ransom.shade Начальник поймал шифровальщик pilotpilot088@gmail.com

22 февраля, 2019

Зашифровано много файлов, если есть возможность расшифровки, прошу сообщить!

Во вложении - пример readme-файла и отчёт autologger-a.

CollectionLog-2019.02.22-17.51.zip

22 февраля, 2019

Увы, расшифровки не будет. Только зачистка следов мусора.

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~3\SysWOW64\nrOZ5Pq4.cmd','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\PROGRA~3\SysWOW64\nrOZ5Pq4.cmd','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

22 февраля, 2019

Спасибо за ответ!

Скрипты выполнил.

Прикладываю логи.

Выложил на virusinfo.info файл quarantine, но не могу понять, где посмотреть результат.

Во вложении отчёт Autologger после выполнения скриптов AVZ и перезагрузок.

CollectionLog-2019.02.22-19.01.zip

22 февраля, 2019

Trojan-Ransom.Win32.Shade.prf

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

25 февраля, 2019

Сделал.

Прошу прощения, забыл файл приложить.

Archive.zip

25 февраля, 2019

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-02-22 14:15 - 2019-02-22 20:19 - 000000000 __SHD C:\Users\Все пользователи\services
2019-02-22 14:15 - 2019-02-22 20:19 - 000000000 __SHD C:\ProgramData\services
2019-02-22 14:15 - 2019-02-22 18:38 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2019-02-22 14:15 - 2019-02-22 18:38 - 000000000 __SHD C:\ProgramData\SysWOW64
2019-02-22 14:15 - 2019-02-22 14:15 - 006220854 _____ C:\Users\Пользователь\AppData\Roaming\07893D9507893D95.bmp
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README9.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README8.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README7.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README6.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README5.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README4.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README3.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README2.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README10.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Пользователь\Desktop\README1.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
2019-02-22 14:15 - 2019-02-22 14:15 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README9.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README8.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README7.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README6.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README5.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README4.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README3.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README2.txt
2019-02-22 11:45 - 2019-02-22 11:45 - 000004150 _____ C:\README10.txt
2019-02-22 11:44 - 2019-02-22 18:38 - 000000000 __SHD C:\Users\Все пользователи\Windows
2019-02-22 11:44 - 2019-02-22 18:38 - 000000000 __SHD C:\ProgramData\Windows
2019-02-22 14:15 - 2019-02-22 14:15 - 006220854 _____ () C:\Users\Пользователь\AppData\Roaming\07893D9507893D95.bmp
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

26 февраля, 2019

Сделал. Лог во вложении.

Fixlog.txt

26 февраля, 2019

Мусор почистили. Больше помочь нечем

28 февраля, 2019

Данные, в основном, были на флешках. Бэкап — наше всё!

Большое спасибо за вашу помощь!

ransom.shade Начальник поймал шифровальщик pilotpilot088@gmail.com

Рекомендуемые сообщения

a_goodwin

thyrex

a_goodwin

thyrex

a_goodwin

thyrex

a_goodwin

thyrex

a_goodwin

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum