файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 ... 17 18 19 20 21 ... 41 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2017 00:17:53

Дмитрий,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0b6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\FKCLNT1\EXE\CBANK.EXE addsgn A7679B23526A4C7261D4C4B12DBDEBBD352F9DF66139D6A67AF005E9380BDF2D23733C675ADCBDC47E6C3C9E461649123D5C368DDE9F5C96D9D9C52F2F6986AD 16 Adware.SpeedingUpMyPC addsgn A7679B19B92E1B1A1394F9B19BDD0EA4738A5D02C9AD1F287AD6E51D06D6FA41D75794576FAA886D8AD68460533EE8AC7D54FD86158DB07ED262688991068387 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC regt 27 ;------------------------------------------------------------- deltmp ;---------command-block--------- delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemDrive%\USERS\ТИК 23\DESKTOP\УФК\1.0.0.43N\SETUP.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref PDISHELLEXT EXTENSION\[CLSID] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\PSXSS.EXE delref %SystemDrive%\USERS\ТИК 23\APPDATA\LOCAL\TEMP\V8_54B8_16.TMP delref %SystemDrive%\USERS\ТИК 23\APPDATA\LOCAL\TEMP\V8_1277_42.TMP delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %Sys32%\IGFXCFG.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref G:\AUTORUN.EXE delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] apply restart

Код


;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\FKCLNT1\EXE\CBANK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEBBD352F9DF66139D6A67AF005E9380BDF2D23733C675ADCBDC47E6C3C9E461649123D5C368DDE9F5C96D9D9C52F2F6986AD 16 Adware.SpeedingUpMyPC

addsgn A7679B19B92E1B1A1394F9B19BDD0EA4738A5D02C9AD1F287AD6E51D06D6FA41D75794576FAA886D8AD68460533EE8AC7D54FD86158DB07ED262688991068387 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

regt 27
;-------------------------------------------------------------

deltmp
;---------command-block---------
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ТИК 23\DESKTOP\УФК\1.0.0.43N\SETUP.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref PDISHELLEXT EXTENSION\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ТИК 23\APPDATA\LOCAL\TEMP\V8_54B8_16.TMP
delref %SystemDrive%\USERS\ТИК 23\APPDATA\LOCAL\TEMP\V8_1277_42.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref G:\AUTORUN.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
apply

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте лог выполнения скрипта,
это файл дата_времяlog.txt из папки, откуда запускаете uVS

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 07.04.2017

Размещено 07.04.2017 16:35:24

Добрый день. Помогите, пожалуйста, побороть вирус no_more_ransom
Сотрудник принял письмо, открыл ненужнуж ссылку и запустил файл. После этого файлы зашифровались.
Прикладываю к письму образ автозапуска и зашифрованный файл с текстовыми файлами readme.
Буду очень благодарен, если поможете расшифровать файлы!

Прикрепленные файлы

README10.rar (14.55 КБ)
SECRETAR_2017-04-07_16-29-38.7z (580.78 КБ)
no_more_ransom.rar (872.44 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2017 00:57:55

Александр Александров
судя по образу, система уже очищена от тел шифратора.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
добавлю, что на сегодня расшифровки нет.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0b6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://OVGORSKIY.RU ;------------------------------------------------------------- deltmp ;---------command-block--------- delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref %Sys32%\DRIVERS\TPM.SYS delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\PSXSS.EXE delref %Sys32%\IGFXCFG.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ESSENTIALPIM\ESSENTIALPIM.EXE delref %SystemDrive%\PROGRAM FILES\FILLER PILOT\FORMFLPLT.EXE apply restart

Код


;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://OVGORSKIY.RU

;-------------------------------------------------------------

deltmp
;---------command-block---------
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ESSENTIALPIM\ESSENTIALPIM.EXE
delref %SystemDrive%\PROGRAM FILES\FILLER PILOT\FORMFLPLT.EXE
apply

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 05.04.2017

Размещено 10.04.2017 19:01:08

при попытке выполнить скрипт получил сообщение: "текст скрипта содержит ошибки, либо не содержит команд uvs. Выполнение таких скриптов запрещено"

Сообщений: 6237

Баллов: 4989

Регистрация: 25.05.2010

Размещено 10.04.2017 22:35:44

Цитата
Дмитрий Пархоменко написал: при попытке выполнить скрипт получил сообщение: "текст скрипта содержит ошибки

Скрипт необходимо выполнять на актуальной версии uVS.

