ransom.shade Шифровальщик. Файлы *.crypted000007

[Lethal Ghost]

Добрый день, ноутбук был сдан без боя шифровальщику.
Подхвачен классическим путем - через почтовое вложение.

Файлы *.crypted000007

Прошу помощи с восстановлением.
Файлы логов и записка от зловреда приложены.

README4.txt

CollectionLog-2018.12.12-02.30.zip

[regist]

Здравствуйте!
 

Прошу помощи с восстановлением.

с рассшифровкой помочь не сможем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('bd0004', 4);
 StopService('bd0004');
 QuarantineFile('C:\Users\134E~1\AppData\Local\Temp\Rar$DIa0.793\Scans073.scr', '');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys', '');
 DeleteFile('C:\Users\134E~1\AppData\Local\Temp\Rar$DIa0.793\Scans073.scr', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys', '64');
 DeleteService('bd0004');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Classic Start Menu', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LManager', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis:

R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://api.youqian.baidu.com/v1/nav?soft=12&uid=50100127&guid=9e75c9ab213864ef7b13b437a9911e7f&vd=4093785194
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2448}: [SuggestionsURL_JSON] = http://www.search.ask.com/suggest.php?src=ieb&gct=ds&appid=280&systemid=448&v=n13898-484&apn_uid=9388323113784380&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&qu={searchTerms}&ft=json - Ask.com
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2448}: [URL] = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=280&systemid=448&v=n13898-484&apn_uid=9388323113784380&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&q={searchTerms} - Ask.com
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2448}: [SuggestionsURL_JSON] = http://www.search.ask.com/suggest.php?src=ieb&gct=ds&appid=280&systemid=448&v=n13898-484&apn_uid=9388323113784380&apn_dtid=TCH001&o=APN10648&apn_ptnrs=AGI&qu={searchTerms}&ft=json - Ask.com
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {05bf0e05-a298-4d0a-b6eb-f55b30a2e662} - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 12 декабря, 2018 пользователем regist

[Lethal Ghost]

Отчеты CollectionLog и AdwCleaner прикреплены.

Ответ от newvirus@kaspersky.com

KLAN - 9256368546

The files have been scanned in automatic mode.

Malicious code has been detected in the following files:
Scans073.scr - Trojan-Ransom.Win32.Shade.pfg

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

CollectionLog-2018.12.12-19.05.zip

AdwCleanerS00.txt

Изменено 12 декабря, 2018 пользователем Lethal Ghost

[regist]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

• Запустите AVZ.
• Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
• В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
• Закачайте полученный архив, как описано на этой странице.
• Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

McAfee Security Scan Plus [2018/10/02 10:23:17]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Кнопка "Яндекс" на панели задач [2017/09/29 17:14:14]-->C:\Users\Ольга\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2017/09/29 17:16:28]-->"C:\Users\Ольга\AppData\Local\Package Cache\{d4bb3741-07a4-443a-8c73-0cfda821c697}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20170929]-->MsiExec.exe /X{FABA89D9-D588-4770-9F85-F6FF9F064257}
Служба автоматического обновления программ [2017/01/20 12:51:08]-->C:\Users\Ольга\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

деинсталируйте.

ImageCropResize [2016/04/24 16:00:26]-->C:\Users\Ольга\AppData\Roaming\ImageCropResize\uninstaller.exe

знакома? Сами ставили?

 

Программы/расширения от Mail.ru используете?
 

[Lethal Ghost]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ

Готово.

 

 

знакома? Сами ставили?

Программы/расширения от Mail.ru используете?

Нет и нет. Компьютер использовался не мной, но эти программы определенно установлены без осознанного согласия пользователя.

[regist]

1) ImageCropResize -  тогда деинсталируйте.

2)

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Lethal Ghost]

Все готово.

AdwCleanerC02.txt

[regist]

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Вдрун в будущем появится рассшифровка.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Lethal Ghost]

Все готово.
Рекомендации выполнил.

Спасибо за помощь.