Перейти к содержанию
Викторина по домашним продуктам "Лаборатории Касперского"

Trojan-Ransom.Win32.Shade.yq и его порождения

KamradXandro
 Share Подписчики 1

Рекомендуемые сообщения

KamradXandro

KamradXandro 0

Опубликовано
Опубликовано

Здравствуйте.

 

Компьютер родственницы пострадал от вируса-шифровальщика.

Вашим антивирусом он опознается как Trojan-Ransom.Win32.Shade.yq.

 

Вирус пришел почтой, имеется в архивированном виде сам исполняемый файл вируса, пришедший с электронной почтой.

Имеется также README файл с посланием авторов вируса.

Зараженная ОС - Win7, учетная запись  пользователя обладала правами администратора.

 

Жесткий диск с ноутбука снят и переставлен на "чистый" компьютер в качестве дополнительного.

ShadowExplorer показал, что теневые копии файлов на обоих логических дисках с зараженного ноутбука отсутствуют.
 
Сразу после обнаружения симптоматики вируса компьютер по моей рекомендации был выключен и не включался до замены жесткого диска на новый с чистой ОС.
Пострадали не все файлы - вирус не успел зашифровать все.
 
Восстановление восстановление утилитами типа "Undelete" позволило восстановить часть файлов-оригиналов, удаленных вирусом после шифрования, правда, с утратой оригинального имени.
Но все равно не удалось восстановить большую часть пострадавших рабочих документов.
 
Есть ли возможность получить вашу помощь в расшифровке?
В момент заражения на ПК родственницы стоял другой антивирус.
Сейчас приобретен KIS 2017 - имеется действующая лицензия.
 
FRST скачал и установил - но поскольку зараженный диск подключен как дополнительный - имеет ли смысл снимать логи с его помощью? Он сканирует мою чистую Win10.

Выполнял проверку зараженного диска Kaspersky Virus Removal Tool - это позволило идентифицировать вирус (Trojan-Ransom.Win32.Shade.yq) и сохранить его исполняемый файл.

 

Зашифрованных файлов два вида - одни с нечитаемым именем и расширением "da_vinci_code", другие - сохранили оригинальное имя, к которому добавлено расширение "magic_software_syndicate".

 

Есть ли возможность как-то расшифровать эти файлы?

Готов следовать вашим инструкциям, с учетом ситуации - зараженный диск с Win7 подключен как второстепенный к ПК с Win10.

 

С уважением,

Александр.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      Есть приватный ключ
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...