Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
 
Camper Oh
Camper Oh
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 29.11.2016
Размещено 29.11.2016 03:21:13
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 32 33 34 35 36 ... 41 След.
 
Serg P
Serg P
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.01.2019
Размещено 03.01.2019 19:40:40
Добрый день. Заразились вирусом шифровальщиком. Файлы имеют расширения: F1B90611EBD26715C52C.crypted000007 Когда заметили его активность - выключили пк, сейчас вирус зашифровал не все и еще активен в системе, т.е. при загрузке и добавлении файлов на диск Д он их благополучно шифрует. Так же есть письмо, полученное по почте, после открытия которого пошло шифрование. Прошу помощи в сложившейся ситуации. Т.к. вирус "живой" - может мои файлы, отчеты или еще что, помогут в скорейшем лекарстве против этого вида заразы. Загружался с флешки, поискал теневые копии файлов - уже удалены, хотя точно было включено. В общем если не по теме написал - направьте в нужную ветку форума... так же являемся лицензионными пользователями НОДа.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.01.2019 19:50:08
@Serg P,
вы можете сделать образ автозапуска из безопасного режима системы, и передать файл образа автозапуска на форум.
[ Как создать образ автозапуска? ]
 
Serg P
Serg P
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.01.2019
Размещено 03.01.2019 23:01:12
сюда прислать образ автозапуска?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.01.2019 06:11:51
Цитата
Serg P написал:
сюда прислать образ автозапуска?
да, конечно,
используйте функцию загрузить файлы
[ Как создать образ автозапуска? ]
 
Serg P
Serg P
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.01.2019
Размещено 04.01.2019 13:02:32
Загрузился с флешки, скопировал папку uvs_latest на D, потом загрузился с зараженной системы и запустил по инструкции start. После окончания процесса выключил пк и загрузившись с флешки повторно скопировал архив на другой пк... заметил, что некоторые файлы из папки uvs тоже зашифровались, пока работала программа... прикрепляю архив с измененными файлами. так же записал видео с экрана, процесса, там при работе программы выскакивали сообщения и антивирус ругался, так же проскакивало черное окно с запуском vbs. если нужно - тоже готов прислать. Вчера сделал полную копию диска акронисом на другой носитель и прогнал его recuva и qphotorec_win. Нашлись удаленные теневые копии - 2гб (system volum information), но документы по большей части перезаписаны шифрованными файлами. Как то можно из этого восстановить теневые копии, для возврата еще не зашифрованных файлов? Может через Linux или еще как то? Так же в восстановленных exe файлах, антивирус находит вирусы - могу их тоже прислать...хотя, это может совпадение с другими малварами... В общем - если с моей стороны нужно что то еще сделать - готов! Очень хочется победить данный вирус, причем он еще жив, а такого мне еще не попадалось ) .. если нужно повторно заразить еще пк или этот же с другим диском - пожалуйста - давайте инструкции, может перед заражением установить на пк софта шпионского и подловить работу вируса с самого начала его деятельности... может удастся увидеть куда он скидывает мастер ключ и куда отсылает, тогда, возможно, получится восстановить мой сгенерированный ключ с диска и дешифровать данные.... в общем готов на любые эксперименты, пока выходные и есть время.!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.01.2019 13:18:05
по очистке системы выполните:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B1BB9DE4C720B8369F49CC81205254DB90A89FA1F78ED5ED0BC503EFF5D231740933A3D8B4B2B806C1E57164979B9DB80EF40DAB0C45966A42F44C2261B 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A60F4690848F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DFDC4212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE
addsgn 9252774A306AC1CC0B94744EA34F7E361E8A43718B7548F1604E5998D0178EB312D7936EE220660F6DD3EC98D92849ADFE1CEC213D4352342D2127ECC35572B4 8 Win32/Filecoder.ED 7

zoo %SystemDrive%\PROGRAMDATA\RESOURCES\SVCHOST.EXE
addsgn 9252773A076AC1CC0BA4434EA34FD614398A7713E1A248F1604E5998D0178EB312D7936EE220660F6DD3ECA2070849ADFE1CEC213D5079272D2127ECC35572B4 8 Win32/Filecoder.ED 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemDrive%\USERS\255AD~1\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
delref %SystemDrive%\USERS\255AD~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5116_26193\4.10.1196.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_11.0.00\ARM.MSI
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\FILESYNCSHELL.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки, к сожалению, по этому варианту Fileencoder.ED нет в вирлабе
Восстановление документов возможно в данный момент только из архивных или теневых копий.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.01.2019 13:23:34
добавлю, что все 4 файла шифратора детектируются антивирусом ESET

Цитата
Полное имя                  C:\PROGRAMDATA\DRIVERS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Filecoder.ED [ESET-NOD32] (delall) [глубина совпадения 18(58), необх. минимум 8, максимум 64] 2017-04-14
                           
www.virustotal.com          2019-01-03
BitDefender                 Gen:Trojan.Heur.2mKfXadFIYgc
Symantec                    Trojan.Gen
ESET-NOD32                  Win32/Filecoder.ED
Kaspersky                   Trojan.Win32.Agent.nezeod
DrWeb                       Trojan.DownLoader23.51213
Microsoft                   Trojan:Win32/Bagsu!rfn
Avast                       Win32:Malware-gen
                           

Цитата
Полное имя                  C:\PROGRAMDATA\RESOURCES\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Filecoder.ED (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2019-01-04
                           
www.virustotal.com          2019-01-03
BitDefender                 Trojan.GenericKD.40276370
Symantec                    Ransom.Troldesh
ESET-NOD32                  a variant of Win32/Filecoder.ED
Kaspersky                   Trojan.Win32.Reconyc.izkx
DrWeb                       Trojan.DownLoader26.49009
Microsoft                   Trojan:Win32/Occamy.B
Avast                       FileRepMalware
Цитата
Полное имя                  C:\PROGRAMDATA\SERVICES\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Filecoder.ED (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2019-01-04
                           
www.virustotal.com          2019-01-03
BitDefender                 Gen:Trojan.Heur.GZ.JnGfbqG1KGi
Symantec                    Ransom.Troldesh
ESET-NOD32                  a variant of Win32/Filecoder.ED
Kaspersky                   HEUR:Trojan.Win32.Generic
DrWeb                       Trojan.DownLoader27.17176
Microsoft                   Trojan:Win32/Skeeyah.A!rfn
Avast                       Win32:Trojan-gen
Цитата
Полное имя                  C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Filecoder.ED [ESET-NOD32] (delall) [глубина совпадения 24(28), необх. минимум 8, максимум 64] 2018-12-10
                           
www.virustotal.com          2018-12-28
BitDefender                 Trojan.GenericKD.40871765
Symantec                    Ransom.Troldesh
Avast                       Win32:Malware-gen
Kaspersky                   Trojan-Ransom.Win32.Shade.phd
DrWeb                       Trojan.Encoder.26818
Microsoft                   Ransom:Win32/Troldesh.A
ESET-NOD32                  a variant of Win32/GenKryptik.CVCG
[ Как создать образ автозапуска? ]
 
Serg P
Serg P
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.01.2019
Размещено 04.01.2019 13:46:05
спасибо за быстрый ответ. Получается этим скриптом  мы удалим активный вирус и все? В принципе, если вручную из автозапуска отключать запуск csrss, тогда вирус не активен и новых файлов не шифрует... задачи - "вылечить систему" мне не стоит.  поа не буду запускать скрипт. Буду пытаться восстанавливать удаленные теневые копии. Сейчас у меня есть восстановленная  папка system volume information (2гб), и там как раз данные от 12.12.2018, за несколько  дней до вируса. Вот из нее есть способ восстановления информации? пробовал скопировать на копию диска в папку с такими же именами и директориями - shadow explorer не видит информации... возможно делаю что то не так - подскажите, если есть еще варианты...  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.01.2019 14:02:53
можете такой скрипт использовать, он только выгрузит из памяти и удалит вредоносные файлы, и зачистит ссылки в реестре, в которых прописан их автозапуск.
без перезагрузки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\RESOURCES\SVCHOST.EXE
delall %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
apply

QUIT

без перегрузки системы
------------
Цитата
Сейчас у меня есть восстановленная  папка system volume information (2гб), и там как раз данные от 12.12.2018, за несколько  дней до вируса. Вот из нее есть способ восстановления информации? пробовал скопировать на копию диска в папку с такими же именами и директориями - shadow explorer не видит информации... возможно делаю что то не так - подскажите, если есть еще варианты...  

мне не известны случаи подобного восстановления точек восстановления.
хотя, не исключаю, что это и возможно. сделать.

обычно, шифраторы после удаления точек восстановления, могут еще запустить и cipher, который зачищает все удаленные файлы с диска, так чтобы не было возможности их восстановить с помощью инструментов восстановления удаленных файлов.
но это пожалуй, единственный вариант, если нет расшифровки, нет архивных копий.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6237
Баллов: 4989
Регистрация: 25.05.2010
Размещено 04.01.2019 15:12:07
Есть одна статья по теневым копиям: http://www.outsidethebox.ms/13764/#_Toc328869241
Может чем поможет ?
 
Пред. 1 ... 32 33 34 35 36 ... 41 След.
Читают тему