файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Изменено: Camper Oh - 07.03.2019 04:59:53

Ответы

Пред. 1 ... 11 12 13 14 15 ... 41 След.

Сообщений: 17837

Баллов: 14269

Регистрация: 16.03.2010

Размещено 01.03.2017 11:33:47

@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 01.03.2017

Размещено 01.03.2017 12:33:50

Добрый день,

Вирус шифровальщик с электронной почты зашифровал все файлы на компе, как быть?

Прикреплен образ диска и архив с вредоносным письмом и образцами зашифрованных файлов. Код архива - 0000

Прикрепленные файлы

RIK_2017-03-01_12-03-42.7z (700.78 КБ)

Сообщений: 17837

Баллов: 14269

Регистрация: 16.03.2010

Размещено 01.03.2017 15:29:41

Иван Лебедев,
выполните скрипт для очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234452BD4C6BD4EE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD64FFFE82BD6D73C600D775BACCA966E53 8 no_more_ransom ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS} delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\TEMP\RAR$EX00.639\GREENCHRISTMASTREE.EXE delref HTTP://SEARCH.QIP.RU/IE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe ; Java(TM) 6 Update 23 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234452BD4C6BD4EE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD64FFFE82BD6D73C600D775BACCA966E53 8 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\TEMP\RAR$EX00.639\GREENCHRISTMASTREE.EXE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 23 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 01.03.2017

Размещено 01.03.2017 16:24:08

Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..

Прикрепленные файлы

RIK_2017-03-01_16-12-52.7z (701.38 КБ)

Сообщений: 3

Баллов: 1

Регистрация: 28.02.2017

Размещено 01.03.2017 16:26:45

Цитата
santy написал: @Lekar Instrument, система очищена от файлов шифратора. по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET + добавлю, что с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.

Цитата

santy написал:
@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.

Спасибо за помощь!

Сообщений: 17837

Баллов: 14269

Регистрация: 16.03.2010

Размещено 01.03.2017 16:39:18

Цитата
Иван Лебедев написал: Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..

в ближайшем будущем нет, в неопределенном будущем - есть.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 01.03.2017

Размещено 01.03.2017 16:41:55

Цитата

santy написал:

Цитата
Иван Лебедев написал: Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..

в ближайшем будущем нет, в неопределенном будущем - есть.

Спасибо успокоили!

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 02.03.2017 15:27:16

Пришло письмо на почту с следующим содержанием

Добрый день .

У Вас имеется счет на оплату.
Загрузить его можете на нашем сайте по данной ССЫЛКЕ
(прим. ссылка удалена администратором)

С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа
Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь
Нам будет Вас не хватать

.

При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0Qju9esaJyifQkO6LLL0tRSt49TGI09GoArM87z27KY-gY+gi8kcrDJmITquxunj33n+Jwa4vsE=.1DB5E25C09277358FBD5.no_more_ransom

Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.

По ссылке архив лежит который пришел на почту

NOD32 не словил этот вирус

Сообщений: 17837

Баллов: 14269

Регистрация: 16.03.2010

Размещено 02.03.2017 16:04:09

Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*

[ Как создать образ автозапуска? ]

Сообщений: 32

Баллов: 16

Регистрация: 14.12.2015

Размещено 02.03.2017 16:53:27

Цитата
santy написал: Сергей Жало, добавьте образ автозапуска системы, где произошло шифрование .no_more_

Машину уже пролечил, есть смысл вылаживать?
в вложении файл логов для вирусинфо

Прикрепленные файлы

CollectionLog-2017.03.02-14.33.zip (84.92 КБ)

Пред. 1 ... 11 12 13 14 15 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt