ransom.shade Зашифровались файлы разрешением CRYPTED000007.

[nikhop]

Доброго времени суток! Пришло письмо от Ростелеком по поводу задолженности (и она была, небольшая). В нём была ссылка, рука дёрнулась, открыла... (смотрите вложение Письмо_с_печальной_ссылкой.docx). Там оказалась замаскированная ссылка и текст, вставленный картинкой, видимо чтобы в спам письмо не уходило.

 

Зашифровались документы, счёта, акты, файлы баз 1С бухгалтерия... Резервных копий никогда не делала. Был один архив с базами 1С, сделанный программистом, но и в архиве всё зашифровалось.

 

Во вложении Шифрованные_и_оригинальные_файлы.rar лежит содержимое папки с зашифрованными файлами и 2 оригинальных файла из этой же папки (какой оригинал к какому зашифрованному принадлежит - я не знаю), также есть  текстовый файл с требованиями злоумышленников, которое нашла в корне дисков (см. вложение README1.txt). Само окно не вылазило.

 

Запустили winPE и прогнали CUREIT'ом и KRT, вычистили много дряни. Только потом прочитали, что делать этого было нельзя. Хотя, возможно, они его и не поймали. Пробовали расшифровать продуктами Касперского: xoristdecryptor, rectordecryptor, rannohdecryptor, rakhnidecryptor. Ничего не получилось.

 

Есть ли возможность восстановить файлы, документы, базы 1С? Вся многолетняя работа там. Вся. 

 

--------------------------------

Примерная дата/время шифрования: 19.06.2017 14:00-14:30

----------------------------------------

Конкретно на этом компьютере был установлен Kaspersky Free 16. Он был включен. Но почему-то не углядел это бл... гадство... 

--------------------------------------

В папке C:\ProgramData\Kaspersky Lab\AVP16.Х.Х \SysWHist нет ничего, кроме папки file_cache. И в ней тоже ничего нет.

----------------------------------------

Интересный момент (см. вложение Интересно.png). В этот же день якобы появилась новая версия 16.0.1 в 9:32... Это наверняка может помочь.

 

В архиве Вложение.rar 4 вложения:  

Письмо_с_печальной_ссылкой.docx

Шифрованные_и_оригинальные_файлы.rar

README1.txt

Интересно.png

 

Вложение.rar

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[nikhop]

@Sandor, тут вопрос возник: стоит ли запускать ту же систему, где крутится шифровальщик, или можно из-под winPE собирать?

--------------------------------------------

 

В безопасном режиме сделал.

CollectionLog-2017.06.21-15.38.zip

Изменено 21 июня, 2017 пользователем nikhop

[Sandor]

В безопасном режиме сделал

Почему? В обычном не запускался? Если запускается, переделайте в обычном.

[nikhop]

Готово.

CollectionLog-2017.06.21-15.59.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[nikhop]

1. Скрипт выполнен. Полученный ответ на файл карантина

Полученный ответ на файл карантина:

Карантин от АВЗ [KLAN-6428703413]
newvirus@kaspersky.com
newvirus@kaspersky.com
сегодня в 16:38
Вам
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.nrh

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

 

2. Отчёт о работе в виде файла ClearLNK-<Дата>.log во вложении.

P.S. занятно, но эта зараза успела зашифровать отчёт о работе ClearLNK, пришлось делать по-новой.

 

3. Повторная диагностика во вложении

 

ClearLNK-21.06.2017_16-28.log

CollectionLog-2017.06.21-16.33.zip

[Sandor]

успела зашифровать отчёт о работе ClearLNK

Да, был активен, больше нет.

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 21 июня, 2017 пользователем Sandor

[nikhop]

Да, был активен, больше нет.

Это сразу понятно стало при загрузке ) Быстренько запускаться начал, ЦП никто не грузит более.

 

Отчет: 

AdwCleanerS0.txt

Изменено 21 июня, 2017 пользователем nikhop

[nikhop]

@Sandor, подскажите:

1. Какова вероятность дешифровки файлов?

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

 

П.С. Забыл спасибо сказать за помощь в уничтожении дряни. СПАСИБО! 

Изменено 21 июня, 2017 пользователем nikhop

[Sandor]

1. Какова вероятность дешифровки файлов?

Очень мала.

2. Почему Каспер не углядел эту заразу и не выловил её? Не знал таких сигнатур?

Возможно был не обновлен или в тот момент был выключен.

 

Далее:

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[nikhop]

Очень мала.

 

Печаль.

 

Возможно был не обновлен или в тот момент был выключен.

 

Выяснил, что во Free нет мониторинга активности... Если бы был КИС, он бы моментально словил эту шнягу. 

 

Совет из ТП Kaspersky (ну и от меня теперь):

ЮЗАЙТЕ ПРОДУКТЫ С МОНИТОРИНГОМ АКТИВНОСТИ, ШИФРАТОР В ТАКОМ СЛУЧАЕ ПОЙМАТЬ ПРАКТИЧЕСКИ НЕВОЗМОЖНО.

 

@Sandor, Вам Спасибо большое, я все шифрованное упаковал и сложил до лучших времен (надеюсь на лучшее) и переснёс всё к чертям, настроив бэкапы удалённые на облако с паролированием и с атрибутом для чтения, плюс поставил KIS.

[Sandor]

А где результаты двух пунктов из моего предыдущего сообщения?

[nikhop]

А где результаты двух пунктов из моего предыдущего сообщения?

 

Переснёс систему ещё вчера, какой смысл на чистой системе эти пункты исполнять? Или есть?

Изменено 22 июня, 2017 пользователем nikhop

[Sandor]

Переснёс систему

Подразумевается - переустановил? Если так, то не имеет смысла. Но не имела смысла и переустановка.