Олег Иванов,
у ESET большинство шифраторов классифицируется как Filecoder.
например Filecoder.ED - это Ransom.Shade, шифрует уже несколько лет, xtbl/breaking_bad/better_call_saul/da_vinci_code/windows10/n­o_more_ransom
решение по расшифровке нет, если только ключи от злодеев не подарены в вирлабы.
возможно потому и молчат, что нет решения по расшифровке.
потому я прошу вас уточнить, с каким типом шифратора вы столкнулись, или хотя бы указать с каким расширением зашифрованы файлы,

ну, мистика значит, :), непонятно по какой-кривой меня вынесло на тот файл.

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Мартынов Николай написал:
[QUOTE] santy написал:
Николай,
этот образ уже смотрели здесь
 [URL=https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332]https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332[/URL] [/QUOTE]Не понял, что значит уже смотрели?[/QUOTE]
по ссылке был этот образ

[QUOTE] WINCTRL-49LC454_2016-12-04_10-06-37.7z (654.63 КБ)[/QUOTE]
новый образ сейчас гляну

по очистке выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0

deldirex %SystemDrive%\PROGRAM FILES\METACRAWLER\1.8.19.0\BH

; Java™ 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Николай,
этот образ уже смотрели здесь
https://forum.esetnod32.ru/messages/forum35/topic13688/message96332/#message96332

[SIZE=14pt]по Filecoder.NDG расшифровка возможна.[/SIZE]

[QUOTE]Геннадий Сердечный написал:
Добрый день.
Поймали шифровщика no_more_ransom, нужна помощь

[URL=http://rgho.st/7RBzcqSff]http://rgho.st/7RBzcqSff[/URL] [/QUOTE]
Геннадий,
система уже очищена от файлов шифратора.

по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Ivan22 написал:
Вечерочка
тоже поймали шифровальщика *.NO_MORE_RANSOM
в 14:20 его запустили, в 14:24 выключили подозрительный процесс в диспетчере задач
скидываю файлы которые думаю помогут в подготовке дешифратора
у пользователя прав администратора не было
текстовые файлы с инструкцией лежали на сетевом диске M: , на локальных инструкции нету[/QUOTE]
по очистке системы выполните
(у вас файл шифратора еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC296­71C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A414­0472251B 8 no_more_ransom

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\EAA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\70GY2GSO\0812[1].EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по no_more_ransom нет.
тем не менее
сохраните документы из важных папок на отдельный носитель.

напишите в [email protected] при наличие лицензии на антивирус ESET

вряд ли это возможно,
антивирус используется для мониторинга за вирусной активностью, а не за компьютерной активностью вообще

время покажет. понаблюдайте за проблемой

запуск браузера периодически выполнялся через эту задачу
Task: {8DABD838-E47E-4343-BEEC-DA4ADB4A7DE0} - \InternetBD -> No File <==== ATTENTION

теперь она удалена скриптом в FRST
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8DABD838-E47E-4343-BEEC-DA4ADB4A7DE0} => key not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\InternetBD => key not found.

и произвольного запуска не должно быть больше.