Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 33 34 35 36 37 ... 41 След.
Добрый день. Кто-нибудь пробовал оплачивать вымогателям расшифровку? Не кинут ли?

Соседи по зданию поймали шифровальщика, Я так понимаю разновидность Shade, прописался в виде csrss.exe в папке пользователя. Моё мнение "не платить", но есть документы которые вкрай необходимы для работы. Злоумышленики утверждают что вышлют дешифратор если оплатить, в качестве подтверждения расшифровали один файл. Меня терзают сомнения имея тело вируса, зашифрованые файлы и дешифратор нельзя ли вывести лекарство от заразы. Может у них и есть дешифратор но это просто замануха чтобы вынудить человека платить.
@Игорь Пасс,
сделайте образ автозапуска системы, поскольку в системе после заражения может быть несколько файлов шифратора.
Добрый день. Спасибо за отзывчивость, архив образа прикрепил, но система в таком состоянии что буду переустанавливать. Сейчас предстоит принять решение платить или не платить, людям очень нужны файлы, но на те же деньги можно было бы приобрести "железо" и "софт". Действительно ли Они высылают дешифратор. Имея "набор" (шифровальщик, дешифратор) путем анализа все равно не получится вывести скажем так всеобщий дешифратор по данной угрозе
судя по образу уже нет ни файлов шифратора, ни записок о выкупе (readme*.txt)
если не сложно, добавьте пару зашифрованных файлов и записку о выкупе в архив,
и архив загрузите на форум в ваше сообщение.

информации о порядочности распространителей данных вымогателей нет.
потому платить или не платить - решайте на ваш риск.
дешифровка при наличие ключа по предыдущим вариантам вымогателя Ransom.Shade возможна (xtbl, breaking_bad), по .crypted000007 не тестировал.
Архив прикрепил. Также прошу прощение, возможно мой косяк, Я запускал саму утилиту от имени пользователя с правами "Админа", потому что для текущего убрал соответствующие права и запретил запуск *.js, *.cmd. Поэтому, судя по всему и анализ "Запустить под текущим пользователем" был проведен для пользователя от чьего имени запускалась утилита, возможно Я не прав, но на всякий случай прикладываю еще раз образ автозапуска уже под пользователем (вернул все права которые были изначально) который был изначально и который пострадал.
хорошо,
добавлю, что:

если нет архивных копий,
(и приватный ключ  не будет получен)
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
и бесплатной
+
как минимум запретить:
*.com, *.pif, *.js, *.cmd, *.scr, *.vbs, *.wsf, *.hta.
Пришло сообщение на почту, сотрудник открыл, все документы зашифровались  Filecoder.Shade.A Троянская программа. Файлы с расширением crypted000007. Антивирус ESET NOD32 поместил в карантин только на следующий день после шифрования. Почему антивирус сразу так не сделал, не понятно. Можно что то сделать с этим?  
@Светлана Морозова,

1. неплохо бы Вам обновить антивирусную программу до актуальной версии.
эта версия уже не поддерживается 4.2.64.12
хотя какое то время антивирусные базы еще будут выпускаться.

2. судя по образу автозапуска система уже очищена от тел шифратора.

3. по расшифровке пока что не можем вам помочь:
помогут восстановить документы только архивные копии, если есть такие.
если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
Добрый день.
Отработал вирус. Откуда взялся не понятно. Возможно запустил кто-то из пользователей. Зашифровалось часть файлов. Никаких требований не было (вовремя остановили шифрование?)
Если можно проанализируйте образ загрузки. Возможно он еще где-то есть

Чуть позже обнаружил 10 одинковых файлов с требованием в корне одного из дисков
Изменено: Igor VV - 20.02.2019 22:22:53
(!) STARTF.EXE заражен неизвестным вирусом! Внесите сигнатуру вируса в базу.
заархивируйте с паролем infected файл startf.exe из папки uVS, выложите архив на http://sendspace.com и дайте ссылку на него в личные сообщения.

если в системе не установлен антивирус, сделайте проверку с помощью ESET Online Scanner
https://www.eset.com/int/home/online-scanner/
Пред. 1 ... 33 34 35 36 37 ... 41 След.
Читают тему