Перейти к содержанию

шифровальщик Shade


Рекомендуемые сообщения

Буквально позавчера, коллега получила из "бухгалтерии" письмо, не трудясь размышлением, что бухгалтерия ей отродясь ни одного письма не отправила, она его открыла. В результате - все фалы зашифрованы с длинным названием и расширением window10 . Дальше как обычно, просьба в течении 48 часов выслать сообщение на почту и тд.

 

Чтобы расшифровать их, Вам необходимо отправить код:

45009A396E5F2FD1CB85|667|4|2
на электронный адрес Ryabinina.Lina@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь формой обратной связи. Это можно сделать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с формой обратной связи.
2) В любом браузере перейдите по одному из адресов:
 

 имя файла стало носить примерно такой характер -1k79551qknldlo3Fp2UT0FUcCCSk7MeeWo9Bl5EEgVQ=.45009A396E5F2FD1CB85.windows10

прикрепить файл не получается - в тотале вообще пишет, что файл не найден, а при попытке прикрепить его сюда пишет - Загрузка пропущена (Вы не выбрали файл для загрузки)

- сам вирус удален, логи не сохранились. Удалила на работе, дома еще раз проверила и KIS 16.0.1 и скачала KVRT с вашего сайта. Поиски дешифратора результата не дали, ну и судя по форуму, такая проблема не у меня одной. Есть смысл ждать решения проблемы или смириться с потерей информации? Говорят, к прошлому варианту shade тоже не было дешифратора? 

 

Ссылка на комментарий
Поделиться на другие сайты

http://forum.kasperskyclub.ru/index.php?showtopic=50857

http://forum.kasperskyclub.ru/index.php?showtopic=50852

я понимаю что по правилам я должна прикрепить логи и так далее, но их у меня нет, зато есть проблема, и логи и все необходимые фалы были представлены этими ребятами по двум ссылкам выше.  Очень хотелось бы како-то дополнительной информации. И как раз в одной из веток, мне и посоветовали создать тему. 

Ссылка на комментарий
Поделиться на другие сайты

@evsenia, нужны логи с вашего компьютера.

есть ли в  этом смысл, если учесть, что вирус был удален с другого компьютера, у меня на руках только винчестер с зашифрованными файлами? Если смысл есть, я их прикреплю.

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.

 

на 10ке также будет работать? Опять же повторю вопрос. Винчестер, на котором зашифрованы вирусы, имеет ОС 7, а на моем - Win 10. Или лучше уже приехать на работу, поставить винт на место и сделать это на том компе?

Ссылка на комментарий
Поделиться на другие сайты

А ноутбук не может быть заражен? :)

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
***** [ Папки ] *****
Папка Найдено : C:\ProgramData\Mail.Ru
Папка Найдено : C:\ProgramData\Application Data\Mail.Ru
Папка Найдено : C:\Program Files (x86)\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Local\Amigo
Папка Найдено : C:\Users\Администратор\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Roaming\MailProducts
 
***** [ Файлы ] *****
Файл Найдено : C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll 
Файл Найдено : C:\Users\Администратор\Favorites\Mail.Ru.url
Файл Найдено : C:\Users\Администратор\Favorites\Mail.Ru Агент - используй для общения!.url
Файл Найдено : C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\pp30iiao.default\searchplugins\mailru.xml
 
***** [ Реестр ] *****
Ключ Найдено : HKCU\Software\Mail.Ru
Ключ Найдено : HKCU\Software\AppDataLow\Software\Mail.Ru
Ключ Найдено : HKLM\SOFTWARE\Mail.Ru
Ключ Найдено : HKU\.DEFAULT\Software\Mail.Ru
Ключ Найдено : HKU\S-1-5-21-3702864328-43657130-2974919715-500\Software\Mail.Ru
Ключ Найдено : HKU\S-1-5-21-3702864328-43657130-2974919715-500\Software\AppDataLow\Software\Mail.Ru
Ключ Найдено : HKU\S-1-5-18\Software\Mail.Ru
  • Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...