Перейти к содержанию

Trojan-Ransom.Win32.Shade - no_more_ransom

mqs
 Share

Рекомендуемые сообщения

mqs Новичок

mqs

Опубликовано
Опубликовано (изменено)

Здравствуйте.

Поймали на компьютер троянца, который зашифровал все фото-видео-документы и т.п. 

 

Стали искать источники:

в почту пришло письмо якобы от бухгалтерии и т.д. с .js файлом, после открытия которого и был скачан вредоносный exe-шник.

этот exe-файл был обнаружен как угроза установленным на компьютере Kaspersky Free, в его логах и было найдено местоположение вредоносного файла. 

 

Загрузил для анализа на Kaspersky Online Scanner и Virustotal - обнаруживает как Trojan-Ransom.Win32.Shade, но расширение после шифрования у всех файлов стало no_more_ransom

 

Утилиты ShadeDecryptor, rectordecryptor и xoristdecryptor не помогли.

 

После этого скачал Autologger

 

Во вложении логи, файл js, и вредонос exe.

 

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

2016-11-22 22:36 - 2016-11-22 22:36 - 03148854 _____ C:\Users\Admin\AppData\Roaming\5BE6D8955BE6D895.bmp

2016-11-21 19:02 - 2016-11-22 20:56 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-21 19:02 - 2016-11-22 20:56 - 00000000 __SHD C:\ProgramData\Windows



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sergey2112 Новичок

Sergey2112

Опубликовано
Опубликовано

Тоже зацепили эту дрянь!

Но вот что самое удивительное, некоторые фирмочки уже расшифровывают эти файлы. В воскресенье отправил несколько файлов на тест, и что вы думаете, присылают расшифрованный pdf.

Расшифровка всего содержимого стоит от 7000 до 25000 т.р., в зависимости от метода (практически тоже своего рода вымогатели). Вот интересно, а что мешает борцам за чистоту компов в лице антивирусных компаний выпустить утилитку для борьбы с этим зловредом?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Расшифровка всего содержимого стоит от 7000 до 25000 т.р., в зависимости от метода (практически тоже своего рода вымогатели). Вот интересно, а что мешает борцам за чистоту компов в лице антивирусных компаний выпустить утилитку для борьбы с этим зловредом?

RSA-шифрование.

 

 

 

Но вот что самое удивительное, некоторые фирмочки уже расшифровывают эти файлы. В воскресенье отправил несколько файлов на тест, и что вы думаете, присылают расшифрованный pdf.

Выкупать дешифраторы с ключами за чужие бабки у авторов вируса может каждый. Другое дело, что такие конторы нехилую наценку берут за свои услуги. В итоге вы все равно платите авторам вируса. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      От DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      От foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • Safurai
      trojan-Dropper.Win64.Mine
      От Safurai
      2025-02-17_02-06-10_log.txtFRST.txtAddition.txtHiJackThis.loginfo.txtlog.txtCheck_Browsers_LNK.log
    • swim1x
      Trojan-PSW.Win32.Convagent.gen
      От swim1x
      Забился диск C, и я полез его очищать. Зашёл я в диск C, пользователи, нашёл программку какую-то. Открыл её, и там были какие-то программы. Погуглил, узнал что это какие-то читы на ксго. Ну да и ладно подумал я, захотел проверить программу на вирустотале и увидел что известные антивирусы пишут RatX.
    • MultiFace
      Trojan MEM SEPEH gen не удаляется
      От MultiFace
      Добрый день, касперски обнаружил 76 объектов вредоносных, но не может удалить 
      Помогите в решении пожалуйста 
      CollectionLog-2025.02.21-18.47.zip 111.txt avz_log.txt
×
×
  • Создать...