файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT
Изменено: Camper Oh - 07.03.2019 04:59:53

Ответы

ну, мистика значит, :), непонятно по какой-кривой меня вынесло на тот файл.

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Есть зашифрованные файлы *no_more_ransom - возможно ли расшифровать? Лицензия ESET есть. Компьютер после заражения загружали только из под life-cd. Ничего не чистили.
Анатолий,
продублируйте образ автозапуска на http://rghost.ru
Здравствуйте.

По Вашему запросу прикрепляю образ системы
Анатолий,
а что было в 32 сообщении?
просьба была "продублируйте образ автозапуска на http://rghost.ru"
и дайте ссылку на файл образа в вашем сообщении
Здравствуйте.

Образ на rghost:http://rgho.st/6hvYfVQMB

В 32 сообщении были примеры зашифрованных файлов.(дублирую примеры файлов на http://rgho.st/899ccRKnF)
шифратор все еще в автозапуске,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 29 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\01.TMP

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АРКТИКА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Завтра попробую выполнить Ваш скрипт.
По расшифровке надежда есть?
Анатолий,

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Добрый день!
Поймали вирус no more ransom Чmoбы рaсшифpовamь uх, Baм нeобxодимо oтnравить kод:78EE669B938633C4A567|0
Читают тему (гостей: 2)