ransom.shade Крипто-вирус. Все файлы зашифрованы.

23 июня, 2015

Текст сообщения о заражении и шифровке:
"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
AFCB2F56507E06934358|0
на электронный адрес files1147@gmail.com или post100023@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

На компьютере установлен лицензионный антивирус Касперского 6.0: на вирус ругнулся, обнаружил заражение в etc\hosts, восстановил "голый" hosts
Попытка запуска дешифраторов ни к чему не привела:
xoristdecryptor.exe не обнаружил заражённых файлов
rectordecryptor.exe обнаружил объекты (40977), но не расшифровал.

Заранее спасибо за помощь.

Заражённые файлы находилсь по пути C:\Program Files\Napnut\Nezavisimo

+ в профиле пользователя находился tmp-файл

PS: Запрос на stopgpcode@kaspersky.com вместе с примером зашифрованного файла отправлен - этого достаточно или надо в техподдержку обращаться каким-то иным способом ?

CollectionLog-2015.06.23-19.20.zip

23 июня, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

24 июня, 2015

Скрипты выполнены.

Ответ от Лабаратории Касперского:

KLAN-2911488508

csrss.exe - Trojan.Win32.Fsysna.cchn

Детектирование файла будет добавлено в следующее обновление.

Логи AutoLogger прикладываю во вложении.

CollectionLog-2015.06.24-09.13.zip

24 июня, 2015

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

24 июня, 2015

Выполнено.

Addition.txt

FRST.txt

24 июня, 2015

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
2015-06-23 15:37 - 2015-06-23 15:37 - 03148854 _____ C:\Users\КОРОБЧЕНКО В С\AppData\Roaming\40ECBC6840ECBC68.bmp
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README9.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README8.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README7.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README6.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README5.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README4.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README3.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README2.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README10.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README1.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-06-23 14:15 - 2015-06-24 08:51 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-23 14:15 - 2015-06-24 08:51 - 00000000 __SHD C:\ProgramData\Windows
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README9.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README8.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README7.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README6.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README5.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README4.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README3.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README2.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README10.txt
2015-06-23 14:15 - 2015-06-23 14:15 - 00000000 ____D C:\Program Files\Napnut
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

24 июня, 2015

Выполнено!

Fixlog.txt

24 июня, 2015

Мусор почистили.

С расшифровкой не поможем.

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

24 июня, 2015

@thyrex, благодарю!

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

А куда именно обращаться ?

Зарегистрировался на https://my.kaspersky.com

По-умолчанию тема у всех возможных запросов - вопросы по лицензиям.

1-й запрос по восстановлению кода активации создал вчера вечером - ответа не дождался - нашёл код активации. Закрыл запрос.

2-й запрос по расшифровке данных - также ждёт ответа технической поддержки.

Заранее спасибо.

24 июня, 2015

Ждите, ответят, наверное. Я вот тоже жду ответа от вирлаба со вчерашнего дня

30 июня, 2015

Ответили. Судя по всему по запросу отправленному в первый день. Прислали дешифратор. Большую часть файлов удалось расшифровать, за что им Спасибо!

ransom.shade Крипто-вирус. Все файлы зашифрованы.

Рекомендуемые сообщения

bamert

thyrex

bamert

thyrex

bamert

thyrex

bamert

thyrex

bamert

thyrex

bamert

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum