файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 ... 29 30 31 32 33 ... 41 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.11.2017 15:35:45

Станислав,
активных файлов шифратора уже нет в системе,
по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MICROSOFT\MSI.EXE addsgn A7679BF0AA029C624BD4C6D547881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7B90C49F75C4C32EF4CA9CE407DA3BE4AC965B2FC706AB7E 8 Win32/Kryptik 7 chklst delvir delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HFONHGKHIDIHINKNIHHBGAJJMDLCDLLH\8.22.7_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_1\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\HGGPKHIJOEADMDFMLBDEPFBNGMHALDCI\4.2.6.9_0\DEALPLY UK apply deltmp delref %SystemDrive%\TMP\CHROME_BITS_6460_2167\DIG1_151.CRX delref %SystemDrive%\TMP\WCT623.TMP delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\INITWIN\INITWIN.EXE delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {2C4A5D61-009C-4561-9A33-6AFD542FD237}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\BLANK.HTM delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref HELPSVC\[SERVICE] delref MBAMSERVICE\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\APPFRAMEHOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\XTREME GAMING ENGINE\ATITOOL\ATILLK64.SYS delref %Sys32%\DRIVERS\PARTIZAN.SYS delref %Sys32%\MSMIRADISP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref D:\СТАС РАБОТА\PRO100-5.41\PRO100_545.EXE delref %SystemDrive%\TEAMVIEWER\TEAMVIEWERPORTABLE.EXE delref %SystemDrive%\USERS\FABRE\DESKTOP\TVQS_11.0.65452.EXE delref %SystemDrive%\PROGRAM FILES (X86)\OCAM\UNINSTALL.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MICROSOFT\MSI.EXE
addsgn A7679BF0AA029C624BD4C6D547881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7B90C49F75C4C32EF4CA9CE407DA3BE4AC965B2FC706AB7E 8 Win32/Kryptik 7

chklst
delvir

delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HFONHGKHIDIHINKNIHHBGAJJMDLCDLLH\8.22.7_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\HGGPKHIJOEADMDFMLBDEPFBNGMHALDCI\4.2.6.9_0\DEALPLY UK
apply

deltmp
delref %SystemDrive%\TMP\CHROME_BITS_6460_2167\DIG1_151.CRX
delref %SystemDrive%\TMP\WCT623.TMP
delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\INITWIN\INITWIN.EXE
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {2C4A5D61-009C-4561-9A33-6AFD542FD237}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\APPFRAMEHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\XTREME GAMING ENGINE\ATITOOL\ATILLK64.SYS
delref %Sys32%\DRIVERS\PARTIZAN.SYS
delref %Sys32%\MSMIRADISP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref D:\СТАС РАБОТА\PRO100-5.41\PRO100_545.EXE
delref %SystemDrive%\TEAMVIEWER\TEAMVIEWERPORTABLE.EXE
delref %SystemDrive%\USERS\FABRE\DESKTOP\TVQS_11.0.65452.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OCAM\UNINSTALL.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
с расшифровкой не поможем.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 14.12.2017

Размещено 14.12.2017 09:34:42

Цитата
Ваши файлы были зaшифрованы. Чтобы расшuфрoвaть иx, Вам необxодимо omпрaвumь koд: AB52E8AF8F914A032643\|856\|7\|2 на элeктpонный адpеc [email protected] .

Прикрепленные файлы

SERVER-2_2017-12-14_09-32-20.7z (286.58 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2017 10:58:55

Цитата
Александр Парников написал: Ваши файлы были зaшифрованы.Чтобы расшuфрoвaть иx, Вам необxодимо omпрaвumь koд:AB52E8AF8F914A032643\|856\|7\|2

Александр,
судя по образу автозапуска, в системе уже нет тел шифратора.
расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий.
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов станет возможно станет возможной в будущем.

если у вас сохранился источник шифратора (из почты, или из сети), вышлите в почту [email protected] в архиве с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.12.2017

Размещено 16.12.2017 16:05:27

Добрый день, поймал crypted000007.
Варианты по расшифровки есть?

Вирус вроде удалён (в карантине сидит).
Прикрепил образ автозапуска системы.

Прикрепленные файлы

ZAVPOL_2017-12-16_15-58-50.7z (331.24 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.12.2017 16:26:50

файлики шифратора были прибиты скорее всего антивиром.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OKMJAIINIEHFKIEDDBEAEGFHPIPFPBME\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС apply deltmp delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\ESGSCANNER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OKMJAIINIEHFKIEDDBEAEGFHPIPFPBME\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС
apply

deltmp
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\ESGSCANNER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий.
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов станет возможно станет возможной в будущем.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.12.2017

Размещено 16.12.2017 18:56:53

У меня Filecoder.ED, вариантов расшифровки тоже нет?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.12.2017 05:13:35

Цитата
Igor Zh написал: У меня Filecoder.ED, вариантов расшифровки тоже нет?

Filecoder.ED=Ransom.Shade

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 21.12.2017

Размещено 21.12.2017 09:37:53

Зашифровались файлы с расширением .crypted000007.
Есть подозрения на файл из почты, архив.
Куда залить зашифрованные файлы + сам архив из почты?
Зашифрованные файлы:
https://cloud.mail.ru/public/2wyy/ivaUCWGfk

Автозагрузку скинуть не могу, ОС не выжила

Изменено: Владимир Луконин - 21.12.2017 10:13:39 (добавил ссылку)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.12.2017 09:45:01

Цитата
Владимир Луконин написал: Зашифровались файлы с расширением .crypted000007. Есть подозрения на файл из почты, архив. Куда залить зашифрованные файлы + сам архив из почты?

Владимир,
несколько зашифрованных файлов и записку о выкупе (readme.txt) в архиве добавьте на форум в ваше сообщение.
архив из почты вышлите в почту [email protected]
+
добавьте образ автозапуска системы,
возможно в системе сохранились файлы шифратора.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 21.12.2017

Размещено 21.12.2017 12:28:05

Baши фaйлы былu зaшuфрованы.
Чmoбы расшuфровamь иx, Вам нeoбxодимo отпpавиmь код:
CAF4261923F77E888218|0
на элeкmронный aдрес [email protected] .
Похоже что успели выключить компьютер до окончания шифрования, объём был большой и не вс данные зашифрованы.
Восстанавливали через теневые копии, но большинство данных оказались битыми.
Прикладываю архив с шифрованными фалами и они же, но не шифрованные.
Всё что осталось от шифратора, папка из темп, файл из автозагрузки и прочее.
пароль от архива - infected
Компьютер в чистке не нуждается. Есть возможность что-то с этим сделать.

Прикрепленные файлы

6893A5D897.7z (3.69 МБ)

Пред. 1 ... 29 30 31 32 33 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt