файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 ... 23 24 25 26 27 ... 41 След.

Сообщений: 4

Баллов: 2

Регистрация: 17.02.2017

Размещено 11.05.2017 14:45:57

2 santy
Я создал обращение в ESET для придания делу официальности, ибо если вдруг руководство спросит как решалась проблема. Думаю в таком случае сюда кидать что-либо излишне ?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2017 14:48:33

Я думаю, это будет не излишним, если вы реально заинтересованы в очистке системы. (а не для отписки перед руководителями.)

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.02.2017

Размещено 12.05.2017 05:08:53

В таком случае вот, заранее благодарствую

И подскажите, плиз, все-таки он по сети может распространяться ?

Прикрепленные файлы

NSK-01-POM_2017-05-11_14-52-54.7z (439.15 КБ)

Изменено: Лол лолик - 15.06.2017 10:04:50

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2017 06:39:04

судя по образу все чисто.
по сети данный шифратор не распространяется, шифруются только подключенные сетевые диски.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.02.2017

Размещено 12.05.2017 11:13:11

в карантине есета я обнаружил 2 файла EDcoder, видимо поэтому все чисто.
Только не пойму почему сразу есет не среагировал, зашифровало всего 2 папки притом как назло самые информативные.
Прошелся еще раз есетом по машине, говорит что все чисто, в поддержке тоже дали рекомендации общие и больше ничего.
В любом случае спасибо.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2017 12:31:30

проверьте, возможно сохранились теневые копии в вашей системе,
uVS v4.0.2 [http://dsrt.dyndns.org]: Windows 7 Professional x86 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
если шифратор не отработал до конца.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 15.05.2017

Размещено 15.05.2017 17:03:50

обрый день!

Можете помочь расшифровать файлы на компьютере ?

Заразили компьютер 11.05.2017

Не могу точно сказать как именно - но теперь все файлы (документы , картинки) - зашифрованы

Вот ссылка на образ автозапуска в увс

Прикрепленные файлы

ADMIN-PC_2017-05-15_16-46-20.7z (575.71 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.05.2017 18:36:41

РАфит,
судя по образу система уже очищена от тел шифратора.
по расшифровке помочь не сможем.
восстанавливаем документы из бэкапов.

важные зашифрованные файлы сохраните на отдельный носитель до лучших времен, когда они наступят.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 23.05.2017

Размещено 23.05.2017 07:31:11

Здравствуйте. Так же поймали эту дрянь.

Прикрепленные файлы

ZAKUPKI3_2017-05-23_14-02-36.7z (504.72 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2017 07:53:05

Дмитрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- sreg deldirex %SystemDrive%\PROGRAM FILES\WISEENHANCE\BIN deldirex %SystemDrive%\PROGRAM FILES\ZAXAR delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3027006877072324A531A5059EE2E16F&TEXT={SEARCHTERMS} apply deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\934531D1ECDEA5A281EB2B4FA51BFA82\DE01A35262B4BC205276C79FE6237C35C1AD6C32 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\4BF53EF3916B82156CF82A90F19ABF0C\FC9AB4BFC97F82C9F55BC5FDB72BEBF4D32B68E8 delref %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\MICROSOFT\DEVICE METADATA\DMRCCACHE\DOWNLOADS\CA6EC742-0714-4E1F-93A3-5067C81F3E86.DEVICEMETADATA-MS delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemDrive%\USERS\НАТАЛЬЯ\DESKTOP\NETSPH_SETUP.EXE delref %SystemDrive%\USERS\НАТАЛЬЯ\DESKTOP\ЗАКОНЫ\НАЛОГОВАЯ ВЗАИМОДЕЙСТВИЕ\SETUPQS2008_1_0_9.EXE delref %Sys32%\DRIVERS\RDVGKMD.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %Sys32%\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref EZCD EXTENSION\[CLSID] delref DRWEBENGINE\[SERVICE] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\DGIVECP.SYS delref %Sys32%\DRIVERS\EWUSBMDM.SYS delref %Sys32%\DRIVERS\IPLIRHLPR.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\WISEENHANCE\BIN\{2C976A7F-DBDC-4756-870F-F6D183FE7A7E}.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref E:\AUTORUN.EXE delref E:\LAUNCHER.EXE delref F:\SETUP.EXE delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID] delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE areg ;-------------------------------------------------------------

Код


;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

deldirex %SystemDrive%\PROGRAM FILES\WISEENHANCE\BIN

deldirex %SystemDrive%\PROGRAM FILES\ZAXAR

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3027006877072324A531A5059EE2E16F&TEXT={SEARCHTERMS}
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\934531D1ECDEA5A281EB2B4FA51BFA82\DE01A35262B4BC205276C79FE6237C35C1AD6C32
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\4BF53EF3916B82156CF82A90F19ABF0C\FC9AB4BFC97F82C9F55BC5FDB72BEBF4D32B68E8
delref %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\MICROSOFT\DEVICE METADATA\DMRCCACHE\DOWNLOADS\CA6EC742-0714-4E1F-93A3-5067C81F3E86.DEVICEMETADATA-MS
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\НАТАЛЬЯ\DESKTOP\NETSPH_SETUP.EXE
delref %SystemDrive%\USERS\НАТАЛЬЯ\DESKTOP\ЗАКОНЫ\НАЛОГОВАЯ ВЗАИМОДЕЙСТВИЕ\SETUPQS2008_1_0_9.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref EZCD EXTENSION\[CLSID]
delref DRWEBENGINE\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %Sys32%\DRIVERS\EWUSBMDM.SYS
delref %Sys32%\DRIVERS\IPLIRHLPR.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\WISEENHANCE\BIN\{2C976A7F-DBDC-4756-870F-F6D183FE7A7E}.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref E:\AUTORUN.EXE
delref E:\LAUNCHER.EXE
delref F:\SETUP.EXE
delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке сохраните зашифрованные файлы на отдельный носитель,
возможно когда-нибудь будет расшифровка.

[ Как создать образ автозапуска? ]

Пред. 1 ... 23 24 25 26 27 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt