Показано с 1 по 8 из 8.

Вирус зашифровал файлы! Помогите их расшифровать! [Trojan-Ransom.Win32.Shade.owd] (заявка № 220398)

  1. #1
    Junior Member Репутация
    Регистрация
    28.09.2018
    Сообщений
    3
    Вес репутации
    21

    Вирус зашифровал файлы! Помогите их расшифровать! [Trojan-Ransom.Win32.Shade.owd]

    Здравствуйте! Типичная ситуация.. пришло письмо на почту от приставов. Вот девушка и испугалась прочла. Теперь все данные зашифрованы. Вирус удалась искоренить, но все данные зашифрованы. Есть ли шанс их расшифровать? Помогите!
    Прикладываю лог файл а также в архиве 1.rar оригинал и зашифрованный файл.

    Проанализировал вирус на сайте VirusTotal

    Антивирус Результат Дата обновления
    Arcabit Trojan.Generic.D26A72A3 20180928
    Avira (no cloud) TR/AD.MalwareCrypter.tdlfg 20180928
    BitDefender Trojan.GenericKD.40530595 20180928
    Cyren W32/Trojan.VRTC-0521 20180928
    DrWeb Trojan.Encoder.858 20180928
    Emsisoft Trojan.GenericKD.40530595 (B) 20180928
    ESET-NOD32 a variant of Win32/Kryptik.GLDE 20180928
    F-Secure Trojan.GenericKD.40530595 20180928
    Fortinet W32/Kryptik.GLDE!tr 20180928
    GData Trojan.GenericKD.40530595 20180928
    Ikarus Trojan-Banker.Ramnit 20180928
    Sophos ML heuristic 20180717
    K7AntiVirus Trojan ( 0053d60a1 ) 20180928
    K7GW Trojan ( 0053d60a1 ) 20180928
    Kaspersky Trojan-Ransom.Win32.Shade.owd 20180928
    MAX malware (ai score=8 20180928
    McAfee Artemis!315300364674 20180928
    Microsoft Ransom:Win32/Troldesh.A 20180928
    eScan Trojan.GenericKD.40530595 20180928
    NANO-Antivirus Trojan.Win32.Kryptik.fiivva 20180928
    Rising Ransom.Shade!8.12CC (CLOUD) 20180928
    Sophos AV Mal/Generic-S 20180928
    Symantec Trojan.Gen.NPE 20180928
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) serzh-68, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    С расшифровкой не сможем помочь.

    HiJackThis (из каталога autologger)профиксить
    Важно: необходимо отметить и профиксить только то, что указано ниже.
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
    R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
    R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms}
    R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827} [URL] = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF - Ask.com
    R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} [URL] = http://istart.webssearches.com/web/?type=ds&ts=1399627818&from=amt&uid=TOSHIBAXMK7559GSXP_51U1D1MSBXX51U1D1MSB&q={searchTerms} - webssearches
    O4 - MSConfig\startupreg: Client Server Runtime Subsystem [command] = C:\ProgramData\Windows\csrss.exe  (file missing) (HKCU) (2018/09/21)
    O21 - HKLM\..\ShellIconOverlayIdentifiers:  AccExtIco1 -  - (no file)
    O21 - HKLM\..\ShellIconOverlayIdentifiers:  AccExtIco2 -  - (no file)
    O21 - HKLM\..\ShellIconOverlayIdentifiers:  AccExtIco3 -  - (no file)
    O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
    O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Phenom960\appdata\local\oneclick\oneclickbandhandler.64.exe','');
     QuarantineFile('C:\Users\Phenom960\appdata\local\oneclick\oneclickapp.64.exe','');
     QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
     QuarantineFile('C:\Windows\system32\drivers\ghwrzmtf.sys','');
     QuarantineFile('C:\Windows\system32\drivers\cevxtpdv.sys','');
     QuarantineFile('C:\Windows\system32\drivers\ceuzbdsm.sys','');
     QuarantineFile('C:\Windows\system32\drivers\biwbevwr.sys','');
     QuarantineFile('71313225.sys','');
     QuarantineFile('C:\Windows\System32\ezSharedSvcHost.exe','');
     DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в AVZ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Подготовьте лог AdwCleaner и приложите его в теме.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. #4
    Junior Member Репутация
    Регистрация
    28.09.2018
    Сообщений
    3
    Вес репутации
    21

    Это крест на зашифрованной информации?

    Вирус на ПК удалил. Вложил вирус из источника по ссылке "Прислать запрошенный карантин" , как только создал тему.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Выполняли выше указанные инструкции?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  7. #6
    Junior Member Репутация
    Регистрация
    28.09.2018
    Сообщений
    3
    Вес репутации
    21

    Какой в этом смысл, если данные утеряны?

    Цитата Сообщение от SQ Посмотреть сообщение
    Выполняли выше указанные инструкции?
    Нет. Работал удаленно, а позже не было возможности. Как мне стало известно, с дешифрацией пролет... Восстановление информации через Shadow Explorer успехом не увенчалось. Планируется восстановить систему до заводских настроек, т.к. были затронуты не только личные документы и файлы, но и компоненты некоторых важных программ.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Нашими силами мы не поможем, но есть шанс через антивирусных вендров, если есть лицензия пробуйте написать в тех. поддержку.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \scan731.scr - Trojan-Ransom.Win32.Shade.owd ( AVAST4: Win32:Malware-gen )

  • Уважаемый(ая) serzh-68, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 20.01.2015, 16:37
    2. Вирус зашифровал файлы. помогите расшифровать
      От Наталья 1980 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.01.2015, 02:40
    3. Ответов: 7
      Последнее сообщение: 30.09.2014, 20:55
    4. Ответов: 2
      Последнее сообщение: 30.04.2013, 16:56
    5. Ответов: 10
      Последнее сообщение: 18.07.2012, 12:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01334 seconds with 20 queries