Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
 
Camper Oh
Camper Oh
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 29.11.2016
Размещено 29.11.2016 03:21:13
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 33 34 35 36 37 ... 41 След.
 
Игорь Пасс
Игорь Пасс
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 10.02.2019
Размещено 10.02.2019 17:29:18
Добрый день. Кто-нибудь пробовал оплачивать вымогателям расшифровку? Не кинут ли?

Соседи по зданию поймали шифровальщика, Я так понимаю разновидность Shade, прописался в виде csrss.exe в папке пользователя. Моё мнение "не платить", но есть документы которые вкрай необходимы для работы. Злоумышленики утверждают что вышлют дешифратор если оплатить, в качестве подтверждения расшифровали один файл. Меня терзают сомнения имея тело вируса, зашифрованые файлы и дешифратор нельзя ли вывести лекарство от заразы. Может у них и есть дешифратор но это просто замануха чтобы вынудить человека платить.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.02.2019 17:54:25
@Игорь Пасс,
сделайте образ автозапуска системы, поскольку в системе после заражения может быть несколько файлов шифратора.
[ Как создать образ автозапуска? ]
 
Игорь Пасс
Игорь Пасс
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 10.02.2019
Размещено 11.02.2019 11:51:23
Добрый день. Спасибо за отзывчивость, архив образа прикрепил, но система в таком состоянии что буду переустанавливать. Сейчас предстоит принять решение платить или не платить, людям очень нужны файлы, но на те же деньги можно было бы приобрести "железо" и "софт". Действительно ли Они высылают дешифратор. Имея "набор" (шифровальщик, дешифратор) путем анализа все равно не получится вывести скажем так всеобщий дешифратор по данной угрозе
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2019 12:16:31
судя по образу уже нет ни файлов шифратора, ни записок о выкупе (readme*.txt)
если не сложно, добавьте пару зашифрованных файлов и записку о выкупе в архив,
и архив загрузите на форум в ваше сообщение.

информации о порядочности распространителей данных вымогателей нет.
потому платить или не платить - решайте на ваш риск.
дешифровка при наличие ключа по предыдущим вариантам вымогателя Ransom.Shade возможна (xtbl, breaking_bad), по .crypted000007 не тестировал.
[ Как создать образ автозапуска? ]
 
Игорь Пасс
Игорь Пасс
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 10.02.2019
Размещено 11.02.2019 13:07:00
Архив прикрепил. Также прошу прощение, возможно мой косяк, Я запускал саму утилиту от имени пользователя с правами "Админа", потому что для текущего убрал соответствующие права и запретил запуск *.js, *.cmd. Поэтому, судя по всему и анализ "Запустить под текущим пользователем" был проведен для пользователя от чьего имени запускалась утилита, возможно Я не прав, но на всякий случай прикладываю еще раз образ автозапуска уже под пользователем (вернул все права которые были изначально) который был изначально и который пострадал.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2019 13:25:33
хорошо,
добавлю, что:

если нет архивных копий,
(и приватный ключ  не будет получен)
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
и бесплатной
+
как минимум запретить:
*.com, *.pif, *.js, *.cmd, *.scr, *.vbs, *.wsf, *.hta.
[ Как создать образ автозапуска? ]
 
Светлана Морозова
Светлана Морозова
Пользователь
Сообщений: 1
Регистрация: 12.02.2019
Размещено 12.02.2019 15:34:21
Пришло сообщение на почту, сотрудник открыл, все документы зашифровались  Filecoder.Shade.A Троянская программа. Файлы с расширением crypted000007. Антивирус ESET NOD32 поместил в карантин только на следующий день после шифрования. Почему антивирус сразу так не сделал, не понятно. Можно что то сделать с этим?  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.02.2019 18:05:33
@Светлана Морозова,

1. неплохо бы Вам обновить антивирусную программу до актуальной версии.
эта версия уже не поддерживается 4.2.64.12
хотя какое то время антивирусные базы еще будут выпускаться.

2. судя по образу автозапуска система уже очищена от тел шифратора.

3. по расшифровке пока что не можем вам помочь:
помогут восстановить документы только архивные копии, если есть такие.
если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
[ Как создать образ автозапуска? ]
 
Igor VV
Igor VV
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 20.02.2019
Размещено 20.02.2019 22:10:11
Добрый день.
Отработал вирус. Откуда взялся не понятно. Возможно запустил кто-то из пользователей. Зашифровалось часть файлов. Никаких требований не было (вовремя остановили шифрование?)
Если можно проанализируйте образ загрузки. Возможно он еще где-то есть

Чуть позже обнаружил 10 одинковых файлов с требованием в корне одного из дисков
Изменено: Igor VV - 20.02.2019 22:22:53
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2019 06:06:35
(!) STARTF.EXE заражен неизвестным вирусом! Внесите сигнатуру вируса в базу.
заархивируйте с паролем infected файл startf.exe из папки uVS, выложите архив на http://sendspace.com и дайте ссылку на него в личные сообщения.

если в системе не установлен антивирус, сделайте проверку с помощью ESET Online Scanner
https://www.eset.com/int/home/online-scanner/
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 33 34 35 36 37 ... 41 След.
Читают тему