• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Shade: Описание и вариации

Antidot, как нет - пост №9 и пост №13 - дешифровщики во вложении.
Я в посте 12-м первым дешифровщиком расшифровал файлы.
В том то и дело что для расширения .Windows10 пока нет.
Касперский дал официальный ответ. Но они в надежде на мастер-key.
 
В том то и дело что для расширения .Windows10 пока нет.
Касперский дал официальный ответ. Но они в надежде на мастер-key.
Модификация Shade, которая ставит расширение .Windows10 свежая. Восстанавливайте данные из резервных копий.
 
Модификация Shade, которая ставит расширение .Windows10 свежая. Восстанавливайте данные из резервных копий.
Их попросту нет. Это комп домохозяйки при чем с Windows XP :). Жалеют только о всех фотографиях которые хранились всё это время :)
 
Их попросту нет. Это комп домохозяйки при чем с Windows XP :). Жалеют только о всех фотографиях которые хранились всё это время :)
Я буду жесток, но скажу так: если резервных копий нет, то данные не представляют для этой домохозяйки никакой ценности. Так и передайте ей.
 
mike 1, когда XP была в зените славы, еще не было никаких шифровальщиков.
Да и откуда домохозяйке знать про резервные копи данных, если у нее вместо этого другие резервные копии - шкафы.
 
mike 1, когда XP была в зените славы, еще не было никаких шифровальщиков.
Да и откуда домохозяйке знать про резервные копи данных, если у нее вместо этого другие резервные копии - шкафы.
Верно подмечено :)
Я буду жесток, но скажу так: если резервных копий нет, то данные не представляют для этой домохозяйки никакой ценности. Так и передайте ей.
хорошо, так ей и передам.
 
Shade больше не шифрует бухгалтерские ПК

Специалисты ЛК обнаружили, что в новой версии шифровальщика Shade появилась логика, позволяющая проверять систему на причастность к бухгалтерии. В случае успеха Shade устанавливает в систему инструменты удалённого управления вместо шифрования файлов.

Во время первичной проверки зараженной машины обновленный вредонос (обнаруживаемый как Trojan-Ransom.Win32.Shade.yb) перебирает список установленных в системе приложений и ищет строки, связанные с банковским ПО. Затем ищет подстроки «BUH», «BUGAL», «БУХ», «БУГАЛ» в имени ПК и пользователя. Если совпадение найдено, Shade.yb пропускает процедуру поиска и шифрования файлов. Вместо этого он скачивает и запускает совсем другой файл, а сам завершает работу.

По заданной в конфигурации ссылке Shade.yb скачивает на компьютер пользователя бот Teamspy, который для коммуникации со своим командным сервером использует легальную утилиту удалённого управления TeamViewer 6, на лету модифицируя ее для незаметной работы. Вместе с ботом распространяются плагины (в нашем случае это installvpn.pg, rdw.pg, scankey.pg), которые хранятся на диске в зашифрованном виде и расшифровываются зловредом только в оперативной памяти. Расшифрованный плагин представляет собой DLL с экспортом InitPg, который и вызывается основным модулем бота.

 
Назад
Сверху Снизу