Перейти к содержанию

Необходима консультация по ShadeDecryptor


Михаил Кудаков

Рекомендуемые сообщения

Михаил Кудаков

Добрый день, уважаемое сообщество! 

  Прошу Вашей помощи в решении следующей проблемы. Несколько лет назад на ПК были зашифрованы важные файлы, к сожалению я не сохранил файл README для использования расшифровщика файлов, сами файлы остались, существует-ли какая-либо возможность расшифровать данные файлы без фала README?


С правилами создания запроса ознакомлен, прикладываю логи


Логи

CollectionLog-2020.02.07-13.31.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Несколько лет назад на ПК были зашифрованы важные файлы

Логи собраны на том же ПК?

 

Несколько (2-3) зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(20);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

 

"Пофиксите" в HijackThis:

O4-32 - HKLM\..\RunOnce: [{11CCFCD4-96F1-42A7-99E8-6C37C0C8E207}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\8FEE~1\AppData\Local\Temp" /B {11CCFCD4-96F1-42A7-99E8-6C37C0C8E207}.cmd

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты
Михаил Кудаков

Логи собраны на том же ПК?

 

Нет, к сожалению от того ПК остался только HDD с зашифрованными файлами

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

Выполнено

 

"Пофиксите" в HijackThis:

 

Пофикшено

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Прикрепил

 

Несколько (2-3) зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.

 

Прикрепил 

 

 

CollectionLog-2020.02.07-21.52.zip

файлы.rar

Изменено пользователем Михаил Кудаков
Ссылка на сообщение
Поделиться на другие сайты

Нет, к сожалению от того ПК остался только HDD с зашифрованными файлами

В этом случае логи бесполезны. Но кое-какие неполадки системы исправлены.

 

Предположу, что расшифровки нет. Поддавались некоторые ранние версии.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

 

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на сообщение
Поделиться на другие сайты
Михаил Кудаков

 

 


Проведите эту процедуру.

Процедура была проведена, но отчёт загрузить не могу, слишком большой файл, 413 Request Entity Too Large

Увы, коммерческой лицензии на продукты у меня нет, спасибо за помощь, очень жаль, что расшифровка невозможна

Ссылка на сообщение
Поделиться на другие сайты

 

Проведите эту процедуру.

Процедура была проведена, но отчёт загрузить не могу, слишком большой файл, 413 Request Entity Too Large

Увы, коммерческой лицензии на продукты у меня нет, спасибо за помощь, очень жаль, что расшифровка невозможна

 

Она невозможна только без файла readme.txt. В публичной утилите ShadeDecryptor собраны далеко не все возможные ключи.

Ссылка на сообщение
Поделиться на другие сайты

отчёт загрузить не могу, слишком большой файл

Загрузите на файлообменник, ссылку на скачивание отправьте мне в ЛС.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • IKramzy
      От IKramzy
      pgactxr6ovj8hbm-Mail(itservicerec@zohomail.eu)-ID(51372617594804) вот так у меня все фаилы 
       
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не оказывает помощь по продуктам и не помогает вылечиться от вирусов.
    • Kiri
      От Kiri
      Здравствуйте! Проблема с вирусом, который никак не получается удалить. Касперский его видит, удаляет, но после перезагрузки вирус снова жив и сидит в той же папке C:\ProgramData\BeatArchitect-2ebdf839-5209-4c62-ae71-0f1127a70722
      Если открываешь диспетчер задач, то майнинг успокаивается и кушает скромные ресурсы, но из списка активных не исчезает, на Process Hacker такая же реакция, а вот System Explorera вирус не стесняется.  В диспетчере отображается как help.exe
      папка C:\ProgramData\BeatArchitect-2ebdf839-5209-4c62-ae71-0f1127a70722 невидима даже если включено "отображать скрытые", но Total Commander ее видит и без проблем удаляет, после перезагрузки все на тех же местах.
      На скриншотах видно как он выглядит в папке и как на него ругается Касперский .
       
