Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
 
Роман Воробьёв
Роман Воробьёв
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.02.2016
Размещено 19.02.2016 08:53:05
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 26 27 28 29 30 ... 60 След.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 06.08.2016 10:14:43
readme*.txt возможно остался в карантинах антивируса.
в данном случае важен код (id), который требуется отослать в почту мошенников.
судя по предыдущим шифраторам xtbl/breaking_bad - он хранится в базе, и по нему выдается приватный ключ для расшифровки данных.
(этот код так же есть в самом имени зашифрованного файла.)
Изменено: santy - 06.08.2016 10:15:54
[ Как создать образ автозапуска? ]
 
Илья Тюков
Илья Тюков
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 11.01.2016
Размещено 11.08.2016 14:22:12
Здравствуйте.
Вчера 2 коллег подхватили это чудо, NOD32 ничего не предпринимал до последнего, но потом, когда стали создаваться readme.txt он их благополучно поудалял. readme.txt также были созданы в файловом хранилище, подключенном к этому ПК, но файлы в хранилище не шифровались (возможно просто не успели). Хотелось бы унать, остались ли следы вируса и потенциальная опасность. Образы автозагрузки с обоих ПК прилагаю.
http://rgho.st/6Syyw4Rtj - ПК1
http://rgho.st/8GzZNDrDW - ПК2
Также хотелось бы узнать, если потенциальная возможность расшифровки или восстановления файлов?
Заранее спасибо за помощь.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 11.08.2016 15:10:28
Илья,
активных тел шифратора уже нет.
по ПК2 выполните очистку

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке если есть важные файлы, и нет копий, сохраните зашифрованные файлы до лучших времен.
на отдельный носитель.
возможно они наступят.
Изменено: santy - 11.08.2016 15:11:49
[ Как создать образ автозапуска? ]
 
Руслан Саликов
Руслан Саликов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.08.2016
Размещено 12.08.2016 08:41:24
Добрый день, дайте совет что делать, недавно позвонили мне сказали что письмо открыли с зип вложением, и после этого компьютер стал притормаживать, ну я понял что это шифровальщик, ну и на рабочем столе естественно файлы стали меняться, после заражения ноут еще примерно два часа работал, ну конечно я сказал вырубить ноутбук, так вот скажите если в безопасном режиме загрузиться можно ли спасти не зараженные файлы? не будет ли вирус работать в таком режиме, и где сам вирус искать? что бы удалить
Изменено: Руслан Саликов - 12.08.2016 11:18:03
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 12.08.2016 10:04:44
Руслан,
какой у вас тип шифрования?
можно загрузиться с Winpe и проверить систему, или создать образ автозапуска
http://forum.esetnod32.ru/forum27/topic2102/
Изменено: santy - 12.08.2016 11:18:03
[ Как создать образ автозапуска? ]
 
Руслан Саликов
Руслан Саликов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.08.2016
Размещено 12.08.2016 11:00:34
DA_VINCL_CODE
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 12.08.2016 11:56:17
Руслан,
если необходима помощь в очистке системы,
добавьте образ автозапуска: из безопасного режима системы или из под winpe
[ Как создать образ автозапуска? ]
 
Руслан Саликов
Руслан Саликов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.08.2016
Размещено 12.08.2016 12:44:06
запустил скрипт что то обрабатывает, я так понял вирус удаляет, не понял только что за образ автозапуска
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 12.08.2016 14:47:10
Руслан,
нужен как раз образ автозапуска.
как создать его смотрим здесь
если делаете из под winpe, тогда по этой инструкции
http://forum.esetnod32.ru/forum9/topic2687/

если - из безопасного режима, тогд по этой
http://forum.esetnod32.ru/forum9/topic2687/

скрипт будет только после анализа образа автозапуска,
чужие скрипты выполнять не рекомендуем
[ Как создать образ автозапуска? ]
 
Даниил Иванов
Даниил Иванов
Пользователь
Сообщений: 1
Регистрация: 12.08.2016
Размещено 12.08.2016 21:51:49
Поймал да винчи код помогите вытереть пожалуйста! а действительно ли не существует дешифратора номального?

ВОВА-ПК_2016-08-12_21-40-49
 
Пред. 1 ... 26 27 28 29 30 ... 60 След.
Читают тему