ransom.shade Прошу помочь расшифровки файлов

[yta1952]

По почте получил письмо как-бы от судебных приставов. Проявил неосторожность распаковал. Получил вирус и зашифрованные файлы. Убедительная просьба помочь ветеранам 46 ВА ВГК в восстановлении информации.

[SQ]

Здравствуйте,

«Порядок оформления запроса о помощи».

[yta1952]

Прошу уточнить мои действия. Вроде что положено для оформления запроса о помощи все сделал. Файлы приложил.

[Mark D. Pearlstone]

 

 

Файлы приложил.

Файлов нет, как вы и сами должны видеть.

[yta1952]

Вижу что нет. Подскажите как прикрепить файлы. отправляю ссылку на диск  https://yadi.sk/d/U-JXE86NQepG8w

 

Вроде получилось.

CollectionLog-2019.06.03-01.41.zip

CollectionLog-2019.06.03-01.55.zip

CollectionLog-2019.06.03-02.16.zip

README10.txt

Изменено 4 июня, 2019 пользователем yta1952

[SQ]

Здравствуйте,

Обращаю ваше внимание, что мы не можем гарантировать удачный исход расшифровки данных.

Удалите остатки от антивируса Avast.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог AdwCleaner и приложите его в теме.

[yta1952]

Коллеги очень старался. Вроде все сделал.

AdwCleanerC00.txt

AdwCleanerS00.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[yta1952]

Выполнено.

FRST.txt

Addition.txt

[SQ]

Важно: Удалите остатки от антивируса Avast  с помощью Avast Remover.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files (x86)\Common Files\ACD Systems\EN\DevDetect.exe
  CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Windows\SysWOW64\drivers\pfc.sys
  File: C:\Program Files\Unlocker\UnlockerDriver5.sys
  U3 aswbdisk; no ImagePath
  U3 aswblog; no ImagePath
  Folder: C:\ProgramData\Windows
  2019-05-23 21:15 - 2019-05-24 14:39 - 000000000 __SHD C:\Users\Все пользователи\Windows
  2019-05-23 21:15 - 2019-05-24 14:39 - 000000000 __SHD C:\ProgramData\Windows
  2018-12-02 10:47 - 2018-12-02 10:47 - 000000784 _____ () C:\Users\65058_000\AppData\Local\uBar.lnk
  File: C:\Windows\System32\wufuc\wufuc64.dll
  FirewallRules: [{4AA00AC2-DC23-4127-8507-C25CACE913A0}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File
  FirewallRules: [{4E785568-621C-4B1A-BA0D-85005AD398EF}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

Уточните пожалуйста сами создавали пользователя 65058_000 ?

[yta1952]

Коллеги все зашифрованные файлы с ПК удалены, все файлы созданные в момент заражения удалены по возможности. ПК проверен антивирусами неоднократно и все угрозы удалены. Больной спрашивает будем сдавать анализы или будем личиться. 

Выполнено.

Fixlog.txt

[SQ]

Необходимо было убедиться, что ничего плохого не осталось.

Приложите в архиве zip 2-3 зашифрованных файлов не содержащие конфиденциальную информацию, необходимо для анализа возможности расшифровки силами добровольцев форума.

Также можете подать запрос на расшифровку в тех. поддержку Лаборатории Касперского согласно следующей инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

[yta1952]

Коллеги просто небезопасно когда копаются в твоем ПК.

Коммерческой лицензии у меня нет. Поэтому я понимаю надо платить. Пишите.

60619.zip

[SQ]

Коллеги просто небезопасно когда копаются в твоем ПК.

Ну мы ориентируемся на логи, по другому как вы предлагаете, чтобы мы помогли с удалением остатков шифровальщика?

 

Касаемо расшифровки отправил запрос, пожалуйста ожидайте. Как только появится ответ, я напишу.

[yta1952]

Я думаю никого не обидел. За машиной сижу давно начинал с 086 но работаю конечно не профессионально. Жду хороших новостей.

Самое главное. Спасибо за общение.