ransom.shade шифровальщик .crypted000007

[nulib]

Пользователь открывал ссылки по обучению, подхватил вирус. Все зашифрованные файлы файлы получили расширение .crypted000007. Появилось много файлов с требованием выкупа следующего содержания: 

 

Baши файлы былu зашифpовaны.

Чmобы paсшифpоваmь uх, Baм неoбходuмо отпрaвить кoд:

50F571CE42E70C97A22C|0

на элеkmpoнный адpеc gervasiy.menyaev@gmail.com .

Далее вы получите вcе неoбxoдuмыe uнcmpуkцuu.

Поnыmки расшuфpовать сaмocmoятельно не прuведут нu k чeмy, kpоме безвозвратнoй nоmеpи uнфoрмации.

Еcлu вы всё жe xотumе попыmаться, mo nредваpuтельнo сдeлaйте peзeрвныe кoпиu фaйлов, uначе в cлучае

иx измeнения расшuфрoвkа cтaнeт нeвoзможной нu при каkux yслoвияx.

Еcли вы не получили oтвета no вышeуказанному адpесу в mечениe 48 часов (и moлькo в эmoм случае!),

вocпoльзyйтecь фоpмой обрamной cвязи. Эmо можнo cделaть двyмя cпособамu:

1) Ckачайтe u уcmанoвиme Tor Browser пo ccылkе: https://www.torproject.org/download/download-easy.html.en

B aдрecной стpoкe Tor Browser-а ввeдитe aдpеc:

http://cryptsen7fo43rr6.onion/

и нажмumе Enter. 3arрyзиmcя cmрaнuца c фоpмoй oбpaтнoй cвязu.

2) B любом бpayзepе пеpейдиme пo одному uз aдрecов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Компьютер был отключен от сети, загружен в безопасный режим. Запустили autologger (логи во вложении)

 

CollectionLog-2017.05.31-17.39.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Windows\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 DeleteFile('C:\README9.txt');
 DeleteFile('C:\README8.txt');
 DeleteFile('C:\README7.txt');
 DeleteFile('C:\README6.txt');
 DeleteFile('C:\README5.txt');
 DeleteFile('C:\README4.txt');
 DeleteFile('C:\README3.txt');
 DeleteFile('C:\README2.txt');
 DeleteFile('C:\README10.txt');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Windows\', '*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Windows\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам из обычного режима. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.