Вирус новиков вавила это как лечить

Обновлено: Март 2019


Один из вариантов обоев рабочего стола компьютера инфицированного шифровальщиком .crypted000007

Всё, что хотят злоумышленники и разработчики данного вируса, – это денежные средства в размере 200-1000$ (зависимо от страны жертвы). Само собой выкуп берётся биткоинами, для того чтобы получателя средств невозможно было идентифицировать. За расшифровку ВАШИХ ЖЕ ФАЙЛОВ.

При этом, .crypted000007 шифрует наиболее распространенные типы файлов: видео, фото, документы, файлы баз данных, pdf файлы. В один прекрасный момент пользователь может потерять семейную фото-галлерею, архив видео\музыки или базы данных по налоговой отчетности. Сrypted 000007 также шифрует информацию на серверах и может распространятся по локальной сети. Последнее время мы фиксируем случаи заражения в малых локальных сетях небольших предприятий и государственных учреждений (5-50 рабочих мест). В таких случаях сумма выкупа за расшифровку данных может возрасти.


Файлы зашифрованные вирусом crypted000007

Мы настоятельно не рекомендуем платить выкуп злоумышленникам, так как знаем о десятках случаев когда после оплаты пользователь НЕ ПОЛУЧАЛ ключ \ программное обеспечение для расшифровки своих файлов.

Верить мошенникам – себе дороже. Следуйте ниже приведенным инструкциям, для того чтобы попытаться восстановить хотя бы часть вашей информации.

Удалить вирус-шифровальщик .crypted000007 с помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса .crypted000007. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления шифровальщика .crypted000007.
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель no_more_ransom блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа. Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

    Использовать опцию “Предыдущие версии”. В диалоговом окне “Свойства” любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щечек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла. Использовать инструмент “Теневой проводник” ShadowExplorer

" data-medium-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" data-large-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" class="lazyload" data-src="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?resize=392%2C515" alt="previous-versions" width="392" height="515" data-recalc-dims="1" />

  • Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

    • Резервное копирование

    Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

    Проверить возможное наличие остаточных компонентов вымогателя .crypted000007

    Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

    No_more_ransom вирус — это новый вирус-шифровальщик, продолжение печально известной серии вирусов, в состав которой входят better_call_saul и da_vinci_code. Как и его предыдущие версии, этот вирус-вымогатель распространяется посредство спам сообщений. Каждое из этих электронных писем содержит присоединенный файл — архив, который в свою очередь содержит выполняемый файл. Именно при попытке его открытия происходит активизация вируса. No_more_ransom вирус зашифровывает файлы разнообразных типов (документы, картинки, базы данных, включая базы 1С) на компьютере жертвы. После окончания процесса шифрования, все знакомые файлы исчезают, а в папках где хранились документы появляются новые файлы со странными именами и расширением .no_more_ransom. Кроме этого на рабочем столе появляется сообщение подобное ниже приведённому:


    No_more_ransom вирус сочетает в себе черты разных обнаруженных ранее шифровальщиков. Как заявляют авторы вируса, в отличии от более ранних версий, которые использовали режим шифрования RSA-2048 с длиной ключа 2048 бит, no_more_ransom вирус использует ещё более стойкий режим шифрования, с большей длинной ключа (алгоритм шифрования RSA-3072).


    No_more-ransom вирус — форма обратной связи

    При заражении компьютера вирусом-шифровальщиком no_more_ransom, эта вредоносная программа копирует своё тело в системную папку и добавляет запись в реестр Windows, обеспечивая себе автоматический запуск при каждом старте компьютера. После чего вирус приступает к зашифровке файлов. Каждому заражённому компьютеру No_more_ransom шифровальщик присваивает уникальный ID, который жертва должна выслать авторам вируса для того чтобы получить свой собственный ключ расшифровки. При этом жертва должна заплатить за расшифровку .no_more_ransom файлов внушительную сумму.

    На настоящий момент нет 100% реально работающего способа бесплатно восстановить зашифрованные файлы. Поэтому мы предлагаем использовать бесплатные программы, такие как ShadowExplorer и PhotoRec для попытки восстановить копии зашифрованных файлов. В случае появления способа расшифровки .no_more_ransom файлов мы оперативно обновим эту инструкцию.

    No_more_ransom вирус распространяется посредством электронной почты. Письмо содержит вложенный заражённый документ или архив. Такие письма рассылаются по огромной базе адресов электронной почты. Авторы этого вируса используют вводящие в заблуждения заголовки и содержание писем, стараясь обманом заставить пользователя открыть вложенный в письмо документ. Часть писем сообщают о необходимости оплаты счёта, другие предлагают посмотреть свежий прайс-лист, третьи открыть весёлую фотографию и т.д. В любом случае, результатом открытия прикреплённого файла будет заражение компьютера no_more_ransom вирусом-шифровальщиком.

