файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 ... 34 35 36 37 38 ... 41 След.

Сообщений: 3

Баллов: 1

Регистрация: 20.02.2019

Размещено 21.02.2019 08:38:46

Цитата
santy написал: (!) STARTF.EXE заражен неизвестным вирусом! Внесите сигнатуру вируса в базу. заархивируйте с паролем infected файл startf.exe из папки uVS, выложите архив на http://sendspace.com и дайте ссылку на него в личные сообщения. если в системе не установлен антивирус, сделайте проверку с помощью ESET Online Scanner https://www.eset.com/int/home/online-scanner/

Цитата

santy написал:
(!) STARTF.EXE заражен неизвестным вирусом! Внесите сигнатуру вируса в базу.
заархивируйте с паролем infected файл startf.exe из папки uVS, выложите архив на http://sendspace.com и дайте ссылку на него в личные сообщения.

если в системе не установлен антивирус, сделайте проверку с помощью ESET Online Scanner
https://www.eset.com/int/home/online-scanner/

Этот файл находится в архиве с утилитой uVS v4.1.2, которую я скачал с вашего сайта )
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

Прикрепленные файлы

2019-02-21_073742.png (20.71 КБ)

Изменено: Igor VV - 21.02.2019 08:42:48

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2019 08:48:46

да, это один из файлов uVS, но если uVS сигнализирует что с его исполняемыми файлами что-то не в порядке, значит есть подозрение, что может быть в системе заражение,
которое модифицирует стартовые файлы uVS
мне нужно сравнить этот файл с оригиналом. был ли он изменен или нет.

только этот файл нужен не из архива, а из папки, куда вы распаковали архив, и откуда вы запускали uVS для создания образа автозапуска

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 20.02.2019

Размещено 21.02.2019 09:12:59

Цитата
santy написал: да, это один из файлов uVS, но если uVS сигнализирует что с его исполняемыми файлами что-то не в порядке, значит есть подозрение, что может быть в системе заражение, которое модифицирует стартовые файлы uVS мне нужно сравнить этот файл с оригиналом. был ли он изменен или нет. только этот файл нужен не из архива, а из папки, куда вы распаковали архив, и откуда вы запускали uVS для создания образа автозапуска

Цитата

santy написал:
да, это один из файлов uVS, но если uVS сигнализирует что с его исполняемыми файлами что-то не в порядке, значит есть подозрение, что может быть в системе заражение,
которое модифицирует стартовые файлы uVS
мне нужно сравнить этот файл с оригиналом. был ли он изменен или нет.

только этот файл нужен не из архива, а из папки, куда вы распаковали архив, и откуда вы запускали uVS для создания образа автозапуска

К сожалению, вчера после окончания работы, я удалил папку. Но сегодня, скачал с сайта заново и проделал ту же работу. Программа опять сказала, что файл заражен. Запаковал и загрузил https://www.sendspace.com/file/inzvij

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.02.2019 09:24:58

хорошо, разберемся.
(да, проблема была на нашей стороне, связанная с несогласованным обновлением модулей,
на функцию создания образа она не повлияла)

-----------
судя по образу, файлы шифратора уже неактивны, и вычищены из системы

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.02.2019

Размещено 28.02.2019 08:38:58

файл образа автозапуска системы

Прикрепленные файлы

IN4412567_2019-02-28_08-28-53_v4.1.3.7z (573.8 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.02.2019 10:22:07

@UTREXX,

судя по образу, в системе нет файлов шифратора, или уже очищена.
по расшифровке не поможем.
восстанавливаем документы из архивных копий.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.02.2019

Размещено 28.02.2019 11:07:44

файл образа автозапуска системы

Прикрепленные файлы

IN4412184_2019-02-28_10-58-27_v4.1.3.7z (712.74 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.02.2019 11:30:20

@UTREXX,

здесь еще и майнер добавлен в автозапуск, помимо шифратора.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679B1BB9DE4C720B8369F49CC81205254DB90A89FA1F78428611BD50D6718B66DBC2573E555A0C9381849F46D10C127CDFE872929F682D2D77A4E882D62373 8 Win32/Filecoder.ED [ESET-NOD32] 7 zoo %SystemDrive%\USERS\DUDAKOV_D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TSKM.EXE addsgn 1A54729A5583C48CF42B51944C7B5705E94630A002BE3B6C8E03B094DB9A555CA853E75B0D876AB8A0580FDB621EBE0BF62F63B1A2BE943CA6BF2FE930620663 8 Win32/CoinMiner.DN 7 chklst delvir apply regt 27 deltmp delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_11.0.10\READER11MANIFEST2.MSI delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref %Sys32%\DRIVERS\IWNNWF.SYS delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %Sys32%\IGFXCFG.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE16\MSO.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPRGO.DLL delref %SystemDrive%\PROGRAM FILES\FALCONGAZE SECURETOWER\EPA\AUTORECORDING\AUDIO_SNIFFER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref G:\SISETUP.EXE delref G:\STARTME.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B1BB9DE4C720B8369F49CC81205254DB90A89FA1F78428611BD50D6718B66DBC2573E555A0C9381849F46D10C127CDFE872929F682D2D77A4E882D62373 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\USERS\DUDAKOV_D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TSKM.EXE
addsgn 1A54729A5583C48CF42B51944C7B5705E94630A002BE3B6C8E03B094DB9A555CA853E75B0D876AB8A0580FDB621EBE0BF62F63B1A2BE943CA6BF2FE930620663 8 Win32/CoinMiner.DN 7

chklst
delvir

apply

regt 27
deltmp
delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_11.0.10\READER11MANIFEST2.MSI
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref %Sys32%\DRIVERS\IWNNWF.SYS
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPRGO.DLL
delref %SystemDrive%\PROGRAM FILES\FALCONGAZE SECURETOWER\EPA\AUTORECORDING\AUDIO_SNIFFER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref G:\SISETUP.EXE
delref G:\STARTME.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке не поможем.
восстанавливаем документы из архивных копий.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 06.03.2019

Размещено 06.03.2019 22:20:41

Цитата
Camper Oh написал: Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл ------------------- расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, .crypted000007 на текущий момент нет. Восстановление документов возможно в данный момент только из архивных или теневых копий.

Цитата

Camper Oh написал:
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

Не менее важно, чем восстановление данных, удаление самого вируса.
По восстановлению - есть наработки. "may be decryptable under certains circumstances.

ID ransomware link : https://id-ransomware.malwarehunterteam.com/identify.php?case=329e383fafff2b48ef4ae1baedd6ac0e7a57bd1b"

Т.е., расшифровка при определенных обстоятельствах всеже возможна

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.03.2019 04:57:02

Цитата
Григорий Сердючный написал: Т.е., расшифровка при определенных обстоятельствах всеже возможна

удалить тела шифратора после шифрования необходимо, поскольку в случае восстановления документов например их архивных копий, они могут быть опять зашифрованы.
"определенные обстоятельства" в данном случае- это наличие приватного ключа. за который злоумышленники предлагают заплатить.

[ Как создать образ автозапуска? ]

Пред. 1 ... 34 35 36 37 38 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt