ransom.shade Вирус зашифровал все файлы пользователя на компьютере

[Lelikrus]

Здравствуйте!

 

У сотрудника на предприятии зашифровались все файлы. Точные обстоятельства произошедшего не известны, но думаю что вирус проник через какое то вложение в электронной почте.

Так же на локальных дисках появились файлы типа REDME1.txt, REDME2.txt ... и тд следующего содержания:

Baшu файлы былu зaшuфровaны.

Чтoбы рaсшифровать uх, Baм необxoдимо omnpавиmь koд:

D5A0B5E4C3DCE4579A17|0

нa элеkmpонный адрeс pilotpilot088@gmail.com .

Далeе вы noлyчиmе всe необxoдuмые uнcтpyкцuи.

Попыткu pacшифpoваmь caмoстоятeльнo нe nриведуm нu k чемy, кpоме бeзвoзвpатной пomeрu uнфoрмацuu.

Еслu вы вcё же хomume пonытaться, mо пpедварuтeльно сдeлайmе peзepвные kоnuи файлoв, uнaчe в cлyчаe

uх uзменeнuя рaсшuфрoвкa станem нeвозмoжной ни пpи каkиx уcлoвиях.

Eсли вы не пoлучuлu oтветa nо вышеyказанномy aдрeсy в тeчeнuе 48 чаcoв (u тольko в этом слyчae!),

воcпользуйтeсь фopмой oбpaтнoй связи. Эmo мoжнo сделаmь двyмя cnоcобaми:

1) Скaчaйmе u уcmанoвuте Tor Browser пo сcылke: https://www.torproject.org/download/download-easy.html.en

B адреcной стpoке Tor Browser-a введитe aдрeс:

http://cryptsen7fo43rr6.onion/

и нажмиmе Enter. Зaгpузитcя сmранuцa с фоpмой обpатнoй связu.

2) B любoм брayзepе nерeйдите пo oднoмy из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

D5A0B5E4C3DCE4579A17|0

to e-mail address pilotpilot088@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

If you still want to try to decrypt them by yourself please make a backup at first because

the decryption will become impossible in case of any changes inside the files.

If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),

use the feedback form. You can do it by two ways:

1) Download Tor Browser from here:

https://www.torproject.org/download/download-easy.html.en

Install it and type the following address into the address bar:

http://cryptsen7fo43rr6.onion/

Press Enter and then the page with feedback form will be loaded.

2) Go to the one of the following addresses in any browser:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Прошу помощи в расшифровке файлов.

 

Что было сделано:

1. Произвел проверку утилитой Dr.Web Curet.

2. Собрал логи с помощью автоматического сборщика логов, файл с логами во вложении.

CollectionLog-2019.03.01-19.15.zip

[thyrex]

Расшифровки нет. Будет только зачистка следов мусора в системе.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~2\SysWOW64\0SdzD0.cmd','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support','x32');
 DeleteFile('C:\PROGRA~2\SysWOW64\0SdzD0.cmd','32');
 DeleteFile('C:\ProgramData\Resources\svchost.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hh.exe','x32');
 DeleteFile('D:\autorun.inf','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Lelikrus]

Результат загрузки на virusinfo

 

Результат загрузки Файл сохранён как 190305_001542_quarantine_5c7dbfaed2018.zip Размер файла 1424 MD5 58217c0ac6660def0f2619a3779cce2c Файл закачан, спасибо!

 

файл с логами во вложении

CollectionLog-2019.03.05-10.32.zip