ransom.shade Словил вирус-шифратор xtbl

26 марта, 2015

Ситуация многим известная. Словил вирус-шифратор-вымогатель. Все текстовые, музыкальные файлы, фото и фильмы оказались зашифрованы, на рабочем столе - десяток текстовых файлов с таким вот сообщением:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

9DDB516C90EC05BB7CB8|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

9DDB516C90EC05BB7CB8|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Каким образом я его подцепил и где - ума не приложу. Правда, и было это неделю назад. Честно говоря. я не видел особого смысла в обращении куда-то. но знающие люди все-таки уговорили. Надеюсь, что-то все-таки получится.

логи прилагаются.

CollectionLog-2015.03.26-12.47.zip

26 марта, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{2e32cfe5-df92-4ae5-b0be-609ed0df74a6}');
QuarantineFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','');
QuarantineFile('C:\Users\Crusader\AppData\Local\Yandex\browser.bat','');
SetServiceStart('sysmon', 4);
DeleteService('sysmon');
SetServiceStart('rsutils', 4);
DeleteService('rsutils');
DeleteFile('C:\Windows\system32\DRIVERS\rsutils.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\sysmon.sys','32');
DeleteFile('C:\Users\Crusader\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи по правилам

Сделайте лог полного сканирования МВАМ

26 марта, 2015

Ответ из лаборатории Касперского.

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
Sent: 3/26/2015 11:20:45 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]

LANG: ru

description:
Выполняется запрос хэлпера.

Загруженные файлы:
quarantine.zip

Отчет о работе ClearLNK.

Отчет MBAM

ClearLNK-26.03.2015_16-06.log

результаты MBAM.txt

26 марта, 2015

Удалите в МВАМ все найденное

27 марта, 2015

все удалено

27 марта, 2015

приложите для контроля лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

27 марта, 2015

готово

еще раз после очистки

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

27 марта, 2015

чисто.
с расшифровкой не поможем.

27 марта, 2015

спасибо.

28 марта, 2015

Как вариант, http://virusinfo.info/showthread.php?t=156188

ransom.shade Словил вирус-шифратор xtbl

Рекомендуемые сообщения

bolerut

thyrex

bolerut

thyrex

bolerut

Roman_Five

bolerut

Roman_Five

bolerut

mike 1

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum