файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 2 3 4 5 6 ... 41 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.12.2016 09:34:33

ну, мистика значит,

, непонятно по какой-кривой меня вынесло на тот файл.

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 13.12.2016

Размещено 13.12.2016 18:19:03

Есть зашифрованные файлы *no_more_ransom - возможно ли расшифровать? Лицензия ESET есть. Компьютер после заражения загружали только из под life-cd. Ничего не чистили.

Прикрепленные файлы

13-12-2016_13-43-06.zip (320.05 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2016 19:00:46

Анатолий,
продублируйте образ автозапуска на http://rghost.ru

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 13.12.2016

Размещено 14.12.2016 12:56:58

Здравствуйте.

По Вашему запросу прикрепляю образ системы

Прикрепленные файлы

KASSA_2016-12-14_12-38-40.7z (360.14 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2016 12:58:46

Анатолий,
а что было в 32 сообщении?
просьба была "продублируйте образ автозапуска на http://rghost.ru"
и дайте ссылку на файл образа в вашем сообщении

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 13.12.2016

Размещено 14.12.2016 17:33:21

Здравствуйте.

Образ на rghost:http://rgho.st/6hvYfVQMB

В 32 сообщении были примеры зашифрованных файлов.(дублирую примеры файлов на http://rgho.st/899ccRKnF)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2016 18:05:02

шифратор все еще в автозапуске,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 29 no_more_ransom ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS} delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %Sys32%\01.TMP delref %SystemDrive%\DOCUMENTS AND SETTINGS\АРКТИКА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://SEARCH.QIP.RU/IE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 29 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\01.TMP

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АРКТИКА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 13.12.2016

Размещено 14.12.2016 18:39:26

Завтра попробую выполнить Ваш скрипт.
По расшифровке надежда есть?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2016 18:58:08

Анатолий,

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 15.12.2016

Размещено 15.12.2016 08:22:02

Добрый день!
Поймали вирус no more ransom Чmoбы рaсшифpовamь uх, Baм нeобxодимо oтnравить kод:78EE669B938633C4A567|0

Прикрепленные файлы

VICTORIA_2016-12-15_12-14-16.7z (345.31 КБ)

Пред. 1 2 3 4 5 6 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt