Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS
 
Camper Oh
Camper Oh
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 29.11.2016
Размещено 29.11.2016 03:21:13
Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 11 12 13 14 15 ... 41 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.03.2017 11:33:47
@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.
[ Как создать образ автозапуска? ]
 
Иван Лебедев
Иван Лебедев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 01.03.2017
Размещено 01.03.2017 12:33:50
Добрый день,

Вирус шифровальщик с электронной почты зашифровал все файлы на компе, как быть?

Прикреплен образ диска и архив с вредоносным письмом и образцами зашифрованных файлов. Код архива - 0000
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.03.2017 15:29:41
Иван Лебедев,
выполните скрипт для очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234452BD4C6BD4EE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD64FFFE82BD6D73C600D775BACCA966E53 8 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\TEMP\RAR$EX00.639\GREENCHRISTMASTREE.EXE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 23 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Иван Лебедев
Иван Лебедев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 01.03.2017
Размещено 01.03.2017 16:24:08
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..
 
Lekar Instrument
Lekar Instrument
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 28.02.2017
Размещено 01.03.2017 16:26:45
Цитата
santy написал:
@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.
Спасибо за помощь!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.03.2017 16:39:18
Цитата
Иван Лебедев написал:
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..
в ближайшем будущем нет, в неопределенном будущем  - есть.
[ Как создать образ автозапуска? ]
 
Иван Лебедев
Иван Лебедев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 01.03.2017
Размещено 01.03.2017 16:41:55
Цитата
santy написал:
Цитата
 Иван Лебедев  написал:
Выполнили все как сказали, вот новый образ. Есть ли шанс на дешифровку в ближайшем будущем?..
в ближайшем будущем нет, в неопределенном будущем  - есть.
Спасибо успокоили! :)
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 02.03.2017 15:27:16
Пришло письмо на почту с следующим содержанием

Добрый день .

У Вас имеется счет на оплату.
Загрузить его можете на нашем сайте  по данной ССЫЛКЕ
(прим. ссылка удалена администратором)

С уважением, ПАО КБ «ПРИВАТБАНК» тел.: +38-056-716-11-31 (для звонков из-за рубежа
Вы получили это письмо, поскольку являетесь клиентом ПриватБанка. Если Вы хотите отказаться от сообщений, пожалуйста, нажмите здесь
Нам будет Вас не хватать :(.

При переходе скачали архив, открыли и конечно все зашифровало. Теперь все файлы имеют вид
ZNTio1UBXpDkeCcIJTT0Z5BIALTTdNA8ZBBA-kfMXLaz12Aw03HNkwFmtQWJeLS5+G2yyFsW+pM9Hi+7ERcUEGGJfpEDVPBO0­Qju9esaJyifQkO6LLL0tRSt49TGI09GoArM87z27KY-gY+gi8kcrDJmITquxunj33n+Jwa4vsE=.1DB5E25C09277358FBD5.no_more_ransom

Теневое копирование было включено, но теперь ShadowExplorer видит только сегодняшнее состояние после шифрования.

По ссылке архив лежит который пришел на почту

NOD32 не словил этот вирус
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 02.03.2017 16:04:09
Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*
[ Как создать образ автозапуска? ]
 
Сергей Жало
Сергей Жало
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 14.12.2015
Размещено 02.03.2017 16:53:27
Цитата
santy написал:
Сергей Жало,
добавьте образ автозапуска системы, где произошло шифрование *.no_more_*
Машину уже пролечил, есть смысл вылаживать?
в вложении файл логов для вирусинфо
 
Пред. 1 ... 11 12 13 14 15 ... 41 След.
Читают тему