Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
 
Camper Oh
Camper Oh
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 29.11.2016
Размещено 29.11.2016 03:21:13
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 15 16 17 18 19 ... 41 След.
 
Максим Иванов
Максим Иванов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.04.2017
Размещено 02.04.2017 16:22:30
образ загрузки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2017 16:37:11
Максим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0b3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Дмитрий Крутько
Дмитрий Крутько
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.04.2017
Размещено 04.04.2017 13:30:13
Добрый день. Зашифрованы файлы расширением ***.no_more_ransom. Шифратор сработал из вложения электронного письма. Письмо к сожалению не сохранилось. Прошу Вашей помощи. Спасибо.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2017 15:24:16
Дмитрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0b4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref %SystemDrive%\USERS\ACSON\APPDATA\LOCAL\TEMP\CHROME_BITS_3376_2912\EXTENSION_0_57_44_2492.CRX
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {1CA1377B-DC1D-4A52-9585-6E06050FAC53}\[CLSID]
delref {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC}\[CLSID]
delref %Sys32%\BLANK.HTM
delref H:\MINSTALL.EXE
delref H:\WPI\MINST.EXE
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
apply

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке восстановить документы можно лишь из бэкапов.
расшифровки по .no_more_ransom нет на ближайшее будущее.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2017 15:50:16
+
если скрипт выполнен, добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки uVS
[ Как создать образ автозапуска? ]
 
Дмитрий Крутько
Дмитрий Крутько
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.04.2017
Размещено 04.04.2017 16:03:55
Цитата
santy написал:
Дмитрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке восстановить документы можно лишь из бэкапов.
расшифровки по .no_more_ransom нет на ближайшее будущее.
Спасибо. Кстати нашел письмо-виновник. Адресат ПАО "Сбербанк" Третьяков Василий Ильич (_[email protected]). Скрипт выполнил. Как быть с зашифрованными файлами? Сохранять на своих местах?
Изменено: Дмитрий Крутько - 04.04.2017 16:06:30
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2017 16:11:24
зашифрованные файлы можно откопировать на отдельный носитель и сохранить, если есть важные документы.
возможно в течение года решение будет получено. не у нас так в другом вирлабе.

можно воспользоваться например этой программой.
https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

интерфейс англоязычный, но понятный должен быть.
укажите расширение (extension) и можно будет создать лог по всем зашифрованным файлам с указанным расширением.

потом выбрать функцию: например, заархивировать и переместить в указанное место.

по вредоносному вложению:

Цитата
Кстати нашел письмо-виновник. Адресат ПАО "Сбербанк" Третьяков Василий Ильич

поместите в архив с паролем infected и вышлите в почту [email protected] для проверки.
[ Как создать образ автозапуска? ]
 
Дмитрий Крутько
Дмитрий Крутько
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.04.2017
Размещено 04.04.2017 16:41:46
Цитата
santy написал:
зашифрованные файлы можно откопировать на отдельный носитель и сохранить, если есть важные документы.
возможно в течение года решение будет получено. не у нас так в другом вирлабе.

поместите в архив с паролем infected и вышлите в почту [email protected] для проверки.
За ссылочку благодарю, уже сделал бэкап. Работать на таком компьютере можно? Или лучше переустановить систему с форматированием?
Подскажите как сделать архив письма из Outlook 2010? Могу сделать архив всего файла .pst.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.04.2017 16:54:59
работать в системе можно, поскольку она очищена от тел шифратора, другое дело что возможно часть программ придется переустановить, если шифратор затронул их файлы.

вся база pst не нужна,
думаю можно сохранить отдельное сообщение в файл. вот этот файл потом можно заархивировать, и переслать.

http://www.outsidethebox.ms/16791/
[ Как создать образ автозапуска? ]
 
Дмитрий Крутько
Дмитрий Крутько
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 04.04.2017
Размещено 04.04.2017 17:09:55
Цитата
santy написал:
работать в системе можно, поскольку она очищена от тел шифратора, другое дело что возможно часть программ придется переустановить, если шифратор затронул их файлы.

вся база pst не нужна,
думаю можно сохранить отдельное сообщение в файл. вот этот файл потом можно заархивировать, и переслать.

http://www.outsidethebox.ms/16791/
Огромное спасибо. Архив письма выслал как вы мне написали. Будем ждать успешного создания расшифровщика.
 
Пред. 1 ... 15 16 17 18 19 ... 41 След.
Читают тему