Сообщений: 5

Баллов: 2

Регистрация: 05.04.2017

Размещено 10.04.2017 23:01:30

Цитата

RP55 RP55 написал:

Цитата
Дмитрий Пархоменко написал: при попытке выполнить скрипт получил сообщение: "текст скрипта содержит ошибки

Скрипт необходимо выполнять на актуальной версии uVS.

я брал с сайта разработчика самую последнюю - v387. Или она не актуальная? Если нет, подскажите, плиз, где взять актуальную.

Сообщений: 6237

Баллов: 4989

Регистрация: 25.05.2010

Размещено 10.04.2017 23:05:40

Дмитрий Пархоменко

На сайте разработчика - релиз. версия программы.
Ссылка на актуальную версию, есть в инструкции: http://forum.esetnod32.ru/forum9/topic2687/ ( uVS v4.0b6 )
Завтра будет: uVS v4.0b7

Сообщений: 5

Баллов: 2

Регистрация: 05.04.2017

Размещено 13.04.2017 19:19:05

Цитата
RP55 RP55 написал: Дмитрий Пархоменко На сайте разработчика - релиз. версия программы. Ссылка на актуальную версию, есть в инструкции: http://forum.esetnod32.ru/forum9/topic2687/ ( uVS v4.0b6 ) Завтра будет: uVS v4.0b7

спасибо. скрипт отработал. лог прикладываю.

Прикрепленные файлы

2017-04-13_18-56-46_log.txt (34.89 КБ)

Изменено: Дмитрий Пархоменко - 13.04.2017 19:20:51

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2017 05:17:48

Дмитрий Пархоменко,

здесь файл попал под ложное срабатывание.

Цитата
-------------------------------------------------------- zoo %SystemDrive%\FKCLNT1\EXE\CBANK.EXE -------------------------------------------------------- Копирование файла в Zoo: \\?\C:\FKCLNT1\EXE\CBANK.EXE Файл скопирован в ZOO: C:\UVS\ZOO\CBANK.EXE._FAD215D1DEC68E4C5666F87CB47943C0814A1F36 -------------------------------------------------------- addsgn A7679B23526A4C7261D4C4B12DBDEBBD352F9DF66139D6A67AF005E9380BDF2D23733C675ADCBDC47E6C3C9E461649123D5C368DDE9F5C96D9D9C52F2F6986AD 16 Adware.SpeedingUpMyPC -------------------------------------------------------- Добавлена сигнатура: Adware.SpeedingUpMyPC

Цитата

--------------------------------------------------------
zoo %SystemDrive%\FKCLNT1\EXE\CBANK.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\FKCLNT1\EXE\CBANK.EXE
Файл скопирован в ZOO: C:\UVS\ZOO\CBANK.EXE._FAD215D1DEC68E4C5666F87CB47943C0814A1F36
--------------------------------------------------------
addsgn A7679B23526A4C7261D4C4B12DBDEBBD352F9DF66139D6A67AF005E9380BDF2D23733C675ADCBDC47E6C3C9E461649123D5C368DDE9F5C96D9D9C52F2F6986AD 16 Adware.SpeedingUpMyPC
--------------------------------------------------------
Добавлена сигнатура: Adware.SpeedingUpMyPC

если файл важен для вас, его можно восстановить из копии файла:
Файл скопирован в ZOO: C:\UVS\ZOO\CBANK.EXE._FAD215D1DEC68E4C5666F87CB47943C0814A1F36

папка ZOO создается в каталоге uVS, откуда вы его запускаете.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 20.04.2017

Размещено 20.04.2017 22:35:25

Здравствуйте, поймал *nomoreransom. Помогите вычистить заразу и предотвратить распространение на другие компьютеры сети. Спасибо. Образ автозапуска шифрованные файлы и readme прилагаю.

Прикрепленные файлы

File.zip (734.26 КБ)

Пред. 1 ... 17 18 19 20 21 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt