Перейти к содержанию

trojan-ransom.win32.shade

Un13
 Share

Рекомендуемые сообщения

Un13 Новичок

Un13

Опубликовано
Опубликовано

Добрый день!

 

У нас следующая проблема, в какойто момент все фалы на ПК стали зашифрованными с расширением "no_more_ransom". Каких либо писем или файлов в интернете вроде не открывали. Писем на почту с вымоганием, не получали. Как так получилось, остается загадкой ((

Подскажите пожалуйста, что можно сделать, для восстановления файлов ?

Addition.txt

CollectionLog-2017.01.18-13.34.zip

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('AmmyyAdmin_1BD4');
 StopService('4F96457F48EE9172');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', '');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', '');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', '');
 QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', '');
 QuarantineFile('C:\Windows\TEMP\693C0C0.sys', '');
  QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', '');
 QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{685F9E01-C2E8-4B7E-8BC1-A8F5B4671ECB}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8D97BCFA-7566-41F5-A3F6-D00F50FF5F0F}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{9CFCF4A3-6904-4B4E-9B29-0043F9BF17E6}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{C7ACB7C2-7AD4-49A5-A426-5ADDD196D01F}" /F', 0, 15000, true);
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{E26D24D1-5BB8-4A54-8941-CAF82C748DE3}.tmp', '32');
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{9B303034-985A-4749-B630-CE9EA1965F15}.tmp', '32');
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{A4474F53-9D39-4634-B2FB-4866B3806CE7}.tmp', '32');
 DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\{86DA4246-7098-4A1B-99A0-BFD770282C5F}\{F185358E-5788-4C3B-8D11-B9D2D6887483}.tmp', '32');
 DeleteFile('C:\Windows\TEMP\693C0C0.sys', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S4FRYBBD\nalogul4464.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNDR46VH\NalogUL4472.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A0ULHAM2\nalogul4462.exe', '32');
 DeleteFile('C:\Users\Бухгалтер\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPH4J9XA\NalogUL4491.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 DeleteService('4F96457F48EE9172');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Un13 Новичок

Un13

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
quarantine.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

KLAN-5671527536]

CollectionLog-2017.01.18-15.10.zip

Изменено пользователем Un13
Ссылка на комментарий
Поделиться на другие сайты
Un13 Новичок

Un13

Опубликовано
  • Автор
Опубликовано

Соберите и прикрепите свежие логи FRST.

Кстати, само тело вируса. Снес KIS, установленный после данного ЧП.

Addition.txt

CollectionLog-2017.01.18-15.10.zip

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKU\S-1-5-21-1137010244-4147426479-2387351578-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-11-25]
CHR Extension: (Яндекс) - C:\Users\Бухгалтер\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni [2016-11-25]
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README9.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README8.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README7.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README6.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README5.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README4.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README3.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README2.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README10.txt
2017-01-16 09:27 - 2017-01-16 09:27 - 00004186 _____ C:\README1.txt
2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-16 09:25 - 2017-01-17 15:11 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Un13 Новичок

Un13

Опубликовано
  • Автор
Опубликовано

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Лицензии есть, 8 лет с вами работаем. Сейчас попробую.

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • bakanov
      HEUR:Trojan-Ransom.Win32.Mimic.gen
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • Seraph Luteus
      NET:MALWARE.URL и trojan siggen 20 2783
      От Seraph Luteus
      Доброго времени суток. Решил провести проверку системы на майнеры и прочие вирусы. Как итог, я выявил сначала такой файл trojan siggen 20 2783, после чего удалил (на что надеюсь) его через антивирусник. После сделал ещё проверки и обнаружил уже net malware.url, а его удалить не получается.  Прошу совета и помощи в решении проблемы у знатоков.
       
      По уже похожей проблеме у другого пользователя собрал нужные логи и прикреплю их. 
      PIKA_2024-11-18_15-41-59_v4.99.4v x64.7z
      FRST.txt Addition.txt AV_block_remove_2024.11.18-15.35.log
    • Aman2008
      trojan multi genbadur genw
      От Aman2008
      решил в игрульки поиграть, скачал и касперский находит троян, я перезапускаю и касперский снова его находит, и снова и снова, что делать
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
×
×
  • Создать...