    Вирус-шифровальщик no_more_ransom — это продолжение семьи шифраторов, в которую входит большое количество других подобных вредоносных программ. Эта вредоносная программа поражает все современные версии операционных систем Windows, включая Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Этот вирус использует режим шифрования более стойкий чем RSA-2048 с длиной ключа 2048 бит, что практически исключает возможность подбора ключа для самостоятельной расшифровки файлов.

    Во время заражения компьютера, вирус-шифровальщик no_more_ransom может использовать несколько разных каталогов для хранения собственных файлов. Например C:\ProgramData\Windows, C:\Users\Все пользователи\Windows, C:\ProgramData\Csrss, C:\Users\Все пользователи\Csrss, C:\ProgramData\System32, C:\Users\Все пользователи\System32. В папке создаётся файл csrss.exe, который является копией исполняемого файла вируса. Затем шифровальщик создаёт запись в реестре Windows: в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Run, ключ с именем Client Server Runtime Subsystem. Этим вирус обеспечивает себе возможность продолжить шифрование. если пользователь по каким-либо причинам выключил компьютера.

    Сразу после запуска вирус сканирует все доступные диски, включая сетевые и облачные хранилища, для определения файлов которые будут зашифрованы. Вирус-шифровальщик no_more_ransom использует расширение имени файла, как способ определения группы файлов, которые будут подвергнуты зашифровке. Эта версия вируса шифрует огромное количество разных видов файлов, включая такие распространенные как:

    Сразу после того как файл зашифрован, он получает новое имя и расширение .no_more_ransom. После чего вирус создаёт на всех дисках и Рабочем столе текстовые документы с именам README.txt, README1.txt, README2.txt…, которые содержат инструкцию по расшифровке зашифрованных файлов.

    Вирус-шифровальщик no_more_ransom активно использует тактику запугивания, показывая на рабочем столе предупреждение. Пытаясь таким образом заставить жертву не раздумывая выслать ID компьютера на адрес электронной почты автора вируса для попытки вернуть свои файлы.

    Определить заражён компьютер или нет вирусом-шифровальщиком no_more_ransom довольно легко. Если вместо ваших персональных файлов появились файлы со странными именами и расширением no_more_ransom, то ваш компьютер заражён. Кроме этого признаком заражения является наличие файла с именем README в ваших каталогах. Этот файл будет содержать инструкцию по расшифровке no_more_ransom файлов. Пример содержимого такого файла приведён ниже.

    На текущий момент нет доступного расшифровщика .no_more_ransom файлов. Вирус-шифровальщик неоднократно сообщает жертве, что используется сильный алгоритм шифрования. Это означает, что без личного ключа, расшифровать файлы практически невозможно. Использовать метод подбора ключа так же не выход, из-за большой длины ключа. Поэтому, к сожалению, только оплата авторам вируса всей запрошенной суммы (9000 рублей и более) — единственный способ попытаться получить ключ расшифровки.

    Нет абсолютно никакой гарантии, что после оплаты авторы вируса выйдут на связь и предоставят ключ необходимый для расшифровки ваших файлы. Кроме этого нужно понимать, что платя деньги разработчикам вирусов, вы сами подталкиваете их на создание новых вирусов.

    Перед тем как приступить к этому, вам необходимо знать, что приступая к удалению вируса и попытке самостоятельного восстановления файлов, вы блокируете возможность расшифровать файлы заплатив авторам вируса запрошенную ими сумму.

    Kaspersky Virus Removal Tool (KVRT) и Malwarebytes Anti-malware (MBAM) могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

    Редактор реестра

    Нажмите на клавиатуре клавиши Windows и R (русская К) одновременно. Откроется небольшое окошко с заголовком Выполнить в котором введите:

    Запуститься редактор реестра. Откройте меню Правка, а в нём кликните по пункту Найти. Введите:


    Удалите этот параметр, кликнув по нему правой клавишей и выбрав Удалить как показано на рисунке ниже. Будьте очень внимательны!


    Закройте Редактор реестра.

    Перезагрузите компьютер. Откройте каталог C:\Documents and Settings\All Users\Application Data\Windows\ и удалите файл csrss.exe.

    HijackThis

    Скачайте программу HijackThis кликнув по следующей ссылке.


    После окончания загрузки программы, запустите её. Откроется главное меню как показано на рисунке ниже.


    Для начала сканирования кликните на кнопку Do a system scan only. Внимательно просмотрите результаты сканирования. Поставьте галочки напротив строк, аналогичных следующим:

    Пример выделения строк требующих удаления приведён ниже.

    Кликните по кнопке Fix checked. Подтвердите свои действия, кликнув по кнопке YES (Да). Закройте программу.

    Перезагрузите компьютер. Откройте каталог C:\Documents and Settings\All Users\Application Data\Windows\ и удалите файл csrss.exe.


    Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие вируса-шифровальщика.


    Дождитесь окончания этого процесса и удалите найденных зловредов.


    Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.


    Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.


    Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.


    Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

    После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

    В некоторых случая можно восстановить файлы зашифрованные вирусом-шифровальщиком no_more_ransom. Попробуйте оба метода.

    ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

    Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.


    Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.


    Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.


    И последнее, выберите папку в которую будет скопирован восстановленный файл.

    PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

    Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.


    В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.


    В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.


    По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

    В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

    Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.


    Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.


    В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

    Большинство современных антивирусных программ уже имеют встроенную систему защиты от проникновения и активизации вирусов-шифровальщиков. Более того, существуют и специализированные защитные программы. Например это CryptoPrevent.

    Скачайте CryptoPrevent и запустите. Следуйте указаниям мастера установки. Когда инсталлирование программы завершиться, вам будет показано окно выбора уровня защиты, как показано на следующем примере.


    Нажмите кнопку Apply для активации защиты. Подробнее о программе CryptoPrevent и как её использовать, вы можете узнать в этом обзоре, ссылка на который приведена ниже.

    Выполнив эту инструкцию ваш компьютер будет очищен от no_more_ransom вируса-шифровальщика. Если у вас появились вопросы или вам необходима помощь, то обращайтесь на наш форум.

    Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

    Комментарии

    Наталья, вероятно в системе уже активного no more ransom вируса нет, хотя для дополнительной проверки можете обратиться на наш форум.

    Да наверное , но вреестре папка с таким названием есть её удалить наверное? Я антивирусом прверяла много чего нашёл)

    Да ещё других папок заражённых нету только одна, и не появляется сканирую антивирусником каждый день, как мне теперь попробовать папку полечить воспользоваться 2 вариантом там мнго нужной мне инфы и что делать с этими письмами? Которые README1.txt.

    Наталья, если no more ransom вирус успел зашифровать только одну папку, то вам можно сказать повезло. Для восстановления файлов попробуйте оба варианта и ShadowExplorer и PhotoRec.
    А раздел no_more_ransom в HKEY_CLASSES_ROOT что содержит ?

    Добрый день. А существует возможность восстановить файлы типа .erf, .epf?

    Валерий добрый день вобщем первый способ на диске D показывает, что пуст , 2 способ восстанавливае всё то что я когда то просматривала в инете даже ваше фото нашёл, а мои файлы так и не затронул) Как быть подскажите?

    Наталья, других, принципиально иных, способов восстановления зашифрованных файлов нет, если только не попробовать другие программы аналогичные PhotoRec (программы для восстановления удаленных файлов).

    Вот ссылка s018.radikal.ru/i527/1705/08/d386985a44f7.jpg

    Простите,там ошибок в тексте много,я просто с телефона плохо пишу…

    Оставить комментарий Отменить ввод комментария

    Добро пожаловать

    На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.


    • Тема закрыта



  • Новички
  • Cообщений: 7





    • Выполните скрипт в AVZ
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь (с указанием номера KLAN)

    Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 7

    • добавляю файлик который был сформирован вирусом для обращения к вымогателю.





    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 7

    • файл отправил по почте, новый лог приложил. что дальше?

    я так понимаю расшифровать вообще не получится?





    Да, расшифровки не будет.

    Скачайте Farbar Recovery Scan Tool
    и сохраните на Рабочем столе.

    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.


    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 7

    • считается ли сейчас компьютер вылеченным?





    C:\Users\User\Downloads\MC.exe - этот файл в скачанных Вам известен?

    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    2. Нажмите Файл – Сохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файла – Все файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

    • Обратите внимание, что будет выполнена перезагрузка компьютера.

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 7





    • Активный вирус убили, мусор почистили.

    Про невозможность расшифровки Вы уже знаете.

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 7

    • тогда расскажите тайный смысл этих деяний?





    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect



  • Новички
  • Cообщений: 7

    • Так а что толку его чистить когда там данных уже нет?)) проще было систему переустановить. Как я понял что все что мы делали вам нужнее чем пользователям.

    или мне описать что тут происходит на форуме с такими жертвами и кто они ? )))


    • Нет слов x 1
    • Показать





    Проще удалить шифрованное без всякой переустановки системы. Мы никого не принуждаем создавать темы. Достаточно было просто почитать обращения на форумы (не только на данный), понять, что все и у всех плохо, и заниматься любимым делом с переустановкой.

    Да и раздел называется "Уничтожение вирусов", а не "Расшифровка информации".

    На этом тема закрывается во избежание ненужного холивара.


    • Согласен x 1
    • Показать

    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

    Читайте также:

    Пожалуйста, не занимайтесь самолечением!
    При симпотмах заболевания - обратитесь к врачу.

    Copyright © Иммунитет и инфекции