[QUOTE]Игорь Александров написал:
Добрый вечер, на днях словил шифровальщика .wallet
На тестовой виртуалке (накатил образ с дефолтным паролем и включенным rdp, через неделю вспомнил, включил а там все зашифровано) есть много шифровоных файлов и их не шифрованных копий, есть тушка вируса.
Если это может помочь в расшифровке могу выслать на почту.[/QUOTE]
вышлите тело шифратора в архиве с паролем infected в почту [email protected]

Дмитрий, можно на тему подписаться.
просто в этой теме, думаю, еще много будет сообщений, до того, как появится решение.

да, получено сообщение. спасибо.

работать в системе можно, поскольку она очищена от тел шифратора, другое дело что возможно часть программ придется переустановить, если шифратор затронул их файлы.

вся база pst не нужна,
думаю можно сохранить отдельное сообщение в файл. вот этот файл потом можно заархивировать, и переслать.

http://www.outsidethebox.ms/16791/

неужели тот самый Нагиев здесь побывал однажды, и даже зарегистрировался 5лет назад :)
https://forum.esetnod32.ru/user/14669/

зашифрованные файлы можно откопировать на отдельный носитель и сохранить, если есть важные документы.
возможно в течение года решение будет получено. не у нас так в другом вирлабе.

можно воспользоваться например этой программой.
https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

интерфейс англоязычный, но понятный должен быть.
укажите расширение (extension) и можно будет создать лог по всем зашифрованным файлам с указанным расширением.

потом выбрать функцию: например, заархивировать и переместить в указанное место.

по вредоносному вложению:

[QUOTE]Кстати нашел письмо-виновник. Адресат ПАО "Сбербанк" Третьяков Василий Ильич[/QUOTE]

поместите в архив с паролем infected и вышлите в почту [email protected] для проверки.

+
если скрипт выполнен, добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки uVS

Дмитрий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0b4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref %SystemDrive%\USERS\ACSON\APPDATA\LOCAL\TEMP\CHROME_BITS_337­6_2912\EXTENSION_0_57_44_2492.CRX
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {1CA1377B-DC1D-4A52-9585-6E06050FAC53}\[CLSID]
delref {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC}\[CLSID]
delref %Sys32%\BLANK.HTM
delref H:\MINSTALL.EXE
delref H:\WPI\MINST.EXE
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
apply

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке восстановить документы можно лишь из бэкапов.
расшифровки по .no_more_ransom нет на ближайшее будущее.

Максим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0b3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Максим Иванов,
если необходима помощь в очистке системы, добавьте образ автозапуска.
(с расшифровкой файлов придется подождать неопределенно долго)