файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT
Изменено: Camper Oh - 07.03.2019 04:59:53

Ответы

Цитата
Денис Литвинов написал:
Здравствуйте! Поймал шифровальщика .crypted000007 Пожалуйста помогите, отправляю образ автозапуска....
эту программу сами устанавливали?
C:\USERS\САНЯ\DESKTOP\ПРИВАТ КИПЕР\PRIVATE KEEPER.EXE


судя по образу система уже очищена от файлов шифратора.
по расшифровке Ransom.Shade.crypted000007 решения нет
восстановить документы возможно только из архивных копий
Здравствуйте!
Цыпонул шифровальщика crypted000007  (сам дурак)
Прошу помощи, я просто в шоке и трауре не знаю что делать пропала куча фоток и видео из семейного архива
"Вашu фaйлы былu зашифрованы.
Чmобы pасшифрoвaть их, Вaм нeобxодuмо omправuть koд:
45BF4B4133511C1B20A6|0
нa элeкmрoнный адpес pilotpilot088@gmail.com .
Далеe вы пoлучите вce нeобхoдимые инcтpykции."...
Изменено: Михайло Коваленко - 03.08.2019 15:37:32
@Михайло Коваленко,
сделайте образ автозапуска из пострадавшей системы, возможно в системе остались еще файлы шифратора,
которые необходимо удалить из системы.
Цитата
santy написал:
@Михайло Коваленко,
сделайте образ автозапуска из пострадавшей системы, возможно в системе остались еще файлы шифратора,
которые необходимо удалить из системы.
Здравствуйте! Спасибо!
Инструкцию выполнил.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://MY-TOP-APPS.COM/CLIENT/POSTBACK/GUID/9C4BFE40-4185-4A56-A073-37B6146D1623/CREATIVEID/26
zoo %SystemDrive%\USERS\ЕМ-СЕРВІС\APPDATA\ROAMING\MY-TOP-APPS\MY-TOP-APPS.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB9250D2AC184778E5BB6054E1FBD1AEBC4F12C4988944B4E2611A1 40 Win32/Adware.FotopApps 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\0F4BB2F7C92EFED92893CB539FD9A8E3\43081B43F1E729D2F514E242A03AA7B47605EB1A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FEBB7AA74B71E60B1094BA697AB4782D\EAE6564EA3CE23393F1E1D749C6F6A2116F63C47-1
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\150A78BCCDEC0C6071ADE36AEA4BF430\WINDOWS6.1-KB4019990-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F402EAD75C171C49E83605025BAA6A1F\WINDOWS6.1-KB4019990-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1F90654738BA07BBA253528217546260\WINDOWS6.1-KB4040980-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\487A9988625BEE247399E8DE0312A440\AC6D5BDC6FA3C550ABBED7F4AE8E75C3298E2E9F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\69802998EC51E937DEBAAA523162B624\WINDOWS6.1-KB4095874-X64.CAB
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ЕМ-СЕРВІС\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\UNINSTALL.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES\MCAFEE\WEBADVISOR\E10SSAFFPLG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {32CFFBE7-8BB7-4BC3-83D8-8197671920D6}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CC 2018\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS\EMODELVIEWER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref I:\STARTME.EXE
delref N:\SETUP.EXE
delref I:\LAUNCHU3.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов не поможем.
Восстановление документов возможно в данный момент только из архивных или теневых копий.
Спасибо!!
@Михайло Коваленко,

имеет смысл еще проверить вашу систему на вирусы
с помощью malwarebytes и Adwcleaner
или зайдите в тему в "обнаружения вредоносного кода",
https://forum.esetnod32.ru/forum6/
поможем выполнить более тщательную очистку системы.
Здравствуйте! Поймал шифровальщика .crypted000007 Пожалуйста помогите, отправляю образ автозапуска....
Цитата
Sergey Rudnevskiy написал:
Здравствуйте! Поймал шифровальщика .crypted000007 Пожалуйста помогите, отправляю образ автозапуска....
к сожалению, вы используете tnod  судя по образу автозапуска,
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
поэтому помощь в очистке системы вам не будет оказана на форуме,
обратитесь за помощью на другой форум.

по расшифровке .crypted000007 на текущий момент решения у вирлабов нет
Доброго времени суток. Поймали на работе шифровальщик .crypted000007. Проверьте, пожалуйста, образ автозапуска. Заранее спасибо
Читают тему (гостей: 12)