файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 41 42 43 44 45 ... 60 След.

Сообщений: 1

Регистрация: 25.03.2013

Размещено 12.10.2016 17:50:50

Добрый день, коллеги ! Можете помочь нашему клиенту в расшифровки и деактивации шифратора? Файл автозапуска прилагаю.

Прикрепленные файлы

MKC3_2016-10-12_17-43-01.7z (753.81 КБ)

Сообщений: 2

Баллов: 1

Регистрация: 12.10.2016

Размещено 12.10.2016 18:23:39

Цитата
santy написал: что именно непонятно? как выполнить скрипт? здесь все расписано по шагам, как раз для чайников. и кстати, поторопитесь выполнить скрипт, поскольку у вас тело шифратора в автозапуске, т.е. все новые файлы он так же будет шифровать.

Цитата

santy написал:
что именно непонятно? как выполнить скрипт?
здесь все расписано по шагам, как раз для чайников.
и кстати, поторопитесь выполнить скрипт, поскольку у вас тело шифратора в автозапуске, т.е. все новые файлы он так же будет шифровать.

код для всех один??

Сообщений: 2

Баллов: 1

Регистрация: 12.10.2016

Размещено 12.10.2016 18:26:42

помогите подобрать код

Прикрепленные файлы

RAFA-ПК_2016-10-12_17-06-22.rar (602.42 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.10.2016 18:56:39

Эльмира,
код скрипта у всех разный,
по вашей системе.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\RAFA\APPDATA\ROAMINGKES.EXE addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Win32/Filecoder.Cerber.B [ESET-NOD32] zoo %SystemDrive%\USERS\RAFA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMCNDGKHAGPKLJPDFEEOOEJLKCBJAJACF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\RAFA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\RAFA\APPDATA\ROAMINGKES.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Win32/Filecoder.Cerber.B [ESET-NOD32]

zoo %SystemDrive%\USERS\RAFA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMCNDGKHAGPKLJPDFEEOOEJLKCBJAJACF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\RAFA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 13.10.2016

Размещено 13.10.2016 13:59:20

Добрый день сегодня обнаружил на компьютере зашифрованные файлы с расширением "da_vinci_code". можно что-то сделать?
Образ автозапуска системы:
http://rgho.st/private/6Mjm4KLdV/32b84545b48f8d6f37f15d83c4c79faf

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.10.2016 15:02:34

Виктор,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Win32/Filecoder.Cerber.B [ESET-NOD32] ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\ASHEKHOVETSOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Win32/Filecoder.Cerber.B [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ASHEKHOVETSOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов пишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 23.09.2016

Размещено 13.10.2016 16:37:39

Цитата
santy написал: по расшифровке документов пишите в [email protected] при наличие лицензии на антивирус ESET

а что, появился дешифратор?

Сообщений: 1

Регистрация: 13.10.2016

Размещено 13.10.2016 17:35:40

ПОдхватили вирус da vinchi - файлы закодированы

Образ автозапуска http://rgho.st/7j7rH2ZPD

Подскажите что делать и код

Сообщений: 9

Баллов: 4

Регистрация: 13.10.2016

Размещено 13.10.2016 20:58:25

Глупо поймал по почте тоже "da_vinci_code". Просканировал и что-то поудалял SpyHunter 4, но очевидных изменений не вижу.

Буду благодарен за помощь и советы.

Прикрепленные файлы

SERVER_2016-10-13_20-26-37.7z (832.44 КБ)

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 13.10.2016 21:26:59

Цитата

AD Wizard написал:

Цитата
santy написал: по расшифровке документов пишите в [email protected] при наличие лицензии на антивирус ESET

а что, появился дешифратор?

Нет запроса - нет проблемы, нет проблемы - нет и дешифратора.

Михаил

Пред. 1 ... 41 42 43 44 45 ... 60 След.