шифровальщик Shade

2 июля, 2016

Буквально позавчера, коллега получила из "бухгалтерии" письмо, не трудясь размышлением, что бухгалтерия ей отродясь ни одного письма не отправила, она его открыла. В результате - все фалы зашифрованы с длинным названием и расширением window10 . Дальше как обычно, просьба в течении 48 часов выслать сообщение на почту и тд.

Чтобы расшифровать их, Вам необходимо отправить код:

45009A396E5F2FD1CB85|667|4|2

на электронный адрес Ryabinina.Lina@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorz76e7vuik.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptorz76e7vuik.onion.to/

http://cryptorz76e7vuik.onion.cab/

имя файла стало носить примерно такой характер -1k79551qknldlo3Fp2UT0FUcCCSk7MeeWo9Bl5EEgVQ=.45009A396E5F2FD1CB85.windows10

прикрепить файл не получается - в тотале вообще пишет, что файл не найден, а при попытке прикрепить его сюда пишет - Загрузка пропущена (Вы не выбрали файл для загрузки)

- сам вирус удален, логи не сохранились. Удалила на работе, дома еще раз проверила и KIS 16.0.1 и скачала KVRT с вашего сайта. Поиски дешифратора результата не дали, ну и судя по форуму, такая проблема не у меня одной. Есть смысл ждать решения проблемы или смириться с потерей информации? Говорят, к прошлому варианту shade тоже не было дешифратора?

2 июля, 2016

Порядок оформления запроса о помощи

2 июля, 2016

Порядок оформления запроса о помощи

http://forum.kasperskyclub.ru/index.php?showtopic=50857

http://forum.kasperskyclub.ru/index.php?showtopic=50852

я понимаю что по правилам я должна прикрепить логи и так далее, но их у меня нет, зато есть проблема, и логи и все необходимые фалы были представлены этими ребятами по двум ссылкам выше. Очень хотелось бы како-то дополнительной информации. И как раз в одной из веток, мне и посоветовали создать тему.

2 июля, 2016

@evsenia, нужны логи с вашего компьютера.

2 июля, 2016

@evsenia, нужны логи с вашего компьютера.

есть ли в этом смысл, если учесть, что вирус был удален с другого компьютера, у меня на руках только винчестер с зашифрованными файлами? Если смысл есть, я их прикреплю.

2 июля, 2016

Смысл есть, т.к. могло что-то остаться.

2 июля, 2016

Логи

CollectionLog-2016.07.02-23.26.zip

2 июля, 2016

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

3 июля, 2016

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

на 10ке также будет работать? Опять же повторю вопрос. Винчестер, на котором зашифрованы вирусы, имеет ОС 7, а на моем - Win 10. Или лучше уже приехать на работу, поставить винт на место и сделать это на том компе?

3 июля, 2016

Будет. На Win10 тоже есть кое-что.

3 июля, 2016

лог с моего ноута... не покидает ощущение, что я делаю бесполезное дело

AdwCleanerS1.txt

3 июля, 2016

А ноутбук не может быть заражен?

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".

По окончанию сканирования снимите галочки со следующих строк:

***** [ Папки ] *****
Папка Найдено : C:\ProgramData\Mail.Ru
Папка Найдено : C:\ProgramData\Application Data\Mail.Ru
Папка Найдено : C:\Program Files (x86)\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Local\Amigo
Папка Найдено : C:\Users\Администратор\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Roaming\MailProducts
 
***** [ Файлы ] *****
Файл Найдено : C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll 
Файл Найдено : C:\Users\Администратор\Favorites\Mail.Ru.url
Файл Найдено : C:\Users\Администратор\Favorites\Mail.Ru Агент - используй для общения!.url
Файл Найдено : C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\pp30iiao.default\searchplugins\mailru.xml
 
***** [ Реестр ] *****
Ключ Найдено : HKCU\Software\Mail.Ru
Ключ Найдено : HKCU\Software\AppDataLow\Software\Mail.Ru
Ключ Найдено : HKLM\SOFTWARE\Mail.Ru
Ключ Найдено : HKU\.DEFAULT\Software\Mail.Ru
Ключ Найдено : HKU\S-1-5-21-3702864328-43657130-2974919715-500\Software\Mail.Ru
Ключ Найдено : HKU\S-1-5-21-3702864328-43657130-2974919715-500\Software\AppDataLow\Software\Mail.Ru
Ключ Найдено : HKU\S-1-5-18\Software\Mail.Ru

Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

Подробнее читайте в этом руководстве.

3 июля, 2016

думала, что с ноутом нет проблем

AdwCleanerC1.txt

3 июля, 2016

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

4 июля, 2016

вот

Addition.txt

FRST.txt

шифровальщик Shade

Рекомендуемые сообщения

evsenia

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

evsenia

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum