файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 2 3 4 5 ... 41 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.12.2016 04:13:58

Цитата
Сергей Колобов написал: santy а что за readme.txt, такого файла на рабочем столе невидел.

записка о выкупе.
систему сами чистили или на форумах? (на некоторых форумах удаляют readme*.txt при очистке системы)
так же проверьте в карантине антивируса. если был установлен на момент шифрования.

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 10.02.2012

Размещено 08.12.2016 14:03:52

Вечерочка
тоже поймали шифровальщика *.NO_MORE_RANSOM
в 14:20 его запустили, в 14:24 выключили подозрительный процесс в диспетчере задач
скидываю файлы которые думаю помогут в подготовке дешифратора
у пользователя прав администратора не было
текстовые файлы с инструкцией лежали на сетевом диске M: , на локальных инструкции нету

Прикрепленные файлы

вирус лечим.rar (21.01 МБ)

Изменено: Ivan22 - 08.12.2016 14:12:30

Сообщений: 3

Баллов: 1

Регистрация: 18.02.2016

Размещено 08.12.2016 14:49:42

Добрый день.
Поймали шифровщика no_more_ransom, нужна помощь

http://rgho.st/7RBzcqSff

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.12.2016 14:59:46

Цитата
Ivan22 написал: Вечерочка тоже поймали шифровальщика *.NO_MORE_RANSOM в 14:20 его запустили, в 14:24 выключили подозрительный процесс в диспетчере задач скидываю файлы которые думаю помогут в подготовке дешифратора у пользователя прав администратора не было текстовые файлы с инструкцией лежали на сетевом диске M: , на локальных инструкции нету

Цитата

Ivan22 написал:
Вечерочка
тоже поймали шифровальщика *.NO_MORE_RANSOM
в 14:20 его запустили, в 14:24 выключили подозрительный процесс в диспетчере задач
скидываю файлы которые думаю помогут в подготовке дешифратора
у пользователя прав администратора не было
текстовые файлы с инструкцией лежали на сетевом диске M: , на локальных инструкции нету

по очистке системы выполните
(у вас файл шифратора еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 8 no_more_ransom zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\EAA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\70GY2GSO\0812[1].EXE ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 8 no_more_ransom

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\EAA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\70GY2GSO\0812[1].EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.12.2016 15:02:48

Цитата
Геннадий Сердечный написал: Добрый день. Поймали шифровщика no_more_ransom, нужна помощь http://rgho.st/7RBzcqSff

Геннадий,
система уже очищена от файлов шифратора.

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 10.12.2016 23:06:20

Обратился пользователь EAV-0141483979

Имеем зашифрованные файлы в системе, анализ показал:
- вектор проникновения Мне не известен;
- пользователь работал под учетной записью типа "Администратор", с включенным по умолчанию UAC;
- версия защитного ПО - NOD32 Antivirus 8.0.319.1 при этом отключенный LiveGrid и отключенное обнаружение потенциально опасных приложений;
- шифрование началось 09.12.2016 в 17:21. Итого, за минусом откровенного хлама 165768 шифрованных файлов;
- в 20:52 обновилась антивирусная база до версии 14579 и в течении пары минут в карантин попали, в том числе из оперативной памяти: два разных по размеру "модифицированный Win32/Filecoder.ED", "NSIS/Injector.KN" и "NSIS/Injector.MQ".

Образ автозапуска прилагаю.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.12.2016 01:20:15

Николай,
этот образ уже смотрели здесь
https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 11.12.2016 08:32:40

Цитата
santy написал: Николай, этот образ уже смотрели здесь https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332

Не понял, что значит уже смотрели?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.12.2016 09:00:16

Цитата

Мартынов Николай написал:

Цитата
santy написал: Николай, этот образ уже смотрели здесь https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332

Не понял, что значит уже смотрели?

по ссылке был этот образ

Цитата
WINCTRL-49LC454_2016-12-04_10-06-37.7z (654.63 КБ)

новый образ сейчас гляну

по очистке выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0 deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0\BH ; Java(TM) 6 Update 20 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0

deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0\BH

; Java(TM) 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 11.12.2016 09:27:52

Ссылка на образ изначально была правильная и не менялась.

Скрипт выполнен, от старых проблем не осталось и следа, а новые еще не беспокоят, ну окромя зашифрованных файлов.

Пред. 1 2 3 4 5 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt