Перейти к содержанию

Trojan-Ransom.Win32.Shade.yq и его порождения

KamradXandro
 Share

Рекомендуемые сообщения

KamradXandro Новичок

KamradXandro

Опубликовано
Опубликовано

Здравствуйте.

 

Компьютер родственницы пострадал от вируса-шифровальщика.

Вашим антивирусом он опознается как Trojan-Ransom.Win32.Shade.yq.

 

Вирус пришел почтой, имеется в архивированном виде сам исполняемый файл вируса, пришедший с электронной почтой.

Имеется также README файл с посланием авторов вируса.

Зараженная ОС - Win7, учетная запись  пользователя обладала правами администратора.

 

Жесткий диск с ноутбука снят и переставлен на "чистый" компьютер в качестве дополнительного.

ShadowExplorer показал, что теневые копии файлов на обоих логических дисках с зараженного ноутбука отсутствуют.
 
Сразу после обнаружения симптоматики вируса компьютер по моей рекомендации был выключен и не включался до замены жесткого диска на новый с чистой ОС.
Пострадали не все файлы - вирус не успел зашифровать все.
 
Восстановление восстановление утилитами типа "Undelete" позволило восстановить часть файлов-оригиналов, удаленных вирусом после шифрования, правда, с утратой оригинального имени.
Но все равно не удалось восстановить большую часть пострадавших рабочих документов.
 
Есть ли возможность получить вашу помощь в расшифровке?
В момент заражения на ПК родственницы стоял другой антивирус.
Сейчас приобретен KIS 2017 - имеется действующая лицензия.
 
FRST скачал и установил - но поскольку зараженный диск подключен как дополнительный - имеет ли смысл снимать логи с его помощью? Он сканирует мою чистую Win10.

Выполнял проверку зараженного диска Kaspersky Virus Removal Tool - это позволило идентифицировать вирус (Trojan-Ransom.Win32.Shade.yq) и сохранить его исполняемый файл.

 

Зашифрованных файлов два вида - одни с нечитаемым именем и расширением "da_vinci_code", другие - сохранили оригинальное имя, к которому добавлено расширение "magic_software_syndicate".

 

Есть ли возможность как-то расшифровать эти файлы?

Готов следовать вашим инструкциям, с учетом ситуации - зараженный диск с Win7 подключен как второстепенный к ПК с Win10.

 

С уважением,

Александр.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      От DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      От foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Safurai
      trojan-Dropper.Win64.Mine
      От Safurai
      2025-02-17_02-06-10_log.txtFRST.txtAddition.txtHiJackThis.loginfo.txtlog.txtCheck_Browsers_LNK.log
    • swim1x
      Trojan-PSW.Win32.Convagent.gen
      От swim1x
      Забился диск C, и я полез его очищать. Зашёл я в диск C, пользователи, нашёл программку какую-то. Открыл её, и там были какие-то программы. Погуглил, узнал что это какие-то читы на ксго. Ну да и ладно подумал я, захотел проверить программу на вирустотале и увидел что известные антивирусы пишут RatX.
    • MultiFace
      Trojan MEM SEPEH gen не удаляется
      От MultiFace
      Добрый день, касперски обнаружил 76 объектов вредоносных, но не может удалить 
      Помогите в решении пожалуйста 
      CollectionLog-2025.02.21-18.47.zip 111.txt avz_log.txt
×
×
  • Создать...