Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 13 14 15 16 17 ... 41 След.
Почему антивирус пропускает эту заразу?
Вчера тоже словили no_more_ransom, пропали документы уже на двух ПК. Стоит лицензионный NOD32 9
Цитата
Анатолий Куприянов написал:
Почему антивирус пропускает эту заразу?
Вчера тоже словили no_more_ransom, пропали документы уже на двух ПК. Стоит лицензионный NOD32 9
добавьте образы автозапуска из зашифрованных систем.

по поводу "почему":

принимайте меры безопасности для защиты документов.

Как видите, одной антивирусной защиты бывает недостаточно,
если пользователи не соблюдают меры безопасности в работе с электронной почтой,  и не отличают офисные документы от исполняемых скриптов
если работают с правами администратора, когда в этом нет необходимости, таким образом вы теряете теневые копии при запуске шифратора.
если администраторы в локальной сети не защищают системы с помощью локальных политик по ограничению запуска нежелательных исполняемых программ.

ну, и главное, чтобы периодически создавались архивные копии важных документов и баз.
Цитата
santy написал:
добавьте образы автозапуска из зашифрованных систем.
Вы можете помочь с расшифровкой/восстановлением?
Цитата
Анатолий Куприянов написал:
Цитата
 santy  написал:
добавьте образы автозапуска из зашифрованных систем.
Вы можете помочь с расшифровкой/восстановлением?
расшифровке по no_more_ransom нет,
Помогите с расшифровкой файлов
Прилагаю текст инструкции

Ваши фaйлы былu зaшuфрoвaны.
Чmoбы расшифpовaть uх, Вам необходимo отnрaвить кoд:
F1A9B5DE1224A738EAA8|0
на элeктронный aдpeс [email protected] .
Дaлее вы nолучume вce неoбxодuмые uнсmрукциu.
Пoпытku paсшuфроваmь сaмосmoятeльнo не пpuвeдут нu к чему, kромe бeзвозврaтнoй поmерu инфоpмaциu.
Ecли вы всё жe хomитe поnытaться, тo пpeдвapumельнo cдeлaйтe рeзepвные кoпuu файлoв, иначе в слyчaе
их измeнeнuя pаcшuфрoвкa cmанет невoзможнoй нu прu kaких ycлoвuях.
Если вы нe noлучилu отвemа no вышеykазанномy aдресу в тeчение 48 чaсов (u тольko в эmoм слyчaе!),
вoспользуйmecь фoрмой oбpaтнoй cвязu. Этo мoжнo сделamь двyмя cnоcoбами:
1) Cкaчайте u уcmановume Tor Browser nо ccылке: https://www.torproject.org/download/download-easy.html.en
В адрeснoй сmpоkе Tor Browser-а ввeдиmе адpeс:
http://cryptsen7fo43rr6.onion/
и нaжмuте Enter. Загрyзuтcя стpaницa с фoрмoй обpamнoй cвязи.
2) В любoм браузеpe пepейдume по однoму из aдрeсов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
Изменено: Алексей Голошивец - 17.03.2017 17:19:04
Алексей,
добавьте образ автозапуска, возможно в системе еще есть файлы шифратора.
http://forum.esetnod32.ru/forum9/topic2687/
Цитата
santy написал:
Алексей,
добавьте образ автозапуска, возможно в системе еще есть файлы шифратора.
http://forum.esetnod32.ru/forum9/topic2687/
файлов шифратора уже нет в автозапуске.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

addsgn 1A659B9A5583D98CF42B627DA843ED50AE667F1ABD5BA753D9C3F679D9938D1FA84ACB0169AAE859A0FD88120BDAC20995A1048DAA5F4F582FFEBBAA1C73019B 8 Adware.Bandoo.265 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TORCH\PLUGINS\TORRENT\29.0.0.4888\TORCHTORRENT.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TORCH\PLUGINS\TORRENT\TORCHTORRENT.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\MIUITAB

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE

delref %SystemDrive%\PROGRAMDATA\FWMINIPROF\WMINIPRO.EXE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMHHNOBJHIFPIFCHDCLBKKENHLHIAIOAE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP:\\WWW.DELTA-HOMES.COM\?TYPE=SC&TS=1432123020&Z=B20603BC5B06A0D90B52415G7Z8C5O7GCOFC9E6O6O&FROM=WPM05203&UID=ST500LM012XHN-M500MBB_S2R7J9KD202052

delref HTTP://WWW.DELTA-HOMES.COM/?TYPE=SC&TS=1432123020&Z=B20603BC5B06A0D90B52415G7Z8C5O7GCOFC9E6O6O&FROM=WPM05203&UID=ST500LM012XHN-M500MBB_S2R7J9KD202052

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1447143444&Z=2AFA32068F05955B9153B96GFZAZ0MDGFZ5C8Z5Z8Z&FROM=WPM07163&UID=ST500LM012XHN-M500MBB_S2R7J9KD202052

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
Вот исчо
Цитата
Владимир Паймаков написал:
Вот исчо
Владимир,
если необходима помощь в очистке системы, добавьте образ автозапуска.
Пред. 1 ... 13 14 15 16 17 ... 41 След.
Читают тему