santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2017 12:29:11

Антон,
судя по образу система уже очищена от файлов шифратора.

по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2017 10:57:34

Валерий Мельничук,
расшифровка возможна, хотя видимо не для всех файлов.
напишите в почту [email protected]
------
+
добавьте образ автозапуска, можно из безопасного режима для проверки системы.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2017 09:10:27

Евгений,
по правилам нашего форума мы не оказываем помощь пользователям,
которые используют ломанный антивирус.
а вы, судя по образу используете его.

Цитата
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE

поэтому,
обращаемся за помощью на другой форум.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2017 08:49:05

Валерий,
да, эти пары нормальные, по крайней мере чистые файлы открываются,
чуть позже напишу результат проверки

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2017 00:51:18

Цитата
Валерий Мельничук написал: где мне взять не битый файл? если закодировало все. в архиве что я залил в сообщении выше: один файл зашифрованный, один дешифрованный касперским (и тоже не открывается) и еще сделанный в скрин экрана и забитый в пейнт (то есть сделанный уже после того как вирус убит). но вопрос начале абзаца - где взять другой небитый файл - я не знаю (

Цитата

Валерий Мельничук написал:
где мне взять не битый файл? если закодировало все. в архиве что я залил в сообщении выше: один файл зашифрованный, один дешифрованный касперским (и тоже не открывается) и еще сделанный в скрин экрана и забитый в пейнт (то есть сделанный уже после того как вирус убит). но вопрос начале абзаца - где взять другой небитый файл - я не знаю (

1. архивные копии,
2. проверьте теневые копии, если чистема на клиенте выше чем XP
3. возможно есть зашифрованные файлы системы, можно найти чистые аналоги этих файлов в сети, или на других чистых машинах.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2017 00:32:00

Цитата
Валерий Мельничук написал: касперского патчи брал от сюда https://support.kaspersky.ru/viruses/disinfection/4264

ну, во первых, это называется не патчи, а утилиты.
декодеры.
rector здесь не подойдет.

для проверки расшифровки необходима пара: чистый - зашифрованный файл.
поищите внимательно на диске, возможно есть чистые копии документов в архивах.

+ поищите среди зашифрованных файлов такие

Chrysanthemum.jpg
Desert.jpg
Koala.jpg

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.01.2017 17:46:19

Валерий,
вы уже пробовали чем то расшифровать файлы?
у вас оба файла:
CDBE3D67-4A65-4869-96F8-159DE4FD16BC.JPG
и
CDBE3D67-4A65-4869-96F8-159DE4FD16BC.JPG.id70915
имеют одинаковые хэши, т.е. по сути это одинаковые файлы.

CRC32: 579B1997
MD5: B502B60E756A31FD18A8E1E407055540
SHA-1: D45B0ED88D422D4D7F0DAAE4AF91A7E4E98AE851

причем первый из них так же не открывается, т.е. в зашифрованном состоянии.
--------------
нужна пара: чистый и зашифрованный, и чтобы чистый файл, если это картинка, нормально открывался графической программой,
если это офисный документ: xls или doc, то нормально открывался в Офисе,
если pdf - то нормально открывался в acrobat reader или foxit

опишите, что у вас произошло яснее,
поищите таки чистые аналоги для зашифрованных документов.
--------------
это поясните: какие программы использовали для восстановления.

Цитата
для восстановления файлов воспользовался тремя патчами от касперского. два из них ничего не сделали. третий нашел файлы восстановил, но.... восстановленные файлы документов, видео, фото - не открываются. а архивы открываются некоторые (в основном которые содержали файлы программ -те же архивы драйверов), остальные тоже битые.

Цитата

для восстановления файлов воспользовался тремя патчами от касперского. два из них ничего не сделали. третий нашел файлы восстановил, но.... восстановленные файлы документов, видео, фото - не открываются. а архивы открываются некоторые (в основном которые содержали файлы программ -те же архивы драйверов), остальные тоже битые.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.01.2017 10:31:42

Дмитрий,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 28 no_more_ransom ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 28 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.01.2017 09:35:12

собственно,
после завершения шифрования в автозапуске остается только html-записка о выкупе (не представляет угрозы).

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&UTM_SOURCE=IEB&UTM_MEDIUM=CPC&UTM_CAMPAIGN=BROWSERS delref HTTP://SEARCH.QIP.RU/IE delref HTTP://QIP.RU/?UTM_SOURCE=QIP2012&UTM_MEDIUM=CPC&UTM_CAMPAIGN=QIP2012_START delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.QIP.RU/ deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&UTM_SOURCE=IEB&UTM_MEDIUM=CPC&UTM_CAMPAIGN=BROWSERS

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU/?UTM_SOURCE=QIP2012&UTM_MEDIUM=CPC&UTM_CAMPAIGN=QIP2012_START

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровка в данном случае, (как и с VAULT) видимо, возможна в том случае, если будет получен доступ к приватным ключам мошенников.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.01.2017 09:02:22

Цитата
Олег Бакеркин написал: - Образ автозагрузки сделанный ПО в вашей подписи

образ автозапуска добавьте в ваше сообщение здесь, на форум.

[ Как создать образ автозапуска? ]

Перейти