ransom.shade Шифровальщик делает файлы с расширением .crypted000007

[ol-ravin]

Открыли письмо с шифровальщиком. Он успел закодировать часть файлов. Хорошо, что на некоторые файлы были бэкапы. В ходе проверки увидели , что для файлов в pdf формате в которых картинка достаночно вернуть расширение pdf. Для вордовских файлов и pdf c текстом этого не достаточно он их закодировал. Выкладываю архив в котором есть оригинальный и закодированный файл. Может поможет для создания алгоритма дешифровки.

CollectionLog-2019.01.19-17.31.zip

шифр и оригинал1.zip

шифр и оригал2.zip

шифр и оригинал достаточно сменить расширение для раскодировки.zip

файлы readmi созданный в корне диска вирусом.zip

[thyrex]

Расшифровки этой разновидности Shade нет ни в одной антивирусной компании.

 

Будет только зачистка мусора в системе.

 

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Update Service for VK OK AdBlock.job');
 DeleteSchedulerTask('Microsoft\Windows\496C7FAA-E6A3-4A91-A36A-4A035016FCEA');
 DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');
 DeleteSchedulerTask('Microsoft\Windows\A496C7FAA-E6A3-4A91-A36A-4A035016FCEA');
 DeleteSchedulerTask('Microsoft\Windows\D0DA242B-5717-49AE-9D92-E1B3739BBD15');
 DeleteSchedulerTask('Microsoft\Windows\AD0DA242B-5717-49AE-9D92-E1B3739BBD15');
 DeleteSchedulerTask('Microsoft\Windows\WURM\ATWURM');
 DeleteSchedulerTask('Update Service for VK OK AdBlock');
 DeleteSchedulerTask('Update Service for VK OK AdBlock2');
 DeleteSchedulerTask('{1096426B-FFD6-4460-88C6-EC6AF3A225DB}');
 DeleteSchedulerTask('{12B44753-7F4B-427F-9559-CBD1C78E3A05}');
 DeleteSchedulerTask('{303608E1-9516-4A60-9121-F0C6D039F02E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','496C7FAA-E6A3-4A91-A36A-4A035016FCEA','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','496C7FAA-E6A3-4A91-A36A-4A035016FCEA','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser','x32');
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[ol-ravin]

Скрипт выполнил. Логи прилагаю.

CollectionLog-2019.01.19-19.41.zip