Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Trojan-Ransom.Win32.Shade.yq и его порождения

KamradXandro
 Поделиться

Рекомендуемые сообщения

KamradXandro Новичок

KamradXandro

Опубликовано
Опубликовано

Здравствуйте.

 

Компьютер родственницы пострадал от вируса-шифровальщика.

Вашим антивирусом он опознается как Trojan-Ransom.Win32.Shade.yq.

 

Вирус пришел почтой, имеется в архивированном виде сам исполняемый файл вируса, пришедший с электронной почтой.

Имеется также README файл с посланием авторов вируса.

Зараженная ОС - Win7, учетная запись  пользователя обладала правами администратора.

 

Жесткий диск с ноутбука снят и переставлен на "чистый" компьютер в качестве дополнительного.

ShadowExplorer показал, что теневые копии файлов на обоих логических дисках с зараженного ноутбука отсутствуют.
 
Сразу после обнаружения симптоматики вируса компьютер по моей рекомендации был выключен и не включался до замены жесткого диска на новый с чистой ОС.
Пострадали не все файлы - вирус не успел зашифровать все.
 
Восстановление восстановление утилитами типа "Undelete" позволило восстановить часть файлов-оригиналов, удаленных вирусом после шифрования, правда, с утратой оригинального имени.
Но все равно не удалось восстановить большую часть пострадавших рабочих документов.
 
Есть ли возможность получить вашу помощь в расшифровке?
В момент заражения на ПК родственницы стоял другой антивирус.
Сейчас приобретен KIS 2017 - имеется действующая лицензия.
 
FRST скачал и установил - но поскольку зараженный диск подключен как дополнительный - имеет ли смысл снимать логи с его помощью? Он сканирует мою чистую Win10.

Выполнял проверку зараженного диска Kaspersky Virus Removal Tool - это позволило идентифицировать вирус (Trojan-Ransom.Win32.Shade.yq) и сохранить его исполняемый файл.

 

Зашифрованных файлов два вида - одни с нечитаемым именем и расширением "da_vinci_code", другие - сохранили оригинальное имя, к которому добавлено расширение "magic_software_syndicate".

 

Есть ли возможность как-то расшифровать эти файлы?

Готов следовать вашим инструкциям, с учетом ситуации - зараженный диск с Win7 подключен как второстепенный к ПК с Win10.

 

С уважением,

Александр.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • Ivy_Sekoru
      Trojan
      Автор Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.
      Автор Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      Автор bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Aman2008
      trojan multi genbadur genw
      Автор Aman2008
      решил в игрульки поиграть, скачал и касперский находит троян, я перезапускаю и касперский снова его находит, и снова и снова, что делать
×
×
  • Создать...