ransom.shade Шифрование файлов

[Benefist]

Зашифровались данные, поменялось расширение на xtbl.

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

9C3EBD8F72A94717AAAB|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

9C3EBD8F72A94717AAAB|0

to e-mail address decode010@gmail.com or decode1110@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.06.26-22.59.zip

Изменено 26 июня, 2015 пользователем Benefist

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\User\appdata\roaming\searchindexer\moduleinno.exe','');
QuarantineFile('C:\Users\User\appdata\roaming\searchindexer\desktopsearchservice.exe','');
QuarantineFile('C:\Users\User\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\Steam\Reversed\steam.exe','');
QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','');
QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\WOTLauncher.exe.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Schedule\Schedule.exe','');
QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Schedule\Schedule.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\Browsers\WOTLauncher.exe.bat','32');
DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\User\AppData\Roaming\Steam\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
DeleteFile('C:\Users\User\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\searchindexer\desktopsearchservice.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\searchindexer\moduleinno.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[Benefist]

KLAN-2921157039 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

desktopsearchservice.exe - Trojan.Win32.BitMiner.z
extsetup.exe - Trojan.Win32.ExtenBro.os

Детектирование файлов будет добавлено в следующее обновление.

funspace.update.process.exe - not-a-virus:Downloader.MSIL.Agent.p
moduleinno.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.fqs
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhf

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

WOTLauncher.exe.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

desktopsearchservice.exe - Trojan.Win32.BitMiner.z
extsetup.exe - Trojan.Win32.ExtenBro.os

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

funspace.update.process.exe - not-a-virus:Downloader.MSIL.Agent.p
moduleinno.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.fqs
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhf

New potentially risk software was found in these files. Detection will be included in the next update. Thank you for your help.

WOTLauncher.exe.bat

An unknown file has been received. It will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2015.06.27-10.26.zip

[thyrex]

Сделайте лог полного сканирования МВАМ