файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 46 47 48 49 50 ... 60 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.10.2016 15:39:58

@Павел Андреевич,
активности шифратора уже нет в системе,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE hide %Sys32%\COMPAREVERS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\WUGSH8BZCUT.EXE deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\ISTARTSURF delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT\\&X=ID%3DAAMFMNHCIPNBJJNBFMAOOOIOHIKIFEFK%26UC%26LANG%3DEN-US&PROD=CHROME"?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAMFMNHCIPNBJJNBFMAOOOIOHIKIFEFK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGJCCKFPCNFMEGOHGPKHHJMDMGBLHBNB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPALMGGEFDFEIKONGHAEONGKABMGCAGCO%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0 delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\ICLOUDDRIVE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\ICLOUDPHOTOS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\APPLEPHOTOSTREAMS.EXE del %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.BAT delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1441600387&Z=3F9A161FBA9534E486DEEBAG4ZFZ9GBQ2E1C6T8OFC&FROM=CMI&UID=HITACHIXHDS721616PLA380_PVG904Z5T22G5VT22G5VX delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\ОPЕRА.LNK regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
hide %Sys32%\COMPAREVERS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\WUGSH8BZCUT.EXE

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\ISTARTSURF

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT\\&X=ID%3DAAMFMNHCIPNBJJNBFMAOOOIOHIKIFEFK%26UC%26LANG%3DEN-US&PROD=CHROME"?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAMFMNHCIPNBJJNBFMAOOOIOHIKIFEFK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGJCCKFPCNFMEGOHGPKHHJMDMGBLHBNB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPALMGGEFDFEIKONGHAEONGKABMGCAGCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\ICLOUDDRIVE.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\ICLOUDPHOTOS.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\APPLEPHOTOSTREAMS.EXE

del %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.BAT

delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1441600387&Z=3F9A161FBA9534E486DEEBAG4ZFZ9GBQ2E1C6T8OFC&FROM=CMI&UID=HITACHIXHDS721616PLA380_PVG904Z5T22G5VT22G5VX

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\ОPЕRА.LNK

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровке нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 19.02.2015

Размещено 26.10.2016 18:19:45

Здравствуйте, все файлы на компьютере зашифрованы с расширением da_vinci_code. Как восстановить файлы?
образ автозапуска системы по ссылке
http://rgho.st/7p9r2swyX

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.10.2016 18:44:54

Цитата
Михаил Вершинин написал: Здравствуйте, все файлы на компьютере зашифрованы с расширением da_vinci_code. Как восстановить файлы? образ автозапуска системы по ссылке http://rgho.st/7p9r2swyX

Михаил,
активности шифратора судя по образу уже нет.

по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC delref %Sys32%\DRIVERS\{4530E639-76AB-4435-889D-A5E81AE090A4}GW64.SYS del %Sys32%\DRIVERS\{4530E639-76AB-4435-889D-A5E81AE090A4}GW64.SYS delref %Sys32%\DRIVERS\{733FB217-C049-41BA-9504-3F2045E61977}GW64.SYS del %Sys32%\DRIVERS\{733FB217-C049-41BA-9504-3F2045E61977}GW64.SYS delref %Sys32%\DRIVERS\{DC592624-F532-4311-9FC7-6920126FC404}GW64.SYS del %Sys32%\DRIVERS\{DC592624-F532-4311-9FC7-6920126FC404}GW64.SYS delref %Sys32%\DRIVERS\{F5D136D7-ADC2-4C84-85B2-E564334AB0BC}GW64.SYS del %Sys32%\DRIVERS\{F5D136D7-ADC2-4C84-85B2-E564334AB0BC}GW64.SYS delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\PROGRAM FILES (X86)\ADVANCEELITE\BIN regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\DRIVERS\{4530E639-76AB-4435-889D-A5E81AE090A4}GW64.SYS
del %Sys32%\DRIVERS\{4530E639-76AB-4435-889D-A5E81AE090A4}GW64.SYS

