Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
 
Camper Oh
Camper Oh
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 29.11.2016
Размещено 29.11.2016 03:21:13
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 5 6 7 8 9 ... 41 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.01.2017 16:36:50
Цитата
Olga Tereshenok написал:
Спасибо большое. Все сделала.
Скажите,  пожалуйста, бывает, что средство против дешифратора не находится совсем?
Или все рано или поздно расшифровывают?
бывает. и довольно часто.
в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
[ Как создать образ автозапуска? ]
 
Ambro Lastwill
Ambro Lastwill
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 03.01.2016
Размещено 16.01.2017 19:53:33
Пользователь поймал .no_more_ransom шифровальщик. Восстановил систему с контрольной точки. Пользовательские файлы откат не спас. На всякий случай образ сделал, прикрепил. Нужно ли прикреплять зашифрованный файл?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6237
Баллов: 4989
Регистрация: 25.05.2010
Размещено 16.01.2017 20:56:25
Ambro Lastwill

Образ нужно делать по инструкции.
т.е. полный образ автозапуска с проверкой подписей.
Так можно и пол дня сидеть  проверять.
Изменено: RP55 RP55 - 16.01.2017 20:56:52
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6237
Баллов: 4989
Регистрация: 25.05.2010
Размещено 16.01.2017 21:11:09
Ambro Lastwill

Вирус всё ещё активен.

Начало:
C:\USERS\AMBRO\DOWNLOADS\НЕ ПОДТВЕРЖДЕН 7844.CRDOWNLOAD

Итог:
\PROGRAMDATA\WINDOWS\CSRSS.EXE
\USERS\CHEPKASOVA_EA\APPDATA\ROAMINGPYX58.EXE

Может и что ещё есть.
 
Ambro Lastwill
Ambro Lastwill
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 03.01.2016
Размещено 17.01.2017 00:38:39
В инструкции написано "или". Просканировал машину со свежей базой, убил два объекта. Сделал полный образ (с проверкой подписей), приложил
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.01.2017 02:22:56
@Ambro Lastwill,
по второму образу: файл шифратора остался в автозапуске.
выполните очистку системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 29 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\KOSACHEVA_EV\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\CHEPKASOVA_EA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
[ Как создать образ автозапуска? ]
 
Ольга Иванова
Ольга Иванова
Пользователь
Сообщений: 1
Регистрация: 17.01.2017
Размещено 17.01.2017 21:25:13
  1. Добрый вечер,Santy. Меня постигла та же учесть что и многих здесь-открыла письмо и поймала вирус,теперь все файлы зашифрованы и содержат расширение "no_more_ransom". Нужна помощь по расшифровке. Файл создания образа автозапуска прилагаю.
 
Олег Мотков
Олег Мотков
Пользователь
Сообщений: 1
Регистрация: 17.01.2017
Размещено 17.01.2017 22:57:00
Сегодня заразился шифровальщиком. Все файлы зашифрованы в расширении "no_more_ransom"

Как узнать о возможности расшифровки?
Изменено: Олег Мотков - 17.01.2017 23:55:20
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.01.2017 04:43:06
Цитата
Ольга Иванова написал:
 Добрый вечер,Santy. Меня постигла та же учесть что и многих здесь-открыла письмо и поймала вирус,теперь все файлы зашифрованы и содержат расширение "no_more_ransom". Нужна помощь по расшифровке. Файл создания образа автозапуска прилагаю.
Ольга Иванова,
судя по образу, система уже очищена от тел шифратора

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

hide D:\OLDDISK\C\TOTALCMD\TOTALCMD.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\UPDATER

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAAAAIABCOPKPLHGAEDHBLOEEJHHANKF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://PITERAME.COM/MLQJ1E5E/YSGX53.EUK

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\OPERATOR\LOCAL SETTINGS\APPLICATION DATA\ASKPARTNERNETWORK\TOOLBAR\UPDATER\IDC

regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке системы:
расшифровки no_more_ransom на сегодня нет.

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.01.2017 04:52:53
Цитата
Олег Мотков написал:
Сегодня заразился шифровальщиком. Все файлы зашифрованы в расширении "no_more_ransom"

Как узнать о возможности расшифровки?
Олег Мотков,
судя по образу, система уже очищена от шифраторов.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SINDEX.BIZ/?COMPANY=3

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке системы:
расшифровки no_more_ransom на сегодня нет.

в вашем случае рекомендуем сохранить важные папки с зашифрованными документами на отдельный носитель,
и хранить в течение хотя бы года.
возможно появится расшифровка.
+
добавьте несколько зашифрованных файлов в архиве на форум.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 5 6 7 8 9 ... 41 След.
Читают тему