Шифровальщик No More Ransom зашифровал все важные файлы на пк [Trojan-Ransom.Win32.Shade.mrl ]

[genius7sage]

Дал фалам имена типа:
Kh+cXlUY+ekou5u-Do1Lbi6euQ+fO2qYC7GPZNYIvePM2n7sshmXaAS1E-aNvMaoZe2Q8Dta3niqbLFX4kjx7C7pmvHT15mrz-jsZDpEXUVOo-p0q5tLyJd2O8TVHX7d.AA40**********.NO_MORE_RANSOM


Бухгалтерша открыла письмо со странной ссылкой ... И конечно же перешла ... скачала вложение запустила его, после чего появился черный экран с требованием выкупа


Текст письма:

Скрытый текст

Здравствуйте! Новый счет во вложенных файлах или тут> hxxp://xxx

С уважением
Анатолий Тарасов

Менеджер компании Ростелеком

Скрыть

Решил ему написать ради интереса просит 20 000 руб

Скрытый текст

Стоимость дешифровки 20000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 2 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл,
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.
И помните пожалуйста, что цена каждый день растет.
PS Пишите четко, ясно, предельно понятно, учитывайте, что кроме Вас пишет много человек,
в диалоги не вступаю, работа по приницпу быстро заплатил, сразу получил.Не устраивает цена услуги, больше не пишите.
Биткоины можно купить или добывать БЕСПЛАТНО, например майнить.О майнинге можно почитать в википедии или на других ресурсах.
УСлуга расшифровки бесплатная.Вам выбирать, бесплатно добывать биткоины либо не теряя времени их купить.Решать только Вам

Скрыть

Служебные заголовки может помогут?:
Первоначальное письмо:

Скрытый текст

Delivered-To: Lid********@mail.ru
Return-path: <>
Authentication-Results: mxs.mail.ru; spf=none () [email protected] smtp.helo=HTTP2017
Received-SPF: none
Received: from [192.241.129.181] (port=56789 helo=HTTP2017)
by mx163.mail.ru with esmtp (envelope-from <[email protected]>)
id 1d3I2f-00043f-Lr
for Lid********@mail.ru; Wed, 26 Apr 2017 11:11:18 +0300
Received: by HTTP2017 (Postfix, from userid 33)
id BBEC912B37B; Wed, 26 Apr 2017 05:11:16 -0300 (BRT)
To: Lid********@mail.ru
Subject: ----
X-PHP-Originating-Script: 0:system_m.php
MIME-Version: 1.0
Content-type: text/html; charset=UTF-8
From: Тарасов Алексей<[email protected]>
Message-Id: <20170426081116.BBEC912B37B@HTTP2017>
Date: Wed, 26 Apr 2017 05:11:16 -0300 (BRT)
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
X-DMARC-Policy: no
X-Mras: OK
X-Spam: undefined

Скрыть

Ответ от мошенника:

