файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 ... 4 5 6 7 8 ... 41 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2017 04:46:50

Ринат,
активных файлов шифратора уже нет в системе.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.01.2017

Размещено 12.01.2017 10:20:47

День добрый. Аналогичная проблема, no_more_ransom был взят с эл.почты. Машина, не чистилась в первозданном виде, после кодирования.
____________________________________________________________________
Вашu файлы были зашифpoвaны.
Чmoбы pасшuфpоваmь их, Bам нeобxoдuмо omnравить kод:
C34D2139FAB35001AFA2|0
нa элеkmрoнный адpeс [email protected] .
Далee вы nолyчиme вce нeoбxодимыe инсmpукции.
Попыmku расшифровamь самостоятельнo не nрuведут ни к чемy, кpoме бeзвoзврaтной nотepu инфоpмации.
Еcлu вы вcё же xотuтe попыmamься, mо прeдвaрumельнo cдeлaйmе peзервныe konиu фaйлов, uнaчe в cлучае
их uзмененuя рacшифpовka cmaнеm нeвoзмoжной ни nрu кaкиx уcловияx.
Еслu вы не noлучилu ответа по вышеykазаннoмy aдpесу в mечение 48 чаcов (u moльko в этoм cлучaе!),
вocпользуйтесь фopмoй обpaтнoй связu. Эmо мoжнo сдeлать двyмя cпособaмu:
1) Ckaчайmе u уcmанoвиmе Tor Browser no cсылке: https://www.torproject.org/download/download-easy.html.en
B адpeснoй cmрoкe Tor Browser-а ввeдиmе адpеc:
http://cryptsen7fo43rr6.onion/
u нажмuте Enter. 3аrрузится странuца c фoрмoй oбpaтной cвязu.
2) B любом бpayзеpe nеpейдume по одномy uз адpеcов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Прикрепленные файлы

ALENA_2017-01-11_16-19-11.7z (664.11 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2017 10:31:42

Дмитрий,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 28 no_more_ransom ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 28 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 11.01.2017

Размещено 13.01.2017 08:54:20

Цитата
santy написал: Евгений, добавьте образ автозапуска системы для проверки http://forum.esetnod32.ru/forum9/topic2687/

Добрый день. Процедуру проработал по шагам, направляю сформированный файлик.

Прикрепленные файлы

ПК.13.01.2016.7z (568.87 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.01.2017 09:10:27

Евгений,
по правилам нашего форума мы не оказываем помощь пользователям,
которые используют ломанный антивирус.
а вы, судя по образу используете его.

Цитата
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE

поэтому,
обращаемся за помощью на другой форум.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 13.01.2017

Размещено 13.01.2017 12:21:47

вирус находился в письме от бухгалтерии. Зашифровал пол жесткого диска.

Прикрепленные файлы

ANTON-PC_2017-01-13_19-08-53.7z (550 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.01.2017 12:29:11

Антон,
судя по образу система уже очищена от файлов шифратора.

по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 14.01.2017

Размещено 14.01.2017 15:36:11

Здравствуйте, подскажите остались ли исполняемые файлы шифратора?

Прикрепленные файлы

WIN-0CN3QQ5G71I_2017-01-14_18-27-18.7z (585.63 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.01.2017 15:55:32

Ольга,
активных файлов шифратора уже нет.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE hide E:\PROGRAM FILES\ULEAD SYSTEMS\ULEAD VIDEOSTUDIO 9.0\BURNIXA.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ROUQ09S0.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\124.14_0\SEARCH APP BY ASK V2 delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.11_1\СТАРТОВАЯ — ЯНДЕКС delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC regt 27 regt 28 regt 29 ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
hide E:\PROGRAM FILES\ULEAD SYSTEMS\ULEAD VIDEOSTUDIO 9.0\BURNIXA.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ROUQ09S0.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\124.14_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.11_1\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

regt 27
regt 28
regt 29
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 14.01.2017

Размещено 14.01.2017 16:27:55

Спасибо большое. Все сделала.
Скажите, пожалуйста, бывает, что средство против дешифратора не находится совсем?
Или все рано или поздно расшифровывают?

Пред. 1 ... 4 5 6 7 8 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt