файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 14 15 16 17 18 ... 60 След.
новый образ не нужен,
добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
Здравствуйте, уважаемая команда форума. Помогите расшифровать файлы, если это возможно. Собираюсь завтра уезжать, а тут такое дело. Имена файлов тоже искажены видом better_call_saul. Образ прилагаю http://rghost.ru/8dhmtsVcH
Александр,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

addsgn 1A78EC9A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC375B79F467C5FA4F4EF00F170DAB0A7EB29F9EC908DDC58 8 Adware.Mutabaha.1167 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\HOHOBND\GHABUK.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.HOHOSEARCH.COM/?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=...
delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG...

delref %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS

delref %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
del %SystemDrive%\LAUNCHER.BAT

delref HTTP:\\WWW.HOHOSEARCH.COM\?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=OPT&MOD...
del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\SEARCH-HOP.RU
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT

del %SystemDrive%\FIREFOX.BAT

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
добавляю файл файл дата_времяlog.txt после выполнения вашего скрипта
Евгений,
судя по логу выполнения скрипта, тело шифратора было удалено.
Цитата
--------------------------------------------------------
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
C:\PROGRAMDATA\WINDOWS\CSRSS.EXE [Не удается найти указанный файл. ]
\\?\D:\USERS\JK\DESKTOP\UVS_V387\ZOO\CSRSS.EXE.---
Не удалось скопировать файл [Не удается найти указанный файл. ]
--------------------------------------------------------
better_call_saul, и та же песня, только наши бухи по прежнему наступают на одни и те же грабли несмотря на длительную "вправку" мозгов после заражения шифровальщиком "vault"несколько месяцев тому назад. Благо в тот раз обратились в тех. под-ку NOD 32 и после недельного сбора инфы все-таки запилили программку которая расшифровала все. Только в этот раз уже на другом компе подхватили заразу, писали в поддержку Каспера т.к на том компе стоит их ПО, но к сожалению они как и в прошлый раз разводят руками и говорят что не могут расшифровать, надеюсь Вы не подведете, облазил все форумы похоже что вирус "свежий", форумы забиты темами.
Дмитрий Колесников,
купите хотя бы одну лицензию Криптопревент, установите ее на одну машину. создайте (автоматически) в ней локальные политики  по ограничению запуска нежелательных исполняемых программ. Экспортируйте ключ safer в регфайл, и затем просто добавьте этот ключ в реестр на все проблемные машины.
больше будет пользы, чем регулярные настройки сознания, которые быстро сбиваются.
хотя одно другому не будет мешать, но безопасности станет больше.
Изменено: santy - 30.06.2017 11:52:14
Вирус проник через почту майл! Был подписан как от клиента, все файлы на компьютере зашифрованы...На вас одна надежда!!! 10 лет жизни зашифровано(
расширение какое стало у зашифрованных файлов?
систему я так понял вы переустановили после шифрования.
Цитата
Настенька Зайкина написал:
файлы были картинками и доки. А какие сейчас расширения у них, я не понимаю(
документы зашифрованные сохранились после переустановки системы?
если да, то добавьте в архиве несколько зашифрованных файлов на форум.
Пред. 1 ... 14 15 16 17 18 ... 60 След.
Читают тему (гостей: 2)