Шифровальщик .no_more_ransom [Shade Ransomware]

[vkams 0]

Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 

 

Есть ли расшифровщик?

Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .

Addition.zip

FRST.zip

[thyrex 1 411]

Правила оказания помощи

[vkams 0]

Сделал лог с помощью автоматического сборщика логов. 

CollectionLog-2016.12.01-10.45.zip

[mike 1 1 044]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vkams 0]

Отчёты Farbar Recovery Scan Tool по инструкции я сделал сразу же, они в первом сообщении темы.

[mike 1 1 044]

Сделайте с моими настройками.

[vkams 0]

Именно с такими галочками и делал.

[mike 1 1 044]

Тогда прикрепите логи в виде текстовых файлов

[vkams 0]

Вот незадача: думал скачать приаттаченные в 1-м сообщении, распаковать и прикрепить - но получаю сообщение: "Недостаточно прав для скачивания". А исходные файлы я удалил - думал, зачем они мне? Чтобы лишний раз не дёргать пострадавшего пользователя, можно попросить Вас воспользоваться зазипованными? У Вас-то прав достаточно.

[mike 1 1 044]

Вот не люблю я когда по несколько раз текстовые логи пихают в архивы. Особенно если у тебя в папке куча этих отчетов от разных пользователей.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  2016-11-30 12:56 - 2016-11-30 12:59 - 00000000 _SHDC C:\Users\Все пользователи\Windows
  2016-11-30 12:56 - 2016-11-30 12:59 - 00000000 _SHDC C:\ProgramData\Windows
  2016-06-08 11:02 - 2016-06-08 11:02 - 0000020 ____C () C:\Users\Марина\AppData\Roaming\004D5649544E41696E66
  2016-06-08 11:01 - 2016-06-08 11:01 - 0000256 ____C () C:\Users\Марина\AppData\Roaming\041C659D768A5E
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[vkams 0]

Выполнил fix, прилагаю отчёт. 

Fixlog.txt

[mike 1 1 044]

AV: ESET Smart Security 9.0.408.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего вендора.

[vkams 0]

За расшифровкой обращайтесь в техподдержку своего вендора. 

 

Т.е. в Eset, а к Вам я попал неправильно?

Тогда извините, пожалуйста, что отнял столько времени.

[mike 1 1 044]

Т.е. в Eset, а к Вам я попал неправильно?

Я и так вам помог с лечением. Вы используете другой антивирус, который пропустил шифровальщика, вот пускай специалисты Eset и выясняют почему это произошло. Не отсылать же вас в магазин за покупкой лицензии на Антивирус Касперского.

[vkams 0]

Большое Вам спасибо!!!