантиH

Опубликовано
Опубликовано

Доброго дня, помогите пожалуйста расшифровать документы.

Они у нас в единственном экземпляре.

Пришло письмо якобы от сбербанка, а нам в ближайший месяц как раз менять зарплатные карты надо, открыли ссылку и вот тут началось самое интересное,

комп затупил на 2 минуты, после чего все хорошо открывалось еще минут 15, потом все файлы стали вида: "НАБОРСИМВОЛОВ.no_more_ransom"

Документы очень важны, что нам дальше делать чтобы не потерять их ? 

CollectionLog-2017.06.21-11.40.zip

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Сразу предупрежу, что расшифровки для этого типа вымогателя пока нет. Будет только очистка.

 

Антивирус Касперского 6.0 для Windows Workstations

Версия очень устаревшая, в которой отсутствует защита от шифрования. К тому же она снята с поддержки и не обновляется. В актуальных версиях (KES10) такая защита есть.

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Гл.Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YY61I5PK', '');
 QuarantineFile('C:\Users\Гл.Бухгалтер\AppData\Local\Temp\wz254c\Setup_Forecast.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{D70085B1-E54A-4613-93CA-6FA0EEDF369A}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Гл.Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YY61I5PK', '32');
 DeleteFile('C:\Users\Гл.Бухгалтер\AppData\Local\Temp\wz254c\Setup_Forecast.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
KоnsтантиH

KоnsтантиH

Опубликовано
  • Автор
Опубликовано

Спасибо, понял что расшифровки не будет, уже прочитал на форуме у людей,

комп почистил разными утилитами, создал нового пользователя в домене и убрал все права администратора на компе у этого пользователя....

 

Скажите, будет ли когда-нибудь дешифратор создаваться ВАМИ, хотя бы в ближайшие 2-3 месяца ??

стоит ли хранить профиль пользователя с зашифрованными файлами ??

Sandor

Sandor

Опубликовано
Опубликовано

Мы - не сотрудники ЛК. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Но предварительно все же выполните рекомендации из предыдущего моего сообщения.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • spektr_07
      Зашифрованные файлы фотографий (*.xtbl)
      Автор spektr_07
      На каждом логическом диске появились файлы readme.txt со следующим текстом:
      --------------------------------------------------------------------------------------------------------------
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      6516BEF6E6B0A56B37AA|0
      на электронный адрес files1147@gmail.com или post100023@gmail.com .
      Далее вы получите все необходимые инструкции. 
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      -------------------------------------------------------------------------------------------------------------- Все файлы картинок на компе переименованы, теперь имеют расширение *.xtbl и не открываются. Помогите, пожалуйста - там все мои фотки за последние несколько лет... Файл с логами прилагается.
    • bigfoot
      на работе зашифровали файлы на компьютере
      Автор bigfoot
      Здравствуйте! Та же проблема, на работе зашифровали файлы на компьютере. Сдуру работник переустановил Windows. Имеется только жесткий диск со всей важной информацией. Злоумышленники оставили следующее сообщение: 
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 56FF965A3F714FC47523|0 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 56FF965A3F714FC47523|0 to e-mail address post8881@gmail.com or post24932@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    • Umid Nazarov
      Ваши файлы были зашифрованы.
      Автор Umid Nazarov
      Сегодня, объявилась такая проблема на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbt
       
      Как избежать этой проблемы ? помогите пожалуйста ))
      CollectionLog-2015.06.29-02.19.zip
    • alllexxx5
      Зашифровались файлы фото видео (*.xtbl)
      Автор alllexxx5
      В ноутбуке зашифровались файлы фото на рабстоле и на соседнем локальном диске. На рабстоле появилась надпись на чёрном фоне красными буквами " Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах readmy.txt и т.д. ...". Можно ли расшифровать фото? Лог AutoLogger прилагаю. Спасибо.
      CollectionLog-2015.06.28-05.05.zip
    • cba
      Зашифрованные фалы .xtbl; требуется очистка мусора
      Автор cba
      Добрый день, зашифровались файлы. расшифровка не требуется, резервное копирование было сделано вовремя, однако почистить комп хотелось бы.

      Перед написанием темы сделал 2 прохода KVRT. 

      И ещё вопросы глупого юзера : Зашифрованные файлы удалять вручную? что мне с ними делать?  реинстал винды? формат?

      логи прикрепил
      CollectionLog-2015.06.29-12.06.zip
×
×
  • Создать...