trojan-ransom.win32.shade

[Un13]

Добрый день!

 

У нас следующая проблема, в какойто момент все фалы на ПК стали зашифрованными с расширением "no_more_ransom". Каких либо писем или файлов в интернете вроде не открывали. Писем на почту с вымоганием, не получали. Как так получилось, остается загадкой ((

Подскажите пожалуйста, что можно сделать, для восстановления файлов ?

Addition.txt

CollectionLog-2017.01.18-13.34.zip

FRST.txt

Shortcut.txt

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('AmmyyAdmin_1BD4');
 StopService('4F96457F48EE9172');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', '');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', '');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', '');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', '');
 QuarantineFile('C:\Windows\TEMP\693C0C0.sys', '');
  QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{685F9E01-C2E8-4B7E-8BC1-A8F5B4671ECB}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8D97BCFA-7566-41F5-A3F6-D00F50FF5F0F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{9CFCF4A3-6904-4B4E-9B29-0043F9BF17E6}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{C7ACB7C2-7AD4-49A5-A426-5ADDD196D01F}" /F', 0, 15000, true);
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', '32');
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', '32');
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', '32');
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', '32');
 DeleteFile('C:\Windows\TEMP\693C0C0.sys', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 DeleteService('4F96457F48EE9172');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Un13]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
quarantine.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

KLAN-5671527536]

CollectionLog-2017.01.18-15.10.zip

Изменено 18 января, 2017 пользователем Un13

[Sandor]

Соберите и прикрепите свежие логи FRST.

[Un13]

Соберите и прикрепите свежие логи FRST.

Кстати, само тело вируса. Снес KIS, установленный после данного ЧП.

Addition.txt

CollectionLog-2017.01.18-15.10.zip

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKU\S-1-5-21-1137010244-4147426479-2387351578-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-11-25]
CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni [2016-11-25]
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README9.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README8.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README7.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README6.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README5.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README4.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README3.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README2.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README10.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README1.txt
2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Un13]

Fixlog.txt

Изменено 19 января, 2017 пользователем Un13

[Un13]

Какие еще нужны действия с нашей стороны ?

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Un13]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Лицензии есть, 8 лет с вами работаем. Сейчас попробую.

Спасибо.