файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT
Изменено: Camper Oh - 07.03.2019 04:59:53

Ответы

Пред. 1 ... 5 6 7 8 9 ... 41 След.
Цитата
Olga Tereshenok написал:
Спасибо большое. Все сделала.
Скажите,  пожалуйста, бывает, что средство против дешифратора не находится совсем?
Или все рано или поздно расшифровывают?
бывает. и довольно часто.
в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
Пользователь поймал .no_more_ransom шифровальщик. Восстановил систему с контрольной точки. Пользовательские файлы откат не спас. На всякий случай образ сделал, прикрепил. Нужно ли прикреплять зашифрованный файл?
Ambro Lastwill

Образ нужно делать по инструкции.
т.е. полный образ автозапуска с проверкой подписей.
Так можно и пол дня сидеть  проверять.
Изменено: RP55 RP55 - 16.01.2017 20:56:52
Ambro Lastwill

Вирус всё ещё активен.

Начало:
C:\USERS\AMBRO\DOWNLOADS\НЕ ПОДТВЕРЖДЕН 7844.CRDOWNLOAD

Итог:
\PROGRAMDATA\WINDOWS\CSRSS.EXE
\USERS\CHEPKASOVA_EA\APPDATA\ROAMINGPYX58.EXE

Может и что ещё есть.
В инструкции написано "или". Просканировал машину со свежей базой, убил два объекта. Сделал полный образ (с проверкой подписей), приложил
@Ambro Lastwill,
по второму образу: файл шифратора остался в автозапуске.
выполните очистку системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 29 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\KOSACHEVA_EV\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\CHEPKASOVA_EA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
  1. Добрый вечер,Santy. Меня постигла та же учесть что и многих здесь-открыла письмо и поймала вирус,теперь все файлы зашифрованы и содержат расширение "no_more_ransom". Нужна помощь по расшифровке. Файл создания образа автозапуска прилагаю.
Сегодня заразился шифровальщиком. Все файлы зашифрованы в расширении "no_more_ransom"

Как узнать о возможности расшифровки?
Изменено: Олег Мотков - 17.01.2017 23:55:20
Цитата
Ольга Иванова написал:
 Добрый вечер,Santy. Меня постигла та же учесть что и многих здесь-открыла письмо и поймала вирус,теперь все файлы зашифрованы и содержат расширение "no_more_ransom". Нужна помощь по расшифровке. Файл создания образа автозапуска прилагаю.
 
Ольга Иванова,
судя по образу, система уже очищена от тел шифратора

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

hide D:\OLDDISK\C\TOTALCMD\TOTALCMD.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\UPDATER

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAAAAIABCOPKPLHGAEDHBLOEEJHHANKF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://PITERAME.COM/MLQJ1E5E/YSGX53.EUK

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\OPERATOR\LOCAL SETTINGS\APPLICATION DATA\ASKPARTNERNETWORK\TOOLBAR\UPDATER\IDC

regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке системы:
расшифровки no_more_ransom на сегодня нет.

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
Цитата
Олег Мотков написал:
Сегодня заразился шифровальщиком. Все файлы зашифрованы в расширении "no_more_ransom"

Как узнать о возможности расшифровки?
Олег Мотков,
судя по образу, система уже очищена от шифраторов.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SINDEX.BIZ/?COMPANY=3

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке системы:
расшифровки no_more_ransom на сегодня нет.

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
Пред. 1 ... 5 6 7 8 9 ... 41 След.
Читают тему (гостей: 3)