Шифровальщик pilotpilot088@gmail.com

[alexiy4ever]

Сработал с утра 19го января, антивирус не стоял, как заметили - выключили машину, подрубили винт к другому компу с антивирусом и провели проверку, было обнаружено 2 файла, первый лежал в темпе, второй стоял в автозагрузке csrss.exe, только путь к файлу C/Program Data/Windows/system32

Прикладываю логи и 3 зашифрованных файла с ридми

 

CollectionLog-2019.01.22-11.02.zip

crypted.rar

[Sandor]

Здравствуйте!

 

Вымогатель Shade, расшифровки нет. Но следы еще видны в системе.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[alexiy4ever]

Это печально ( Но не смертельно...

Этот файл уже удален, я ж говорил что подкинул винт к другому компу, а там ДокторВеб нашел 2 файла с названием вируса примерно Trojan.Encoder.848 или 858, точно не помню. C:\ProgramData\Windows\csrss.exe был одним из них, так что с отправкой нового вируса уже не помогу.  

[Sandor]

Скрипт всё же выполните. Если карантин будет пустой, ничего не отправляйте.

[alexiy4ever]

AVZ ругается, говорит ошибка в RegKeyParamDel

[Sandor]

Как сказано в инструкции, следует использовать версию из папки Автологера.

[alexiy4ever]

Да, упустил этот момент.

 

Но архив пустой.

 

Всем спасибо, пойдем почтим память своих файлов парой чарок крепкого...чая...