файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Дмитрий,
tbod используем
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
по правилам форума мы не даем рекомендаций по очистке системы от вирусов и шифраторов, тем кто пользуется ломанным антивирусом.
обратитесь за помощью на другой форум.

+
этот файл вышлите в архиве с паролем infected в почту safety@chklst.ru
Код
C:\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF
Изменено: santy - 30.06.2017 11:39:48
Добрый день. Бухгалтера запустили что-то с флеш накопителя, пока Nod32 думал, вирусу удалось зашифровать Excel файлы почти все на машине.
После этого вирус был удален Nod32. Как теперь расшифровать зашифрованные файлы обратно?
Спасибо.
Цитата
Алексей Филипчик написал:
Добрый день. Бухгалтера запустили что-то с флеш накопителя, пока Nod32 думал, вирусу удалось зашифровать Excel файлы почти все на машине.
После этого вирус был удален Nod32. Как теперь расшифровать зашифрованные файлы обратно?
Спасибо.

добавьте образ автозапуска, возможно шифратора еще в системе и в автозапуске.
Добрый день. Зашифровались файлы. Стали с расширением BETTER_CALL_SAUL.
Файл образа автозагрузки
http://rghost.ru/private/7V6wxlYZH/857ef31b999f710a865be1f46be2e248

Антивирус Eset nod32 Smart  
arc,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

zoo %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\SCREENY\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 59 Trojan.BPlug.119 [DrWeb]

delall %SystemDrive%\USERS\НОННА\APPDATA\ROAMING\FLVPLAYER\FLVPLAYERAPP.EXE
delall %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\TEMP\ICREINSTALL_ADOBE_FLASH_PLAYER.EXE
delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\SCREENY\SCREENY.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\MEDIAGET2

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE4327\CH

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAWATCHV1\MEDIAWATCHV1HOME127\CH

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9221\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9416\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9221

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9416

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAWATCHV1\MEDIAWATCHV1HOME127

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE4327

deldirex %SystemDrive%\PROGRAM FILES (X86)\RICHMEDIAVIEWV1\RICHMEDIAVIEWV1RELEASE663

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\SWVUPDATER

deldirex %SystemDrive%\USERS\НОННА\APPDATA\ROAMING\FLVPLAYER

; OffersWizard Network System Driver
exec  C:\Program Files (x86)\Common Files\Config\uninstinethnfd.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Цитата
santy написал:
Код
 C:\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF 

Подскажите, какие еще расширения нужно добавить, в запрет?
*.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.js *.jse *.vbs *.vbe *.wsf *.wsh *.reg *.cpl *.bin *.hta
хватит пока этих,
better_call_saul еще через эксплойт в офисных документах может запуститься
но там, скорее всего тот же принцип: загружается из сети тело шифратора, и запускается на исполнение.
Изменено: santy - 30.06.2017 11:39:48
Добрый день.
Проблема та же. Файлы 1Сных баз стали зашифрованы.  
Имена файлов искажены и расширение стало better_call_saul.

Автозагрузка: http://rghost.ru/8FCzYdhNQ
Прикладываю Зашифрованные и нет файлы. В архиве 6 файлов. 3-зашифрованы, 3-нет. Из одинаковых по содержанию каталогов. Соответствуют друг-другу по размеру.

Посоветуйте, можно ли остальное как-то расшифровать?
Сергей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\PC OPTIMIZER PRO

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\PC OPTIMIZER PRO

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Добрый день!

Сегодня по почте подцепили вирус.  
Многие файлы сменили расширение на better_call_saul и los_pollos.
Подскажите пожалуйста как  можно расшифровать их?

Спасибо!

Автозагрузка во вложении
Изменено: Bouman Che - 30.06.2017 11:39:48
Читают тему (гостей: 2)