• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Расшифровка файлов NO_MORE_RANSOM

Статус
В этой теме нельзя размещать новые ответы.

Андрей72

Новый пользователь
Сообщения
4
Реакции
0
Добрый день, получил сообщение от "сбербанка", открыл вложенный файл и запустил скрипт. В результате все мои файлы зашифрованы.
Помогите пожалуйста дешифровать файлы!!!
 

Вложения

  • CollectionLog-2017.04.15-17.36.zip
    83.9 KB · Просмотры: 3
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('e:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('e:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('e:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
 
Сделал!
 

Вложения

  • CollectionLog-2017.04.15-21.11.zip
    80.4 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Готово.
 

Вложения

  • Addition.txt
    100.2 KB · Просмотры: 1
  • FRST.txt
    143.5 KB · Просмотры: 1
  • Shortcut.txt
    66 KB · Просмотры: 1
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-04-14 19:04 - 2017-04-15 16:17 - 00000000 __SHD E:\Documents and Settings\All Users\Application Data\services
2017-04-14 19:02 - 2017-04-15 16:17 - 00000000 __SHD E:\Documents and Settings\All Users\Application Data\Csrss
2017-04-14 19:01 - 2017-04-14 19:01 - 02359350 _____ E:\Documents and Settings\Администратор\Application Data\C947ECCBC947ECCB.bmp
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README9.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README8.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README7.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README6.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README5.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README4.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README3.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README2.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README10.txt
2017-04-14 19:01 - 2017-04-14 19:01 - 00004162 _____ E:\Documents and Settings\Администратор\Рабочий стол\README1.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README9.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README8.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README7.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README6.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README5.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README4.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README3.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README2.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README10.txt
2017-04-14 15:32 - 2017-04-14 15:32 - 00004162 _____ E:\README1.txt
2017-04-14 15:31 - 2017-04-15 20:44 - 00000000 __SHD E:\Documents and Settings\All Users\Application Data\Windows
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.
Подробнее читайте в этом руководстве.
 
С расшифровкой помочь не сможем.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу