Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
 
Роман Воробьёв
Роман Воробьёв
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.02.2016
Размещено 19.02.2016 08:53:05
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 43 44 45 46 47 ... 60 След.
 
santy
santy
Администратор
Сообщений: 17965
Баллов: 28743
Регистрация: 16.03.2010
Размещено 17.10.2016 12:41:27
Константин Соболев,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Ransom:Win32/Troldesh.A [Microsoft]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\SECRETAR\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17965
Баллов: 28743
Регистрация: 16.03.2010
Размещено 17.10.2016 12:44:10
@Semen Sherstnev,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\MARTACHAKOVA.MARINA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
Константин Соболев
Константин Соболев
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.09.2015
Размещено 17.10.2016 13:36:59
Выполнил, перезагрузил компьютер. Снял,на всякий случай, образ диска. Запрос на расшифровку отправлю, т.к. у пострадавшей организации есть действующая лицензия. Кстати, те файлы ключей, которые были приложены к предыдущему сообщению никак не могут помочь с расшифровкой?
 
santy
santy
Администратор
Сообщений: 17965
Баллов: 28743
Регистрация: 16.03.2010
Размещено 17.10.2016 15:40:05
Константин,
техподдержка обычно запрашивает по расшифровщикам
несколько зашифрованных файлов в архиве,
желательно копии чистых файлов, если есть возможность из найти.
тело шифратора, (оно  есть в файле ZOO в папке, откуда вы запускали uVS)
а так же лог ESET collector log, полученный из системы, где было шифрование.
[ Как создать образ автозапуска? ]
 
Игорь Рогов
Игорь Рогов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 18.10.2016
Размещено 18.10.2016 12:23:32
Здравствуйте!
Та же проблема - код да Винчи. Вложил файл автозапуска.

Запросил техподдержку - я и сам имею лицензию, и всем рекомендую именно НОД32. Посмотрим, что получится. Списался с бандитом, он в ответ прислал число 30. Что такое - неизвестно. Я попросил уточнить.
И обидно, что НОД32 угрозу заметил и начал писать предупреждения и что-то делать, но поздно. :-(
Изменено: Игорь Рогов - 18.10.2016 12:26:07
 
santy
santy
Администратор
Сообщений: 17965
Баллов: 28743
Регистрация: 16.03.2010
Размещено 18.10.2016 12:29:06
Игорь Рогов,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft]

zoo %SystemDrive%\USERS\СВЕТЛАНА ГЕН\APPDATA\ROAMINGIOH28.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
Виталий Лукашевич
Виталий Лукашевич
Пользователь
Сообщений: 1
Регистрация: 18.10.2016
Размещено 18.10.2016 12:32:25
.da_vinci_code
есть шансы?
 
santy
santy
Администратор
Сообщений: 17965
Баллов: 28743
Регистрация: 16.03.2010
Размещено 18.10.2016 13:08:39
Виталий,
судя по образу система уже очищена от тел шифратора.
по расшифровке шансы есть. но не сегодня и завтра.
в будущем.

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
Игорь Рогов
Игорь Рогов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 18.10.2016
Размещено 18.10.2016 15:31:37
Модератор,

А про меня ничего не сказали.
1. Вирус еще работает?
2. После выполнения скрипта расшифровка файлов, если договоримся со злоумышленником (рассматриваем и такой вариант) будет возможна?
 
Ilya Khokhlov
Ilya Khokhlov
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 13.10.2016
Размещено 18.10.2016 15:37:43
Цитата
santy написал:
Цитата
 Ilya Khokhlov  написал:
Лицензии на ESET, к сожалению нет, я уже пенсионер и сами понимаете, финансовые возможности мои ограничены..
Илья,
надо просто сопоставить риски и затраты:
потратить 1-1,5 тыс в год на лицензию и получить безопасность вашей системы и данных.
потратить 0рублей на безопасность и получить счет на 22 000рублей за восстановление ваших данных.
Дак оно понятно, но у меня "Касперский интернет секьюрити" лицензия уже куплена, "СпайХантер4" лицензионный... ну не десять же антивирусов ставить..

Кстати, кому интересно такой вот ответ техподдержки Касперского:

Здравствуйте!
Исходя из полученной информации мы можем предложить Вам следующее решение:
Мы уточнили информацию по Вашему запросу. К сожалению, восстановление данных, зашифрованных Trojan-Ransom.Win32.Shade, не представляется возможным, вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников.
Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем Вам не удалять зашифрованные файлы и через некоторое время снова создать запрос в нашу службу, мы повторно попытаемся дешифровать данные.
Во избежание возможной потери данных в будущем, если Вы используете продукты Лаборатории Касперского, крайне важно держать компонент Мониторинг Активности включенным, с ним риск потери файлов сводится к минимуму. Подробнее о механизме работы компонента можно почитать в нашей базе знаний..

К сожалению, это пока всё,  что  мы можем сделать. Благодарим за понимание.
 
Пред. 1 ... 43 44 45 46 47 ... 60 След.
Читают тему