ransom.shade зашифрованы файлы

24 марта, 2015

зашифровали файлы

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

7A1BE06626B53CF36B8C|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

7A1BE06626B53CF36B8C|0

to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

с уважением жду ответа!!!

CollectionLog-2015.03.24-21.14.zip

24 марта, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}w64', 4);
DeleteService('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}w64');
SetServiceStart('{18fa7aee-6838-42dd-8d32-3fd665a7e664}Gw64', 4);
DeleteService('{18fa7aee-6838-42dd-8d32-3fd665a7e664}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{0e195523-6785-4f9c-bb2f-0a791b0c99d0}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}Gw64.sys','');
SetServiceStart('{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}Gw64', 4);
DeleteService('{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}Gw64');
SetServiceStart('{2429c312-24d3-4127-94ed-c247fe9e02fc}Gw64', 4);
DeleteService('{2429c312-24d3-4127-94ed-c247fe9e02fc}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}Gw64.sys','');
SetServiceStart('{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}Gw64', 4);
DeleteService('{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}Gw64');
SetServiceStart('{481a6589-8e34-4bd5-9be2-2f7ce66c44d6}Gw64', 4);
DeleteService('{481a6589-8e34-4bd5-9be2-2f7ce66c44d6}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{481a6589-8e34-4bd5-9be2-2f7ce66c44d6}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}Gw64.sys','');
SetServiceStart('{6cfec6a5-9d93-4492-985a-470a68eff4e9}Gw64', 4);
DeleteService('{6cfec6a5-9d93-4492-985a-470a68eff4e9}Gw64');
SetServiceStart('{6cfec6a5-9d93-4492-985a-470a68eff4e9}w64', 4);
DeleteService('{6cfec6a5-9d93-4492-985a-470a68eff4e9}w64');
SetServiceStart('{9307392e-ba24-447f-958f-5a785f03634f}Gw64', 4);
DeleteService('{9307392e-ba24-447f-958f-5a785f03634f}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{9307392e-ba24-447f-958f-5a785f03634f}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}Gw64.sys','');
SetServiceStart('{9390ab08-5703-448b-94f8-b8b1934c8841}Gw64', 4);
DeleteService('{9390ab08-5703-448b-94f8-b8b1934c8841}Gw64');
SetServiceStart('{b0a5840a-2650-4fc0-a6fa-0368fffc6737}w64', 4);
DeleteService('{b0a5840a-2650-4fc0-a6fa-0368fffc6737}w64');
QuarantineFile('C:\Windows\system32\drivers\{b0a5840a-2650-4fc0-a6fa-0368fffc6737}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{bcd08fc8-cb56-41a3-8b19-3c556687a504}w64.sys','');
SetServiceStart('{bcd08fc8-cb56-41a3-8b19-3c556687a504}w64', 4);
DeleteService('{bcd08fc8-cb56-41a3-8b19-3c556687a504}w64');
SetServiceStart('{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64', 4);
DeleteService('{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{d609e0eb-8157-494a-b166-6f24f8a1cbb4}w64.sys','');
SetServiceStart('{d609e0eb-8157-494a-b166-6f24f8a1cbb4}w64', 4);
DeleteService('{d609e0eb-8157-494a-b166-6f24f8a1cbb4}w64');
SetServiceStart('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}w64', 4);
DeleteService('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}w64');
QuarantineFile('C:\Windows\system32\drivers\{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{e0cbbba5-5c5d-4016-a69f-410443e505d1}Gw64.sys','');
SetServiceStart('{e0cbbba5-5c5d-4016-a69f-410443e505d1}Gw64', 4);
DeleteService('{e0cbbba5-5c5d-4016-a69f-410443e505d1}Gw64');
SetServiceStart('{e5e8bd85-21de-4190-b364-33beb625e47f}w64', 4);
DeleteService('{e5e8bd85-21de-4190-b364-33beb625e47f}w64');
QuarantineFile('C:\Windows\system32\drivers\{e5e8bd85-21de-4190-b364-33beb625e47f}w64.sys','');
QuarantineFile('C:\Users\DD50~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Ромка\appdata\roaming\updaterex\updateproc\updatetask.exe','');
QuarantineFile('C:\Users\Ромка\applic~1\update~1\update~1\update~1.exe','');
QuarantineFile('C:\ProgramData\5fd2ca9d-b04a-4998-b7e8-2d30ebba8fbe\maintainer.exe','');
QuarantineFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','');
QuarantineFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','');
TerminateProcessByName('c:\users\Ромка\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrsetup.exe');
QuarantineFile('c:\users\Ромка\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrsetup.exe','');
TerminateProcessByName('c:\users\Ромка\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe');
QuarantineFile('c:\users\Ромка\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe','');
DeleteFile('c:\users\Ромка\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe','32');
DeleteFile('c:\users\Ромка\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrsetup.exe','32');
DeleteFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','32');
DeleteFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','32');
DeleteFile('C:\ProgramData\5fd2ca9d-b04a-4998-b7e8-2d30ebba8fbe\maintainer.exe','32');
DeleteFile('C:\Users\Ромка\applic~1\update~1\update~1\update~1.exe','32');
DeleteFile('C:\Users\Ромка\appdata\roaming\updaterex\updateproc\updatetask.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\DD50~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$','64');
DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$ Updater','64');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Windows\system32\drivers\{e5e8bd85-21de-4190-b364-33beb625e47f}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{e0cbbba5-5c5d-4016-a69f-410443e505d1}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{d609e0eb-8157-494a-b166-6f24f8a1cbb4}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{bcd08fc8-cb56-41a3-8b19-3c556687a504}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b0a5840a-2650-4fc0-a6fa-0368fffc6737}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{9307392e-ba24-447f-958f-5a785f03634f}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{481a6589-8e34-4bd5-9be2-2f7ce66c44d6}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{0e195523-6785-4f9c-bb2f-0a791b0c99d0}w64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

25 марта, 2015

Сделал все что сказали жду ответа

KLAN-2622193193

CollectionLog-2015.03.25-21.06.zip

25 марта, 2015

Сделайте лог полного сканирования МВАМ

27 марта, 2015

Сделал

лог MBAM.txt

27 марта, 2015

Удалите в МВАМ все найденное

27 марта, 2015

А что делать с зашифрованными файлами

27 марта, 2015

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188

ransom.shade зашифрованы файлы

Рекомендуемые сообщения

maxrad82

thyrex

maxrad82

thyrex

maxrad82

thyrex

maxrad82

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum