Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
 
Camper Oh
Camper Oh
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 29.11.2016
Размещено 29.11.2016 03:21:13
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 31 32 33 34 35 ... 41 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.11.2018 16:05:29
Цитата
Vladimir Makhonin написал:
Добрый день.Прошу проверить образ автозапуска на наличие остатков вирусов.

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\USER15\APPDATA\LOCAL\TEMP\4\RAD6FEB9.TMP
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
[ Как создать образ автозапуска? ]
 
Vladimir Makhonin
Vladimir Makhonin
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 26.12.2015
Размещено 08.11.2018 17:38:38
Цитата
santy написал:
delall %SystemDrive%\USERS\USER15\APPDATA\LOCAL\TEMP\4\RAD6FEB9.TMP
Скрипт пока не запускал, но  по указанному пути нет папки с временным файлом  4\RAD6FEB9.TMP
Может это быть из-за того, что пользователь выходил из сеанса и папка очистилась?
Выполнять код?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 08.11.2018 19:54:53
Цитата
Vladimir Makhonin написал:
код?

Файла и нет, есть ссылка.
Вы можете дополнительно посмотреть Инфо. по файлу ( правой лапой мыши )

Полное имя                  C:\USERS\USER15\APPDATA\LOCAL\TEMP\4\RAD6FEB9.TMP
Имя файла                   RAD6FEB9.TMP
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-2479587297-3911411224-4172201579-1016\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\Users\user15\AppData\Local\Temp\4\rad6FEB9.tmp"
----------------
А код выполните.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.11.2018 05:33:50
Цитата
Vladimir Makhonin написал:
но  по указанному пути нет папки с временным файлом  4\RAD6FEB9.TMP
этот файлик (судя по характерному параметру в реестре Client Server Runtime Subsystem) и выполнил шифрование ваших файлов, но скорее всего был удален антивирусом через некоторое время
Цитата
KVRT и drweb cureit  отработали
или по этой причине.
Цитата
Может это быть из-за того, что пользователь выходил из сеанса и папка очистилась?
в данном случае скрипт выполнит только очистку параметра в реестре.
более, чего то вредоносного в системе уже нет.
автоматической перезагрузки системы не будет.
[ Как создать образ автозапуска? ]
 
Mikail Kin
Mikail Kin
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 27.12.2018
Размещено 27.12.2018 09:05:00
Приветствую, вчера  поменялся фон рабочего стола, говорящий о том, что мои файлы теперь зашифрованы и появилась куча файлов README. Заметил, что абсолютно все документы/фотки/музыка зашифрованы с расширением .crypted000007.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.12.2018 09:11:54
@Mikail Kin,
добавьте образ автозапуска системы
[ Как создать образ автозапуска? ]
 
Mikail Kin
Mikail Kin
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 27.12.2018
Размещено 27.12.2018 09:35:54
Цитата
santy написал:
@Mikail Kin,
добавьте образ автозапуска системы
Системный диск восстановил из бекапа, второй диск с данными остался зашифрован
Вирус маскировался под csrss.exe svchost.exe

PS  
Baши фaйлы былu зашuфpoваны.
Чmoбы раcшифрoвamь их, Вaм нeoбxодимo oтnрaвить kод:
F55CD46B3F5F89C671C9|0
на элekmpoнный aдрес [email protected]
Изменено: Mikail Kin - 27.12.2018 09:38:51
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.12.2018 09:41:30
Цитата
Mikail Kin написал:
Системный диск восстановил из бекапа, второй диск с данными остался зашифрованВирус маскировался под csrss.exe svchost.exe
в таком случае, помочь с расшифровкой не сможем:

Цитата
расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.
если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
[ Как создать образ автозапуска? ]
 
Сергей Гриценко
Сергей Гриценко
Пользователь
Сообщений: 1
Регистрация: 03.01.2019
Размещено 03.01.2019 16:22:02
ВИрус
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.01.2019 17:00:34
Цитата
Сергей Гриценко написал:
ВИрус
добавьте образ автозапуска системы, возможно в системе еще остались активные файлы шифратора.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 31 32 33 34 35 ... 41 След.
Читают тему