файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT
Изменено: Camper Oh - 07.03.2019 04:59:53

Ответы

файл образа автозапуска системы
@Nick Djekovich
по очистке системы выполните,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\LENOVO\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex D:\IQIYI VIDEO\LSTYLE

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217

delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\UNITY\WEBPLAYER

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
А если нет наличия лицензии, файлы никак не вернуть?
Цитата
Nick Djekovich написал:
А если нет наличия лицензии, файлы никак не вернуть?
вирлаб в данном случае не гарантирует вам моментальную расшифровку, но будет проводить работу по поиску решения,
без лицензии придется идти на поклон к посредникам, которые запросят у вас примерно столько же, сколько и сами мошенники за расшифровку файлов.
Проще переустановить windows? И просто скопировать важные файлы до лучших времен когда появится дешифратор?
если система в рабочем состоянии, то необходимости в переустановки нет, возможно какие то программы придется переустановить.
в остальном уже все сказано в первом сообщении.

Цитата
сохраните документы из важных папок на отдельный носитель.

и да, ждите, когда появится дешифратор для no_more_ransom
Добрый день
07.12.2016 поймали шифровальщик.
файл образа автозапуска системы прикреплен.
антивирус Eset Smart Security лицензия до 16.11.2017.
Сергей,
добавьте несколько зашифрованных документов+readme*.txt в архиве на форум.
santy
а что за readme.txt, такого файла на рабочем столе невидел.
Сергей Колобов

readme.txt - это файл содержащий требования вымогателей.
примерно следующего содержания:

заставка на рабочем столе:
Цитата
   
"Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы, подробности вы можете прочитать в файлах README.txt на любом из дисков."  

Текст файла:  
Цитата
 "Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
на электронный адрес decode****@*****.com или decode*****@*****.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."  
Изменено: RP55 RP55 - 08.12.2016 00:09:51
Читают тему (гостей: 2)