Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Открыли письмо с шифровальщиком. Он успел закодировать часть файлов. Хорошо, что на некоторые файлы были бэкапы. В ходе проверки увидели , что для файлов в pdf формате в которых картинка достаночно вернуть расширение pdf. Для вордовских файлов и pdf c текстом этого не достаточно он их закодировал. Выкладываю архив в котором есть оригинальный и закодированный файл. Может поможет для создания алгоритма дешифровки.

CollectionLog-2019.01.19-17.31.zip

шифр и оригинал1.zip

шифр и оригал2.zip

шифр и оригинал достаточно сменить расширение для раскодировки.zip

файлы readmi созданный в корне диска вирусом.zip

Опубликовано

Расшифровки этой разновидности Shade нет ни в одной антивирусной компании.

 

Будет только зачистка мусора в системе.

 

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Update Service for VK OK AdBlock.job');
 DeleteSchedulerTask('Microsoft\Windows\496C7FAA-E6A3-4A91-A36A-4A035016FCEA');
 DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');
 DeleteSchedulerTask('Microsoft\Windows\A496C7FAA-E6A3-4A91-A36A-4A035016FCEA');
 DeleteSchedulerTask('Microsoft\Windows\D0DA242B-5717-49AE-9D92-E1B3739BBD15');
 DeleteSchedulerTask('Microsoft\Windows\AD0DA242B-5717-49AE-9D92-E1B3739BBD15');
 DeleteSchedulerTask('Microsoft\Windows\WURM\ATWURM');
 DeleteSchedulerTask('Update Service for VK OK AdBlock');
 DeleteSchedulerTask('Update Service for VK OK AdBlock2');
 DeleteSchedulerTask('{1096426B-FFD6-4460-88C6-EC6AF3A225DB}');
 DeleteSchedulerTask('{12B44753-7F4B-427F-9559-CBD1C78E3A05}');
 DeleteSchedulerTask('{303608E1-9516-4A60-9121-F0C6D039F02E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','496C7FAA-E6A3-4A91-A36A-4A035016FCEA','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','496C7FAA-E6A3-4A91-A36A-4A035016FCEA','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser','x32');
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tonytony
      Автор tonytony
      Здравствуйте, появились файлы README от 1 - 10 , в каждом таком файле один и тот же текст :
        Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: A73631ABC6FABAA73B13|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A73631ABC6FABAA73B13|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Что мне с этим делать?  Файлы которые нужно прикрепить вот они, надеюсь я правильно выполнил данную операцию  CollectionLog-2015.09.23-13.02.zip
    • SergeyAO
      Автор SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Йоптель
      Автор Йоптель
      Доброго времени суток. Случилась беда (и возникли некоторые нюансы). На компьютере из за действия какой то вредоносной программы, зашифровались все фотографии с расширением *.xtbl и появился текстовый файл с таким текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 2E939351FF076C2B69B7|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   По не знанию, да и по торопливости, была пере установлена ОС с полным форматированием диска. Но папки с файлами были скопированы на DVD. В последствии они не открылись и на вновь установленной ОС.   Прошу помощи.   P.S. В прикрепленных, текстовый файл с текстом приведенным выше. README5.txt
    • mikaua
      Автор mikaua
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E8C1480D46A8A89F2B83|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      E8C1480D46A8A89F2B83|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      CollectionLog-2015.09.17-20.10.zip
    • Олег-63
      Автор Олег-63
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      CF453C0249C61D14E3CF|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      CollectionLog-2015.09.16-10.24.zip
×
×
  • Создать...