ransom.shade Вирус шифровальщик Crypted0000007

4 сентября, 2017

Добрый день. Словили вирус-шифровальщик по почте, письмо пришло от Ростелекома. Касперский нашел вот такой файл: csrss.exe и поместил его в карантин. Но к сожалению все файлы зашифровались. В компьютере была шлешка, мне необходимо понять имеется на флешке данный вирус или нет (на ней есть текстовые документы мошенников), файлы не зашифрованы и открываются.Чуть позже пришлю лог с зараженного компьютера.

CollectionLog-2017.09.04-21.15.zip

README1.txt

4 сентября, 2017

С рассширофровкой помочь не сможем.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

По по флешке. просканируйте её тем же касперским. Для надёжности можете ещё проверить через какой-нибудь файлов менеджер с включённой опцией отображения скрытых файлов, чтобы там не было лишнего.

4 сентября, 2017

Флешку проверял Касперским, он ничего не нашел. Смущают текстовые файлы как на зараженном компьютере, шифровальщик может заразить флешку? Какой менеджер можете посоветовать - тотал командер?

Addition.txt

FRST.txt

Shortcut.txt

4 сентября, 2017

тотал командер

вполне подойдёт.

4 сентября, 2017

С рассширофровкой помочь не сможем.

По по флешке. просканируйте её тем же касперским. Для надёжности можете ещё проверить через какой-нибудь файлов менеджер с включённой опцией отображения скрытых файлов, чтобы там не было лишнего.

Т.е. антишифратора можно ждать довольно продолжительное время? Или есть потуги с этой гадиной, на просторах интернета нашел несколько антишифраторов надеелся, что есть решение данной проблемы.

Проверить насколько я понимаю надо ручками)

4 сентября, 2017

Следов вируса не видно, так немного мусор почистим.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\Policies\Explorer: []
HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\MountPoints2: {27e04ab2-267d-11e5-8263-40e23004b730} - "F:\Setup.exe"
HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\MountPoints2: {d95fb31b-ab26-11e5-8276-40e23004b730} - "F:\AutoRun.exe"
HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\StartupApproved\Run: => "GameCenterMailRu"
HKU\S-1-5-21-3484099985-4115480748-3917393551-1001\...\StartupApproved\Run: => "GameCenterMailRu"

Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

И я бы посоветовал WinZip 17.5 удалить, тем более WinRar 5 стоит.

Т.е. антишифратора можно ждать довольно продолжительное время?

да.

на просторах интернета нашел несколько антишифраторов

либо развод либо фирмы, которые вам предлагали рассшировку в сговоре с автором шифровальщика - по сути тоже развод, даже ещё хуже, так платить придётся намного больше.

При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку. Но насколько знаю на эту модификацию рассшифровки нет. На некоторые другие просто ключи слили.

4 сентября, 2017

Компьютер будет перезагружен автоматически.

на просторах интернета нашел несколько антишифраторов

либо развод либо фирмы, которые вам предлагали рассшировку в сговоре с автором шифровальщика - по сути тоже развод, даже ещё хуже, так платить придётся намного больше.

При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку. Но насколько знаю на эту модификацию рассшифровки нет. На некоторые другие просто ключи слили.

Сделал как Вы выше описали, но компьютер сам в ребут не пошел.

Думаю, писать бесполезно, т.к. на форуме много сообщений, а результата нет, к сожалению.

Fixlog.txt

4 сентября, 2017

Думаю, писать бесполезно

Если лицензия есть, то ничего не теряете создав запрос в тех. поддержку. И если потом рассшифровка появится, то по идее должны вам сообщить (сам никогда не пользовался такой услугой, так что гарантировать не могу

). А если её нету, то тогда конечно.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

4 сентября, 2017

Спасибо обращусь, мб повезет) Спасибо за помощь, завтра повторю все перечисленные манипуляции с зараженным компьютером.

Думаю, писать бесполезно
Если лицензия есть, то ничего не теряете создав запрос в тех. поддержку. И если потом рассшифровка появится, то по идее должны вам сообщить (сам никогда не пользовался такой услугой, так что гарантировать не могу ). А если её нету, то тогда конечно.

Выполните скрипт в AVZ при наличии доступа в интернет:

Не могу понять где AVZ находится

4 сентября, 2017

Не могу понять где AVZ находится

..\AutoLogger\AVZ

6 сентября, 2017

Добрый ночи, прилагаю логи с зараженного компьютера.

Еще подскажите, приобрел Касперского на 2 компьютера. Чтобы создать запрос и приложить ключ активации необходимо через саму программу или можно на форуме? А то как то немного боязно, активировать 2й ключ на зараженном компьютере (на него поставил пробную версию).

Shortcut.txt

FRST.txt

Addition.txt

Изменено 6 сентября, 2017 пользователем Smoleti

6 сентября, 2017

Чтобы создать запрос и приложить ключ активации необходимо через саму программу или можно на форуме?

нужно через сайт https://my.kaspersky.com/ru/

Прикрепленные файлы

Это как понимаю логи с другого комьютера? Создайте для него отдельную тему.

6 сентября, 2017

Чтобы создать запрос и приложить ключ активации необходимо через саму программу или можно на форуме?
нужно через сайт https://my.kaspersky.com/ru/

Спасибо, сделаю.

Прикрепленные файлы
Это как понимаю логи с другого комьютера? Создайте для него отдельную тему.

Добро.

ransom.shade Вирус шифровальщик Crypted0000007

Рекомендуемые сообщения

Smoleti

regist

Smoleti

regist

Smoleti

regist

Smoleti

regist

Smoleti

regist

Smoleti

regist

Smoleti

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum