Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 11 12 13 14 15 ... 41 След.
@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.
Добрый день,

Вирус шифровальщик с электронной почты зашифровал все файлы на компе, как быть?

Прикреплен образ диска и архив с вредоносным письмом и образцами зашифрованных файлов. Код архива - 0000
Иван Лебедев,
выполните скрипт для очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234452BD4C6BD4EE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD64FFFE82BD6D73C600D775BACCA966E53 8 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\TEMP\RAR$EX00.639\GREENCHRISTMASTREE.EXE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 23 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..
Цитата
santy написал:
@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.
Спасибо за помощь!
Цитата
Иван Лебедев написал:
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..
в ближайшем будущем нет, в неопределенном будущем  - есть.
Цитата
santy написал:
Цитата
 Иван Лебедев  написал:
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..
в ближайшем будущем нет, в неопределенном будущем  - есть.
Спасибо успокоили! :)
Пришло письмо на почту с следующим содержанием

Добрый день .

У Вас имеется счет на оплату.
Загрузить его можете на нашем сайте  по данной ССЫЛКЕ
(прим. ссылка удалена администратором)

С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа
Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь
Нам будет Вас не хватать :(.

При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0­Qju9esaJyifQkO6LLL0tRSt49TGI09GoArM87z27KY-gY+gi8kcrDJmITquxunj33n+Jwa4vsE=.1DB5E25C09277358FBD5.no_more_ransom

Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.

По ссылке архив лежит который пришел на почту

NOD32 не словил этот вирус
Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*
Цитата
santy написал:
Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*
Машину уже пролечил, есть смысл вылаживать?
в вложении файл логов для вирусинфо
Пред. 1 ... 11 12 13 14 15 ... 41 След.
Читают тему