ShadeDecryptor оказался бесполезен

[500razlamer]

Зашифрованные файлы, видео, аудио и изображения) с расширением .xtbl лежат уже давно. Файл README1.txt также был сохранен. К сожалению, ShadeDecryptor оказался бесполезен, т.к. не смог найти ключ для расшифровки. Чем-то можно помочь?

 

11:40:01.0742 0x0444  Trojan-Ransom.Win32.Shade decryptor tool 1.1.0.2 Jun  8 2016 16:43:09
...
11:40:02.0102 0x0444  ============================================================
11:40:02.0149 0x0444  Initialize success
11:40:59.0383 0x1778  Using ID 7A9AF0405A282593E45E from the ransom note: D:\backRender\README1.txt
11:41:11.0037 0x1778  No keys found for the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
11:41:16.0723 0x1778  Cannot initialize decryptor on the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl

 

------------------------------------------------------------------------------

Логи, требуемые правилами создания запроса, прилагаются.

CollectionLog-2017.05.11-10.00.zip

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\anton\appdata\roaming\kyubey\kyubey.exe');
 StopService('Kyubey');
 StopService('HWiNFO32');
 StopService('p1489136302am');
 QuarantineFile('c:\users\anton\appdata\roaming\kyubey\kyubey.exe', '');
 QuarantineFile('C:\Users\ANTON\AppData\Local\Temp\HWiNFO32.SYS', '');
 QuarantineFile('C:\Users\ANTON\AppData\Local\Temp\bk4856.tmp\p1489136302am.sys', '');
 QuarantineFile('C:\Program Files\MIO\MIO.exe', '');
 QuarantineFile('C:\windows\psgo\psgo.ps1', '');
 QuarantineFile('c:\program files\explorer\iedvutils.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\IdentityCRL\ppcrlconf.dll', '');
 QuarantineFile('C:\Windows\system32\Drivers\isafekrnlboot.sys', '');
 QuarantineFile('C:\Windows\system32\Drivers\mwescontroller.sys', '');
 QuarantineFile('c:\program files\winarcher\archer.dll', '');
 QuarantineFile('c:\programdata\bit\bit.dll', '');
 QuarantineFile('C:\Program Files\Firefox\xul.dll', '');
 QuarantineFile('c:\users\anton\appdata\roaming\clean\kyubey.exe', '');
 QuarantineFileF('c:\users\anton\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\firefox\bin\firefoxupdate.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files\gubed\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\VADIM\appdata\roaming\winsapsvc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\bit\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\local\kitty\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\local\3dm\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\local\snare\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\roaming\clean\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\wintools\wintool.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\wintools\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\elex-tech\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\MIO\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Microsoft\IdentityCRL\ppcrlconf.dll');
 DeleteFile('C:\Windows\system32\Drivers\isafekrnlboot.sys');
 DeleteFile('C:\Windows\system32\Drivers\mwescontroller.sys');
 DeleteFile('c:\programdata\bit\bit.dll');
 DeleteFile('c:\program files\explorer\iedvutils.exe');
 DeleteFile('c:\users\anton\appdata\roaming\clean\kyubey.exe');
 DeleteFile('c:\users\anton\appdata\roaming\kyubey\kyubey.exe', '32');
 DeleteFile('C:\Users\ANTON\AppData\Local\Temp\HWiNFO32.SYS', '32');
 DeleteFile('C:\Users\ANTON\AppData\Local\Temp\bk4856.tmp\p1489136302am.sys', '32');
 DeleteFile('C:\Program Files\MIO\MIO.exe', '32');
 DeleteFile('C:\windows\psgo\psgo.ps1', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteService('p1489136302am');
 DeleteFileMask('c:\program files\firefox\bin\firefoxupdate.exe', '*', true);
 DeleteFileMask('c:\program files\gubed\', '*', true);
 DeleteFileMask('C:\Users\VADIM\appdata\roaming\winsapsvc\', '*', true);
 DeleteFileMask('c:\users\anton\appdata\local\kitty\', '*', true);
 DeleteFileMask('c:\programdata\wintools\wintool.exe', '*', true);
 DeleteFileMask('C:\Program Files\elex-tech\', '*', true);
 DeleteFileMask('C:\Program Files\MIO\', '*', true);
 DeleteFileMask('c:\users\anton\appdata\roaming\kyubey', '*', true);
 DeleteDirectory('c:\program files\firefox\bin\firefoxupdate.exe');
 DeleteDirectory('c:\program files\gubed\');
 DeleteDirectory('C:\Users\VADIM\appdata\roaming\winsapsvc\');
 DeleteDirectory('c:\users\anton\appdata\local\kitty\');
 DeleteDirectory('c:\programdata\wintools\wintool.exe');
 DeleteDirectory('C:\Program Files\elex-tech\');
 DeleteDirectory('C:\Program Files\MIO\');
 DeleteDirectory('c:\users\anton\appdata\roaming\kyubey');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 11 мая, 2017 пользователем regist

[500razlamer]

Здравствуйте.

 

1. MD5 карантина: 94F8FE310DD45D15B42546D216780A37
Размер файла: 130880476 байт
Ссылка на результаты анализа:http://virusinfo.info/virusdetector/report.php?md5=94F8FE310DD45D15B42546D216780A37

 

2. Файл quarantine.zip - более 120 МБ. Ни мой почтовый ящик, ни oszone такой объем не захотели переправлять.

 

3. ClearLNK-12.05.2017_23-14.log

 

4. CollectionLog-2017.05.13-00.58.zip

 

5. AdwCleanerS0.txt

ClearLNK-12.05.2017_23-14.log

CollectionLog-2017.05.13-00.58.zip

AdwCleanerS0.txt

Изменено 12 мая, 2017 пользователем 500razlamer

[regist]

 

 

2. Файл quarantine.zip - более 120 МБ. Ни мой почтовый ящик, ни oszone такой объем не захотели переправлять.

закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.
 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования снимите галочки со следующих строк:
  

  Найдена папка: C:\Program Files\Firefox
  Найдена папка: C:\Users\VADIM\AppData\Roaming\Firefox
  Найдена папка: C:\Users\VADIM\AppData\Local\Firefox

• Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

[500razlamer]

Отчет AdwCleaner вложен.

Ссылка на архив отправлена в ЛС

AdwCleanerC0.txt

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено 13 мая, 2017 пользователем regist

[500razlamer]

Здравствуйте.

Отчеты FRST - FRST.zip

FRST_reports.zip

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {0dec8ed8-1292-11e6-960d-00e04d3c7e9f} - V:\autorun.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec88-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec89-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8a-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8b-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8c-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8d-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8e-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8f-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec90-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec91-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {72f5493e-6202-11e6-9906-00e04d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {76bf2a63-bd0b-11e5-af78-00e04d3c7e9f} - V:\Autorun.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb27-bc28-11e5-8571-00004d3c7e9f} - V:\MB-Warband.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb28-bc28-11e5-8571-00004d3c7e9f} - V:\MB-Warband.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb29-bc28-11e5-8571-00004d3c7e9f} - V:\MB-Warband.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb36-bc28-11e5-8571-00004d3c7e9f} - W:\Autorun.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {86d60e3e-7a21-11e5-8356-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {86d60e3f-7a21-11e5-8356-00004d3c7e9f} - H:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232f9-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fa-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fb-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fc-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fd-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {9bac16ef-11c5-11e6-8a21-00004d3c7e9f} - V:\Setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {9bac16f0-11c5-11e6-8a21-00004d3c7e9f} - V:\Setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {9bac16f1-11c5-11e6-8a21-00004d3c7e9f} - V:\Setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {ac8fe63c-3d36-11e5-a99d-00e04d3c7e9f} - V:\SETUP.EXE
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {b7232c63-c901-11e5-89c4-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {cb88ba3a-0af6-11e6-9eae-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {ec6662c3-7c99-11e6-97ef-00e04d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fc24d129-402d-11e6-bc44-00004d3c7e9f} - V:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fecac953-6f45-11e6-93da-00e04d3c7e9f} - V:\GodFatherII_setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fed88932-c132-11e6-988a-00004d3c7e9f} - O:\setup.exe
  HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fed8893a-c132-11e6-988a-00004d3c7e9f} - P:\setup.exe
  ShellExecuteHooks: No Name - {8D0D5A52-AB35-11E6-8696-64006A5CFC23} -  -> No File
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\fwc0ggl0.default -> luck
  FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\fwc0ggl0.default -> luck
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\fwc0ggl0.default -> luck
  2017-05-13 13:18 - 2017-05-14 09:15 - 00000000 _____ C:\Users\Public\Documents\temp.dat
  2017-05-13 01:42 - 2016-11-28 19:45 - 00000000 ____D C:\ProgramData\IObit
  Task: {F08ADD43-1352-4FC5-AF9E-8B4ED15FA883} - System32\Tasks\db0107febb7384df69145f21071d116f => Rundll32.exe "C:\Program Files\MSBuild\pb6644.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.[/code]

Изменено 14 мая, 2017 пользователем regist

[500razlamer]

Отчет Fixlog

Fixlog.txt

[regist]

По поводу расшифровки файлов создайте запрос на расшифровку, но могут попросить коммерческую лицензию на продукт

[500razlamer]

По поводу расшифровки...

Спасибо за проявленный к моей проблеме интерес, но я, извините, где-то упустил суть наших предыдущих действий.

Избежать нашего кратковременного  "сотрудничества" можно было бы сразу же, просто указав ссылку на запрос о расшифровке.

Лицензия вряд ли появится. Меня вполне устаивают бесплатные (встроенные) средства защиты.

Еще раз спасибо и извините за непонятно зачем взятое на себя беспокойство.

[regist]

но я, извините, где-то упустил суть наших предыдущих действий.

У вас там полно вирусной дряни было, её и вычищали. Расшифровкой надо заниматься уже после того как вирус удалён.

И пару дней всё-таки за темой последите, передал разработчику утилиты. Если будут новости отпишу тут.

Изменено 15 мая, 2017 пользователем regist

[regist]

@500razlamer, получил ответ от разработчика. Увы, для данного экземпляра нет ключей расшифровки.

[500razlamer]

Спасибо.