файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 12 13 14 15 16 ... 60 След.

Сообщений: 4

Баллов: 2

Регистрация: 07.04.2016

Размещено 08.04.2016 07:23:07

Спасибо. Замечательно. Установлен ваш антивирус с лицензией. Как можно таким же образом проверить все компьютеры? Каким образом работает шифратор? По какому алгоритму может известно что то?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.04.2016 08:10:36

работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов на дисках

по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.

тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
https://forum.esetnod32.ru/forum6/

Изменено: santy - 30.06.2017 11:50:15

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 07.04.2016

Размещено 08.04.2016 08:27:19

Цитата
santy написал: работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов на дисках по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя. по наличию в автозапуске такой записи: HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe" но алгоритм может быть такой. запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось. тело шифратора запускаться может либо из внедренного в офисный документ объекта, либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении. ---------- если нужно проверить компы, зайдите в тему обнаружение вредоносного кода https://forum.esetnod32.ru/forum6/

Цитата

santy написал:
работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов на дисках
по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.

тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
https://forum.esetnod32.ru/forum6/

Спасибо. Буду иметь ввиду. А как нибудь можно расшифровать данные с другого компа где не был установлен антивирус?

Техпод не отвечает что то. Компьютер тот изолировал. Жду решения.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.04.2016 09:23:40

насколько я знаю, решения с расшифровкой по better_call_saul нет у вирлабов.
есть решение у прокладочных сервисов, которые выкупают ключи для пострадавших у мошенников, и предлагают его как свое решение по расшифровке, но дорого.

Изменено: santy - 30.06.2017 11:50:15

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 06.04.2016

Размещено 11.04.2016 18:53:53

После выполнения рекомендованных действий файлы так и остались с расширением better_call_saul. Процесс csrss.exe также присутствует в диспетчере задач

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 05:13:22

Цитата
Максим Рябинин написал: После выполнения рекомендованных действий файлы так и остались с расширением better_call_saul. Процесс csrss.exe также присутствует в диспетчере задач

csrss.exe - это системный и легальный процесс, если запущен из system32. обратите внимание на полный путь этого файла.
Расшифровка файлов - это отдельный процесс. Скрипт выполняет только очистку системы от вредоносных файлов.

Изменено: santy - 30.06.2017 11:50:15

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.04.2016

Размещено 12.04.2016 11:40:42

Здравствуйте. Словили вирус шифратор - создает файлы .better_call_soul

Прикрепляю архив автозагрузки

Прикрепленные файлы

GASCONTROL05_2016-04-12_11-19-09.rar (506.37 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.04.2016 11:44:43

Olga Glazunova,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD... delref %SystemDrive%\USERS\GASCONTROL05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\GASCONTROL05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

с расшифровкой не поможем.

Изменено: santy - 30.06.2017 11:50:16

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 13.04.2016 06:54:43

Отмечусь в теме, быть может когда-нибудь появится расшифровка.

Пользователь своими ручками запустил шифрование. Итого - 6024 файла "ожидают звонка Солу". Шифрация длилась 5 минут до перезагрузки и минуту после. Зловред Себя зачистил, но "тушка" благополучно попала в точку восстановления откуда и отправилась на VT, Мой скан.
Интересно то, что в "System Volume Information" шифратор попал в 15:02, а злодеяние начал в 15:13 - время первых шифрованных файлов. Чего-то выжидал?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.04.2016 07:45:55

Николай, по опыту тестирования Ransom.Shade/xtbl/b_b/b_c_s наблюдал, что шифрование действительно не сразу выполняется после запуска тела шифратора.
возможно какое то время идет обмен с сервером, и только после получения ключей запускается шифрование.

Изменено: santy - 30.06.2017 11:50:16

[ Как создать образ автозапуска? ]

Пред. 1 ... 12 13 14 15 16 ... 60 След.