ransom.shade Шифровальщик .no_more_ransom

13 января, 2017

Здравствуйте. Бухгалтер словила шифровальщик. Данных немного. В сеть слава linux не утекло.

Показало код и просит отправить письмо на vladimirscherbinin1991@gmail.com для получения дальнейших указаний к расшифровке.

CollectionLog-2017.01.13-11.59.zip

Изменено 13 января, 2017 пользователем DeAlexWin

13 января, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

13 января, 2017

KLAN-5649364439:

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

В файлах найдены вредоносные программы
csrss.exe - Trojan-Ransom.Win32.Shade.llg

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

ClearLNK-13.01.2017_14-18.log:

ClearLNK by Alex Dragokas                                 ver. 2.9.0.11

OS:       x64 Windows 7 Pro, 6.1.7601, Service Pack: 1
Time:     13.01.2017 - 14:18
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     koa   (group: Administrator)

_____________________________ Начало отчёта ____________________________
.
[ OK ] 1 "C:\Users\koa\AppData\Local\Mail.Ru\Mail.Ru.lnk"    -> [ "C:\Users\koa\AppData\Local\Xpom\Application\go_internet.exe" hxxp://www.mail.ru ]   (Метод RN-S)   (ОК)
.
[DEL ] 2 "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\config.cfgx.lnk"    (цель не восстановлена)
[DEL ] 3 "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\0.lnk"    (цель не восстановлена)
[DEL ] 4 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.19.68\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 5 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.19.68\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 6 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.19.68\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 7 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.19.68\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 8 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.19.68\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 9 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.365\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 10 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.365\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 11 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.365\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 12 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.365\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 13 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.365\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 14 "C:\Users\koa\Desktop\Декларация 2013.lnk"    (цель не восстановлена)
[DEL ] 15 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1119\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 16 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1119\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 17 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1119\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 18 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1119\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 19 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1119\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 20 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1383\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 21 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1383\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 22 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1383\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 23 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1383\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 24 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1383\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 25 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.437\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 26 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.437\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 27 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.437\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 28 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.437\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 29 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.4.437\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 30 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1248\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 31 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1248\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 32 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1248\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 33 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1248\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 34 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.5.1248\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 35 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Офисная печать Xerox\Сканирование\Ярлык справки по утилите сканирования Xerox.lnk"    (цель не восстановлена)
[DEL ] 36 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\7-Zip Help.lnk"    (цель не восстановлена)
[DEL ] 37 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.18.109\1C Предприятие (тонкий клиент).lnk"    (цель не восстановлена)
[DEL ] 38 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.18.109\Kонфигуратор.lnk"    (цель не восстановлена)
[DEL ] 39 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.18.109\1С Предприятие (толстый клиент).lnk"    (цель не восстановлена)
[DEL ] 40 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.18.109\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 41 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8.2\Дополнительно\8.2.18.109\1C Предприятие.lnk"    (цель не восстановлена)
[DEL ] 42 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1С Предприятие 8\Дополнительно\8.3.6.2152\ReadMe - Дополнительная информация.lnk"    (цель не восстановлена)
[DEL ] 43 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebDrive\Release Notes.lnk"    (цель не восстановлена)
[DEL ] 44 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebDrive\Version History.lnk"    (цель не восстановлена)
[DEL ] 45 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebDrive\Help on WebDrive.lnk"    (цель не восстановлена)
[DEL ] 46 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iBank 2 Key Driver 1.11\iBank 2 Key Driver Readme.lnk"    (цель не восстановлена)
.
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.

Всего обработано: 46

Исправлено:     1
Удалено:        45
____________________________ Конец отчёта ______________________________CRC32: B21AF5A6

Есть какая-либо возможность вытащить нужные файлы?

Кроме оплаты злоумышленнику конечно.

13 января, 2017

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Отчеты, пожалуйста, прикрепляйте, а не вставляйте в сообщение.

13 января, 2017

Результат сканирования Farbar Recovery Scan Tool x64

Shortcut.txt

FRST.txt

Addition.txt

Изменено 13 января, 2017 пользователем DeAlexWin

13 января, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2881143301-604074257-2044702860-1185 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README9.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README8.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README7.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README6.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README5.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README4.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README3.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README2.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README10.txt
2017-01-13 10:16 - 2017-01-13 10:16 - 00004186 _____ C:\Users\Public\Desktop\README1.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README9.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README8.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README7.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README6.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README5.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README4.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README3.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README2.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README10.txt
2017-01-13 08:36 - 2017-01-13 08:36 - 00004186 _____ C:\README1.txt
2017-01-13 08:35 - 2017-01-13 13:04 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-13 08:35 - 2017-01-13 13:04 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

13 января, 2017

Результат Farbar Recovery Scan Tool x64 с fixlist.txt

Fixlog.txt

13 января, 2017

Теперь порядок. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

13 января, 2017

Теперь порядок. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

а если нет лицензии?

13 января, 2017

Из FAQ:

Вопрос: Могу ли я использовать лицензию друга, который пользуется Антивирусом Касперского для создания запроса на расшифровку?

Ответ: Да, можете.

13 января, 2017

Понял, благодарю. Буду пробовать.

ransom.shade Шифровальщик .no_more_ransom

Рекомендуемые сообщения

DeAlexWin

Sandor

DeAlexWin

Sandor

DeAlexWin

Sandor

DeAlexWin

Sandor

DeAlexWin

Sandor

DeAlexWin

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum