ransom.shade Вирус - шифровальщик

[OlegKonst]

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3EEC0DEF1475BF365F83|0
на электронный адрес 1986Frederick.MacAlister@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorzimsbfbkx.onion/
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
http://cryptorzimsbfbkx.onion.to/
http://cryptorzimsbfbkx.onion.cab/

CollectionLog-2016.04.22-23.30.zip

Изменено 22 апреля, 2016 пользователем OlegKonst

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\1\AppData\Local\Ovics\gMobileText80.dll','');

 TerminateProcessByName('c:\users\1\appdata\local\imksoft\a9360f26.exe');

 QuarantineFile('c:\users\1\appdata\local\imksoft\a9360f26.exe','');

 DeleteFile('c:\users\1\appdata\local\imksoft\a9360f26.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Imksoft');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ovics');

 DeleteFile('C:\Users\1\AppData\Local\Ovics\gMobileText80.dll','32');

 DeleteFile('C:\Program Files (x86)\VDownloader\VDownloader4.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VDownloader');

 DeleteFile('C:\PROGRA~3\2e4da732\3bf7a7c0.dll','32');

 DeleteFile('C:\Windows\system32\Tasks\{51EEF914-4852-32BF-D4F9-CA01AE942E36}','64');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57471;https=127.0.0.1:57471

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback>

 

Сделайте новые логи Автологгером. 

 

[OlegKonst]

Прикрепляю новые файлы..

CollectionLog-2016.04.23-17.19.zip

hijackthis.log

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[OlegKonst]

Файл: AdwCleaner[s1].txt

AdwCleanerS1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[OlegKonst]

AdwCleaner[C1] - файл с удалёнными программами. 

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[OlegKonst]

Прикрепляю отчеты: (FRST) и (Addition).

В компьютере есть не важная информация (игры), которую легко потом восстановить. Могу её удалить, для уменьшения объёма сбора информации для вас, в дальнейшем. Что посоветуете?

Прочёл сегодня на форуме похожую тему, просмотрел свои файлы, у меня тоже: better_call_saul.

Из прочтённого понял, что перекодированные файлы не восстановить и желательно переустановить ОС.

Подскажите пожалуйста, правильно ли я понял "приговор"? Может тогда не отнимать у вас время по этой теме?

Сохранился загрузочный файл с Вирусом. Надо ли отправлять в лабораторию Касперского для исследований или удалить?

FRST.txt

Addition.txt

Изменено 24 апреля, 2016 пользователем OlegKonst

[mike 1]

Из прочтённого понял, что перекодированные файлы не восстановить и желательно переустановить ОС.

ОС вовсе не обязательно переставлять. 

 

Сохранился загрузочный файл с Вирусом. Надо ли отправлять в лабораторию Касперского для исследований или удалить?

Скорее всего он уже давно в базах, да и даже если его нет в базах, то антивирус его поймает по поведению. 

 

 

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
ProxyServer: [S-1-5-21-3365824708-1737387411-1547056570-1000] => http=127.0.0.1:57471;https=127.0.0.1:57471
Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{3315E427-BFA4-49B1-B1D7-1491286964A5}: [DhcpNameServer] 82.163.143.171
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
2016-04-21 17:47 - 2016-04-21 17:48 - 00000000 ____D C:\Users\1\AppData\Local\Ovics
2016-04-21 17:46 - 2016-04-23 15:04 - 00000000 ____D C:\Users\1\AppData\Local\Imksoft
2016-04-21 17:35 - 2016-04-21 17:35 - 03133494 _____ C:\Users\1\AppData\Roaming\8D418D448D418D44.bmp
2016-04-21 11:52 - 2016-04-21 21:22 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-21 11:52 - 2016-04-21 21:22 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\1\AppData\Local\Temp\A9360F26.exe
C:\Users\1\AppData\Local\Temp\mushiness.dll
Task: {C4C2BC71-F1B9-4D6D-9A0A-19D66EBD9070} - \{51EEF914-4852-32BF-D4F9-CA01AE942E36} -> No File <==== ATTENTION
zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[OlegKonst]

Прикреплён файл: Fixlog

Fixlog.txt

[mike 1]

Если есть лицензия на Антивирус Касперского, то тогда пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083

[OlegKonst]

После всей проделанной работы, хочется узнать вашу рекомендацию.

1) Возможно ли, что вирус где то спрятался (зацепился за файл) и ждёт сигнала проявить себя вновь?

2) Могли ли быть файлы ОС повреждены при атаке и в дальнейшем это отразится на работе компьютера?

3) И главное! Как следствие предыдущих вопросов, надо ли переустановить ОС?

Спасибо.

[mike 1]

1) Возможно ли, что вирус где то спрятался (зацепился за файл) и ждёт сигнала проявить себя вновь?

Вирус удален.

 

2) Могли ли быть файлы ОС повреждены при атаке и в дальнейшем это отразится на работе компьютера?

Если в папке C:\Windows найдете зашифрованные файлы, то да, может.

 

3) И главное! Как следствие предыдущих вопросов, надо ли переустановить ОС?

Системой можно и дальше пользоваться. Новые файлы уже шифроваться не будут. 

[OlegKonst]

Спасибо Mike1 за проделанную работу! Все очень быстро, просто, удобно и понятно! Успехов в

работе!

И не ешь мышек)