Скрытый текст

Delivered-To: [email protected]
Return-path: <[email protected]>
Authentication-Results: mxs.mail.ru; spf=pass (mx125.mail.ru: domain of gmail.com designates 74.125.82.54 as permitted sender) [email protected] smtp.helo=mail-wm0-f54.google.com;
dkim=pass header.d=gmail.com
Received-SPF: pass (mx125.mail.ru: domain of gmail.com designates 74.125.82.54 as permitted sender) client-ip=74.125.82.54; [email protected]; helo=mail-wm0-f54.google.com;
Received: from mail-wm0-f54.google.com ([74.125.82.54]:35602)
by mx125.mail.ru with esmtp (envelope-from <[email protected]>)
id 1d3QF2-00074L-0a
for [email protected]; Wed, 26 Apr 2017 19:56:36 +0300
Received: by mail-wm0-f54.google.com with SMTP id w64so56575899wma.0
for <[email protected]>; Wed, 26 Apr 2017 09:56:35 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=20161025;
h=mime-version:from:date:message-id:subject:to;
bh=RF9IKzXunKcZ9MAt7gLcLPhQv2h2TLXjSsd0AeZs4ko=;
b=qAKaK0By/9ApxCNgLxMmstG8uXMXPht8YVePXbIp6TC1RT4cvXTju+X7zCDeDYy4A8
tmv3hmWVHk7pJEU1jFZUoOXlZGH2dXVyx+Tu+1D6GxgvA3RUPJXQ+bbq1LthExJqybzr
J21YAbvPWxuz9JcP6IQFy4nOAVb77anWhjvwGVPVZ29YK8plGJHUcjuXHiBVRkthf0GZ
zH62mRO+j1VIs9Oe+bq9vlZkmTQ6psRK/E0OY4TBLptAzjpaPLjY7z8MDo+JF5rOwiL0
5BypxMIZ2hj/oYiU3vJ57zvmlF0yuJE7IFHKrotmnLcIXZNCLgg/wm4xAGlI+OaWyLVa
WIkw==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20161025;
h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
bh=RF9IKzXunKcZ9MAt7gLcLPhQv2h2TLXjSsd0AeZs4ko=;
b=Ye4UqfxTyl4HiKzbQOslViS0SDalvhcVoR0ZcA7MpCmlUSe6v0cN50ZYDEQNpK0gL1
+TXer4DcTOdwN/6WvNkEw6K5TsrhStBQsdMx25qv77xPcF3+hnqGRioe6lL4tdR/Hv3w
TTNmYnRcYZQM0CvidnKPlQsqSjj7ugvh1pR9nzoOyvKeJ1W0ViRzqj549xGsYKeuPHy3
WxIqlngtSMZN8U1Rjm7zPAVa9dMtWOsF7nvCt+gzxhIa1db2GZk/YyB886tKnbOwpZ3l
9a7rPaqHos7oIPl6VbQOEKdUR9jOFHXgJPyZxcKTWZDbF06fKQfyFk6/0JE3kvpKhuj2
f7Iw==
X-Gm-Message-State: AN3rC/5hLvObFs+svis+0zxC5Xyse7aSBQ8HcZ1wjzUXsQiOFIpPcbTE
t53Z+TkR8j24kZsTltWd84ToR7wzbKa8
X-Received: by 10.28.238.9 with SMTP id m9mr6298439wmh.72.1493225795173; Wed,
26 Apr 2017 09:56:35 -0700 (PDT)
MIME-Version: 1.0
Received: by 10.223.152.13 with HTTP; Wed, 26 Apr 2017 09:56:34 -0700 (PDT)
From: pilotpi lot33 <[email protected]>
Date: Wed, 26 Apr 2017 18:56:34 +0200
Message-ID: <CAM4ZOHMBu8vVP8xLSrnMEUUdME7StNhuWPuSZM+SF3+Q7wA=Eg@mail.gmail.com>
Subject: AA40DCF5C1F47CB87D7D|0
To: [email protected]
Content-Type: multipart/alternative; boundary=001a1146b2e81746e6054e14b9f6
X-DMARC-Policy: none
X-DMARC-Result: pass
X-Mras: OK
X-Spam: undefined

Скрыть

Без названия.png
В данный момент ПК стоит без интернета.
Зашифрованы в основном .doc и базы 1С
Помогите пожалуйста, чем возможно, заранее всем спасибо!
Возможно ли расшифровать файлы?
Прикрепляю лог Autologger.

[Info_bot]

Уважаемый(ая) genius7sage, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis, если этот прокси сервер сами не прописывали:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080

Сделайте повторные логи по правилам

[genius7sage]

Спасибо большое за ответ! Подскажите, возможно ли расшифровать документы, они были очень важные, если на данный момент невозможно, стоит ли делать их резервную копию? - Появиться ли в будущем возможность их расшифровать?
Карантин по красной ссылке загрузил.
Повторный отчет:

[mike 1]

Нет, нельзя. Восстанавливайте информацию из резервных копий.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[genius7sage]

Жаль что нельзя , он стер все точки восстановления, восстанавливаться не из чего ...
Логи Farbar Recovery Scan Tool

[mike 1]

Office (S-1-5-21-551009471-3326723146-3462190458-1001 - Administrator - Enabled) => C:\Users\Office

Еще один повод не сидеть под учетной записи Администратора в повседневной жизни, а всяких там клерков, бухгалтеров нужно ограничивать в правах. Кстати, я думаю он не только стер вам теневые копии, но спер ваши пароли, сохраненные в браузерах.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   HKLM-x32\...\Run: [] => [X]
   Toolbar: HKU\S-1-5-21-551009471-3326723146-3462190458-1001 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
   2017-04-26 12:14 - 2017-04-26 12:14 - 02764854 _____ C:\Users\Office\AppData\Roaming\EEAFD6B9EEAFD6B9.bmp
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README9.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README8.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README7.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README6.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README5.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README4.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README3.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README2.txt
   2017-04-26 12:14 - 2017-04-26 12:14 - 00004150 _____ C:\Users\Office\Desktop\README10.txt
   Folder: C:\ProgramData\Kaspersky Lab\AVP16.0.1\SysWHist

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[genius7sage]

Архив дата и время создан не был

[mike 1]

C:\ProgramData\Kaspersky Lab\AVP16.0.1\SysWHist

Пришлите содержимое этой папки.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Shade.mrl