ransom.shade ShadeDecryptor оказался бесполезен

11 мая, 2017

Зашифрованные файлы, видео, аудио и изображения) с расширением .xtbl лежат уже давно. Файл README1.txt также был сохранен. К сожалению, ShadeDecryptor оказался бесполезен, т.к. не смог найти ключ для расшифровки. Чем-то можно помочь?

11:40:01.0742 0x0444 Trojan-Ransom.Win32.Shade decryptor tool 1.1.0.2 Jun 8 2016 16:43:09
...
11:40:02.0102 0x0444 ============================================================
11:40:02.0149 0x0444 Initialize success
11:40:59.0383 0x1778 Using ID 7A9AF0405A282593E45E from the ransom note: D:\backRender\README1.txt
11:41:11.0037 0x1778 No keys found for the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
11:41:16.0723 0x1778 Cannot initialize decryptor on the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl

------------------------------------------------------------------------------

Логи, требуемые правилами создания запроса, прилагаются.

CollectionLog-2017.05.11-10.00.zip

11 мая, 2017

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\anton\appdata\roaming\kyubey\kyubey.exe');
 StopService('Kyubey');
 StopService('HWiNFO32');
 StopService('p1489136302am');
 QuarantineFile('c:\users\anton\appdata\roaming\kyubey\kyubey.exe', '');
 QuarantineFile('C:\Users\ANTON\AppData\Local\Temp\HWiNFO32.SYS', '');
 QuarantineFile('C:\Users\ANTON\AppData\Local\Temp\bk4856.tmp\p1489136302am.sys', '');
 QuarantineFile('C:\Program Files\MIO\MIO.exe', '');
 QuarantineFile('C:\windows\psgo\psgo.ps1', '');
 QuarantineFile('c:\program files\explorer\iedvutils.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\IdentityCRL\ppcrlconf.dll', '');
 QuarantineFile('C:\Windows\system32\Drivers\isafekrnlboot.sys', '');
 QuarantineFile('C:\Windows\system32\Drivers\mwescontroller.sys', '');
 QuarantineFile('c:\program files\winarcher\archer.dll', '');
 QuarantineFile('c:\programdata\bit\bit.dll', '');
 QuarantineFile('C:\Program Files\Firefox\xul.dll', '');
 QuarantineFile('c:\users\anton\appdata\roaming\clean\kyubey.exe', '');
 QuarantineFileF('c:\users\anton\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\firefox\bin\firefoxupdate.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files\gubed\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\VADIM\appdata\roaming\winsapsvc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\bit\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\local\kitty\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\local\3dm\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\local\snare\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\anton\appdata\roaming\clean\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\wintools\wintool.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\wintools\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\elex-tech\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\MIO\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Microsoft\IdentityCRL\ppcrlconf.dll');
 DeleteFile('C:\Windows\system32\Drivers\isafekrnlboot.sys');
 DeleteFile('C:\Windows\system32\Drivers\mwescontroller.sys');
 DeleteFile('c:\programdata\bit\bit.dll');
 DeleteFile('c:\program files\explorer\iedvutils.exe');
 DeleteFile('c:\users\anton\appdata\roaming\clean\kyubey.exe');
 DeleteFile('c:\users\anton\appdata\roaming\kyubey\kyubey.exe', '32');
 DeleteFile('C:\Users\ANTON\AppData\Local\Temp\HWiNFO32.SYS', '32');
 DeleteFile('C:\Users\ANTON\AppData\Local\Temp\bk4856.tmp\p1489136302am.sys', '32');
 DeleteFile('C:\Program Files\MIO\MIO.exe', '32');
 DeleteFile('C:\windows\psgo\psgo.ps1', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows-PG" /F', 0, 15000, true);
 DeleteService('Kyubey');
 DeleteService('p1489136302am');
 DeleteFileMask('c:\program files\firefox\bin\firefoxupdate.exe', '*', true);
 DeleteFileMask('c:\program files\gubed\', '*', true);
 DeleteFileMask('C:\Users\VADIM\appdata\roaming\winsapsvc\', '*', true);
 DeleteFileMask('c:\users\anton\appdata\local\kitty\', '*', true);
 DeleteFileMask('c:\programdata\wintools\wintool.exe', '*', true);
 DeleteFileMask('C:\Program Files\elex-tech\', '*', true);
 DeleteFileMask('C:\Program Files\MIO\', '*', true);
 DeleteFileMask('c:\users\anton\appdata\roaming\kyubey', '*', true);
 DeleteDirectory('c:\program files\firefox\bin\firefoxupdate.exe');
 DeleteDirectory('c:\program files\gubed\');
 DeleteDirectory('C:\Users\VADIM\appdata\roaming\winsapsvc\');
 DeleteDirectory('c:\users\anton\appdata\local\kitty\');
 DeleteDirectory('c:\programdata\wintools\wintool.exe');
 DeleteDirectory('C:\Program Files\elex-tech\');
 DeleteDirectory('C:\Program Files\MIO\');
 DeleteDirectory('c:\users\anton\appdata\roaming\kyubey');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

Изменено 11 мая, 2017 пользователем regist

12 мая, 2017

Здравствуйте.

1. MD5 карантина: 94F8FE310DD45D15B42546D216780A37
Размер файла: 130880476 байт
Ссылка на результаты анализа:http://virusinfo.info/virusdetector/report.php?md5=94F8FE310DD45D15B42546D216780A37

2. Файл quarantine.zip - более 120 МБ. Ни мой почтовый ящик, ни oszone такой объем не захотели переправлять.

3. ClearLNK-12.05.2017_23-14.log

4. CollectionLog-2017.05.13-00.58.zip

5. AdwCleanerS0.txt

ClearLNK-12.05.2017_23-14.log

CollectionLog-2017.05.13-00.58.zip

AdwCleanerS0.txt

Изменено 12 мая, 2017 пользователем 500razlamer

12 мая, 2017

2. Файл quarantine.zip - более 120 МБ. Ни мой почтовый ящик, ни oszone такой объем не захотели переправлять.

закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.

Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").

По окончанию сканирования снимите галочки со следующих строк:

Найдена папка: C:\Program Files\Firefox
Найдена папка: C:\Users\VADIM\AppData\Roaming\Firefox
Найдена папка: C:\Users\VADIM\AppData\Local\Firefox

Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

13 мая, 2017

Отчет AdwCleaner вложен.

Ссылка на архив отправлена в ЛС

AdwCleanerC0.txt

13 мая, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Изменено 13 мая, 2017 пользователем regist

14 мая, 2017

Здравствуйте.

Отчеты FRST - FRST.zip

FRST_reports.zip

14 мая, 2017

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {0dec8ed8-1292-11e6-960d-00e04d3c7e9f} - V:\autorun.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec88-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec89-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8a-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8b-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8c-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8d-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8e-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec8f-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec90-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {3c99ec91-f34f-11e5-8b7d-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {72f5493e-6202-11e6-9906-00e04d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {76bf2a63-bd0b-11e5-af78-00e04d3c7e9f} - V:\Autorun.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb27-bc28-11e5-8571-00004d3c7e9f} - V:\MB-Warband.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb28-bc28-11e5-8571-00004d3c7e9f} - V:\MB-Warband.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb29-bc28-11e5-8571-00004d3c7e9f} - V:\MB-Warband.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {81efbb36-bc28-11e5-8571-00004d3c7e9f} - W:\Autorun.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {86d60e3e-7a21-11e5-8356-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {86d60e3f-7a21-11e5-8356-00004d3c7e9f} - H:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232f9-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fa-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fb-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fc-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {8d6232fd-1431-11e6-a2e1-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {9bac16ef-11c5-11e6-8a21-00004d3c7e9f} - V:\Setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {9bac16f0-11c5-11e6-8a21-00004d3c7e9f} - V:\Setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {9bac16f1-11c5-11e6-8a21-00004d3c7e9f} - V:\Setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {ac8fe63c-3d36-11e5-a99d-00e04d3c7e9f} - V:\SETUP.EXE
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {b7232c63-c901-11e5-89c4-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {cb88ba3a-0af6-11e6-9eae-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {ec6662c3-7c99-11e6-97ef-00e04d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fc24d129-402d-11e6-bc44-00004d3c7e9f} - V:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fecac953-6f45-11e6-93da-00e04d3c7e9f} - V:\GodFatherII_setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fed88932-c132-11e6-988a-00004d3c7e9f} - O:\setup.exe
HKU\S-1-5-21-2032462733-3692230737-3452243181-1000\...\MountPoints2: {fed8893a-c132-11e6-988a-00004d3c7e9f} - P:\setup.exe
ShellExecuteHooks: No Name - {8D0D5A52-AB35-11E6-8696-64006A5CFC23} -  -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\fwc0ggl0.default -> luck
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\fwc0ggl0.default -> luck
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\fwc0ggl0.default -> luck
2017-05-13 13:18 - 2017-05-14 09:15 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-05-13 01:42 - 2016-11-28 19:45 - 00000000 ____D C:\ProgramData\IObit
Task: {F08ADD43-1352-4FC5-AF9E-8B4ED15FA883} - System32\Tasks\db0107febb7384df69145f21071d116f => Rundll32.exe "C:\Program Files\MSBuild\pb6644.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]

Изменено 14 мая, 2017 пользователем regist

14 мая, 2017

Отчет Fixlog

Fixlog.txt

14 мая, 2017

По поводу расшифровки файлов создайте запрос на расшифровку, но могут попросить коммерческую лицензию на продукт

14 мая, 2017

По поводу расшифровки...

Спасибо за проявленный к моей проблеме интерес, но я, извините, где-то упустил суть наших предыдущих действий.

Избежать нашего кратковременного "сотрудничества" можно было бы сразу же, просто указав ссылку на запрос о расшифровке.

Лицензия вряд ли появится. Меня вполне устаивают бесплатные (встроенные) средства защиты.

Еще раз спасибо и извините за непонятно зачем взятое на себя беспокойство.

14 мая, 2017

но я, извините, где-то упустил суть наших предыдущих действий.

У вас там полно вирусной дряни было, её и вычищали. Расшифровкой надо заниматься уже после того как вирус удалён.

И пару дней всё-таки за темой последите, передал разработчику утилиты. Если будут новости отпишу тут.

Изменено 15 мая, 2017 пользователем regist

15 мая, 2017

@500razlamer, получил ответ от разработчика. Увы, для данного экземпляра нет ключей расшифровки.

17 мая, 2017

Спасибо.

ransom.shade ShadeDecryptor оказался бесполезен

Рекомендуемые сообщения

500razlamer

regist

500razlamer

regist

500razlamer

regist

500razlamer

regist

500razlamer

regist

500razlamer

regist

regist

500razlamer

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum