Перейти к содержанию

Trojan-Ransom.Win32.Shade - no_more_ransom

mqs
 Share

Рекомендуемые сообщения

mqs Новичок

mqs

Опубликовано
Опубликовано (изменено)

Здравствуйте.

Поймали на компьютер троянца, который зашифровал все фото-видео-документы и т.п. 

 

Стали искать источники:

в почту пришло письмо якобы от бухгалтерии и т.д. с .js файлом, после открытия которого и был скачан вредоносный exe-шник.

этот exe-файл был обнаружен как угроза установленным на компьютере Kaspersky Free, в его логах и было найдено местоположение вредоносного файла. 

 

Загрузил для анализа на Kaspersky Online Scanner и Virustotal - обнаруживает как Trojan-Ransom.Win32.Shade, но расширение после шифрования у всех файлов стало no_more_ransom

 

Утилиты ShadeDecryptor, rectordecryptor и xoristdecryptor не помогли.

 

После этого скачал Autologger

 

Во вложении логи, файл js, и вредонос exe.

 

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

2016-11-22 22:36 - 2016-11-22 22:36 - 03148854 _____ C:\Users\Admin\AppData\Roaming\5BE6D8955BE6D895.bmp

2016-11-21 19:02 - 2016-11-22 20:56 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-21 19:02 - 2016-11-22 20:56 - 00000000 __SHD C:\ProgramData\Windows



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sergey2112 Новичок

Sergey2112

Опубликовано
Опубликовано

Тоже зацепили эту дрянь!

Но вот что самое удивительное, некоторые фирмочки уже расшифровывают эти файлы. В воскресенье отправил несколько файлов на тест, и что вы думаете, присылают расшифрованный pdf.

Расшифровка всего содержимого стоит от 7000 до 25000 т.р., в зависимости от метода (практически тоже своего рода вымогатели). Вот интересно, а что мешает борцам за чистоту компов в лице антивирусных компаний выпустить утилитку для борьбы с этим зловредом?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Расшифровка всего содержимого стоит от 7000 до 25000 т.р., в зависимости от метода (практически тоже своего рода вымогатели). Вот интересно, а что мешает борцам за чистоту компов в лице антивирусных компаний выпустить утилитку для борьбы с этим зловредом?

RSA-шифрование.

 

 

 

Но вот что самое удивительное, некоторые фирмочки уже расшифровывают эти файлы. В воскресенье отправил несколько файлов на тест, и что вы думаете, присылают расшифрованный pdf.

Выкупать дешифраторы с ключами за чужие бабки у авторов вируса может каждый. Другое дело, что такие конторы нехилую наценку берут за свои услуги. В итоге вы все равно платите авторам вируса. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Seraph Luteus
      NET:MALWARE.URL и trojan siggen 20 2783
      От Seraph Luteus
      Доброго времени суток. Решил провести проверку системы на майнеры и прочие вирусы. Как итог, я выявил сначала такой файл trojan siggen 20 2783, после чего удалил (на что надеюсь) его через антивирусник. После сделал ещё проверки и обнаружил уже net malware.url, а его удалить не получается.  Прошу совета и помощи в решении проблемы у знатоков.
       
      По уже похожей проблеме у другого пользователя собрал нужные логи и прикреплю их. 
      PIKA_2024-11-18_15-41-59_v4.99.4v x64.7z
      FRST.txt Addition.txt AV_block_remove_2024.11.18-15.35.log
    • Aman2008
      trojan multi genbadur genw
      От Aman2008
      решил в игрульки поиграть, скачал и касперский находит троян, я перезапускаю и касперский снова его находит, и снова и снова, что делать
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
×
×
  • Создать...