      Прошу прощения, что коряво объяснил - у меня врожденный компьютерный кретинизм) 



      CollectionLog-2024.02.18-21.10.zip Addition.txt FRST.txt
    • Zyuka
      От Zyuka
      Всем здравствуйте! 
      Столкнулся с проблемой, что после глупой попытки скачать игру с браузера, ноутбук начал непонятно себя вести, что даже меня (а я неуверенный пользователь) насторожило. Первым делом меня насторожил звук вентилятора, который начал работать при любом действии внутри системы, будь то какая-либо программа, браузер или даже абсолютное бездействие. В попытке открыть диспетчер задач для ответа на вопрос, что же так нагружает систему, вентилятор резко выключался и температура падала. Это и был звоночек, дальше всё как у всех, сайты не открывает, антивирусы не скачивает, папки хост нет, прав ни на какое действие тоже. В попытке найти решение проблемы сталкиваюсь с тем, что все пути этим вирусом как будто перекрыты (либо я прям настолько неуверенный пользователь), поскольку даже в безопасный режим виндвос зайти у меня не получается. Также были попытки через загрузочную флешку загрузить Dr.Web LiveDisk и такой же аналог от Касперского, в обоих случаях результат - чёрный экран. Подскажите, пожалуйста, что делать? 
      Ноутбук - Asus TUF Dash F15 на системе Windows 11
    • Vovabubl
      От Vovabubl
      Брат поймал на компьютер вирус-майнер John. Пытаюсь дистанционно помочь ему через прогу AnyDesk.
      Началось все с попыток установить ему Яндекс браузер. Брат его удалил чтобы переустановить, однако установка всегда прерывалась ошибкой, доходя до ~40%. Все файлы предыдещего Яндекс браузера почистили, но не помогло. Скачивали установщик из разных источников - безрезультатно. Затем обнаружилась скрытая папка пользователя John (см. скриншот ниже). Содержимого нет или не отображается. При запуске диспетчера задач наблюдаем резкий скачок нагрузки до 100%, затем спад до нормальных значений (не уверен, связано ли это с вирусом). Вирус блокирует доступ к сайтам антивирусных программ, пересылал через файлообменник установщик Malwarebytes - после установки его сразу же "снесло". Сейчас выполняем повторное сканирование через утилиту AVZ - первое результатов не принесло.

       
      После первого скана попробовал применить скрипт, подсмотренный на этом форуме:
      begin DeleteService('MBAMChameleon'); DeleteService('MBAMService'); DeleteService('MBAMIService'); DeleteFile('C:\ProgramData\MB3Install\MBAMIService.exe','64'); DeleteFile('C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe','64'); DeleteFile('C:\Windows\System32\Drivers\MbamChameleon.sys','64'); ExecuteSysClean; RebootWindows(false); end. После выполнения скрипта при входе в диспетчер задач - скачок нагрузки до 30%, затем понижается. Однако, все еще нет доступа к сайтам антивирусов и сами антивирусы не устанавливаются. Прошу знатоков помочь в этом деле. Логи прикреплю чуть позже, по завершению сканирования.

      UPD: AVbr не запускается даже после переименования файла.

      UPD 2: Второе сканирование AVZ опять безрезультатно (скриншот ниже). 0 вредоносных программ и подозрений. Логи также прикреплю ниже.

       
      Логи второго сканирования:
      avz_log.txt
    • Эльвира Евротревел
      От Эльвира Евротревел
      TeamViewer -  подскажите как узнать в офисе за компом менеджер скачал Таймвью - какие файлы были переданы ,скачены на другой компьютер-? Можно ли узнать дату или хотя бы список файлов есть ли такая команда - что нужно написать в компе чтобы увидеть что было унесено  в другое место ...заранее благодарю за помощь ...
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технический раздел"
×
×
  • Создать...