ransom.shade Шифровальщик с почты зашифровал файлы

9 марта, 2017

Получено письмо от банка, при открытии приложения получил зашифрованные файлы.

Прилагаю логи и файлы с уведомлением, которые шифровальщик создал и распихал всем пользователям.

Что можно сделать?

уведомл шифр.rar

log_test.rar

9 марта, 2017

Здравствуйте!

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-03-02 15:22 - 2017-03-02 15:22 - 06220854 _____ C:\Documents and Settings\Vasko\Application Data\51A3A29951A3A299.bmp
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README9.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README8.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README7.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README6.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README5.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README4.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README3.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README2.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README10.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\Vasko\Рабочий стол\README1.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2017-03-02 15:22 - 2017-03-02 15:22 - 00004162 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README9.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README8.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README7.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README6.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README5.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README4.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README3.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README2.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README10.txt
2017-03-02 12:59 - 2017-03-02 12:59 - 00004162 _____ C:\README1.txt
AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6}
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

9 марта, 2017

Вот результат

Согласно лога он просто переместил файлы, это то что нужно?

Fixlog.rar

9 марта, 2017

он просто переместил файлы

Да, но не только это.

С расшифровкой помочь не сможем.

9 марта, 2017

он просто переместил файлы
Да, но не только это.

С расшифровкой помочь не сможем.

Это грустно, однако.

Какие у меня варианты? (по опыту)

Если найдутся файлы идентичные в архивах зашифрованным - что-то возможно сделать?

9 марта, 2017

Увы, нет, не поможет.

Какие у меня варианты?

Плохой вариант - заплатить вымогателям без гарантии восстановления.

Хороший - отложить важные пострадавшие файлы до лучших времен. Не исключено, что инструмент для расшифровки появится в обозримом будущем.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

ransom.shade Шифровальщик с почты зашифровал файлы

Рекомендуемые сообщения

jeanjean

Sandor

jeanjean

Sandor

jeanjean

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum