файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT
Изменено: Camper Oh - 07.03.2019 04:59:53

Ответы

Цитата
Сергей Колобов написал:
santy
а что за readme.txt, такого файла на рабочем столе невидел.
записка о выкупе.
систему сами чистили или на форумах? (на некоторых форумах удаляют readme*.txt при очистке системы)
так же проверьте в карантине антивируса. если был установлен на момент шифрования.
Вечерочка
тоже поймали шифровальщика *.NO_MORE_RANSOM
в 14:20 его запустили, в 14:24 выключили подозрительный процесс в диспетчере задач
скидываю файлы которые думаю помогут в подготовке дешифратора
у пользователя прав администратора не было
текстовые файлы с инструкцией лежали на сетевом диске M: , на локальных инструкции нету
Изменено: Ivan22 - 08.12.2016 14:12:30
Добрый день.
Поймали шифровщика no_more_ransom, нужна помощь

http://rgho.st/7RBzcqSff
Цитата
Ivan22 написал:
Вечерочка
тоже поймали шифровальщика *.NO_MORE_RANSOM
в 14:20 его запустили, в 14:24 выключили подозрительный процесс в диспетчере задач
скидываю файлы которые думаю помогут в подготовке дешифратора
у пользователя прав администратора не было
текстовые файлы с инструкцией лежали на сетевом диске M: , на локальных инструкции нету
по очистке системы выполните
(у вас файл шифратора еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 8 no_more_ransom

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\EAA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\70GY2GSO\0812[1].EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Цитата
Геннадий Сердечный написал:
Добрый день.
Поймали шифровщика no_more_ransom, нужна помощь

http://rgho.st/7RBzcqSff
Геннадий,
система уже очищена от файлов шифратора.

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Обратился пользователь EAV-0141483979

Имеем зашифрованные файлы в системе, анализ показал:
- вектор проникновения Мне не известен;
- пользователь работал под учетной записью типа "Администратор", с включенным по умолчанию UAC;
- версия защитного ПО - NOD32 Antivirus 8.0.319.1 при этом отключенный LiveGrid и отключенное обнаружение потенциально опасных приложений;
- шифрование началось 09.12.2016 в 17:21. Итого, за минусом откровенного хлама 165768 шифрованных файлов;
- в 20:52 обновилась антивирусная база до версии 14579 и в течении пары минут в карантин попали, в том числе из оперативной памяти: два разных по размеру "модифицированный Win32/Filecoder.ED", "NSIS/Injector.KN" и "NSIS/Injector.MQ".

Образ автозапуска прилагаю.
Николай,
этот образ уже смотрели здесь
https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332
Цитата
santy написал:
Николай,
этот образ уже смотрели здесь
https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332
Не понял, что значит уже смотрели?
Цитата
Мартынов Николай написал:
Цитата
 santy  написал:
Николай,
этот образ уже смотрели здесь
 https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332  
Не понял, что значит уже смотрели?
по ссылке был этот образ

Цитата
   WINCTRL-49LC454_2016-12-04_10-06-37.7z (654.63 КБ)
новый образ сейчас гляну

по очистке выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0

deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0\BH

; Java(TM) 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Ссылка на образ изначально была правильная и не менялась.

Скрипт выполнен, от старых проблем не осталось и следа, а новые еще не беспокоят, ну окромя зашифрованных файлов.
Читают тему (гостей: 5)