delref %Sys32%\DRIVERS\{733FB217-C049-41BA-9504-3F2045E61977}GW64.SYS
del %Sys32%\DRIVERS\{733FB217-C049-41BA-9504-3F2045E61977}GW64.SYS

delref %Sys32%\DRIVERS\{DC592624-F532-4311-9FC7-6920126FC404}GW64.SYS
del %Sys32%\DRIVERS\{DC592624-F532-4311-9FC7-6920126FC404}GW64.SYS

delref %Sys32%\DRIVERS\{F5D136D7-ADC2-4C84-85B2-E564334AB0BC}GW64.SYS
del %Sys32%\DRIVERS\{F5D136D7-ADC2-4C84-85B2-E564334AB0BC}GW64.SYS

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\PROGRAM FILES (X86)\ADVANCEELITE\BIN

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по восстановлению данных помогут бэкапы (если они существуют)

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 19.02.2015

Размещено 26.10.2016 18:55:02

в [email protected] писать с почтового ящика или есть возможность с сайта в esetnod32.ru?

Сообщений: 2

Баллов: 1

Регистрация: 26.10.2016

Размещено 27.10.2016 00:02:27

Добрый день!
Поймали da_vinci_code

Расширения у файлов стали da_vinci_code

Помогите, пожалуйста!!!

Прикрепленные файлы

README1.txt (4.1 КБ)
WORK_2016-10-26_23-26-41.7z (324.34 КБ)
Один из поврежденных файлов.rar (277.96 КБ)

Сообщений: 13

Баллов: 6

Регистрация: 27.10.2016

Размещено 27.10.2016 00:17:47

Здравствуйте!
Точно такая же ситуация. Один из компьютеров организации поймал вирус-шифровальщик, скорее всего, через почту.
Есть активная лицензия на ESET Endpoint 5. Писал 2 раза в техподдержку через форму обратной связи в ответ ничего.
Какие действия нужно мне предпринять? Если я буду писать непосредственно в support@ , то это нужно делать с почтового ящика, на который приходили письма с продлением антивируса?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.10.2016 04:34:09

Цитата
Максим Иванов написал: Добрый день! Поймали da_vinci_code Расширения у файлов стали da_vinci_code Помогите, пожалуйста!!!

Максим,
система уже очищена от файлов шифратора.
по расшифровке, так же как и для всех:

Цитата
на сегодня и завтра расшифровке нет. тем не менее напишите в [email protected] при наличие лицензии на антивирус ESET или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.10.2016 04:35:38

Цитата
Андрей Пинчук написал: Здравствуйте! Точно такая же ситуация. Один из компьютеров организации поймал вирус-шифровальщик, скорее всего, через почту. Есть активная лицензия на ESET Endpoint 5. Писал 2 раза в техподдержку через форму обратной связи в ответ ничего. Какие действия нужно мне предпринять? Если я буду писать непосредственно в support@ , то это нужно делать с почтового ящика, на который приходили письма с продлением антивируса?

Цитата

Андрей Пинчук написал:
Здравствуйте!
Точно такая же ситуация. Один из компьютеров организации поймал вирус-шифровальщик, скорее всего, через почту.
Есть активная лицензия на ESET Endpoint 5. Писал 2 раза в техподдержку через форму обратной связи в ответ ничего.
Какие действия нужно мне предпринять? Если я буду писать непосредственно в support@ , то это нужно делать с почтового ящика, на который приходили письма с продлением антивируса?

Андрей,
сделайте образ автозапуска системы для контроля и очистки системы,
возможно в системе еще активен шифратор.

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 27.10.2016

Размещено 27.10.2016 08:44:47

Цитата

santy написал:

Цитата

Образ автозапуска делается в заражённой системе или можно из загрузочной флешки сделать?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.10.2016 09:57:20

Андрей,
можно в зараженной системе сделать из безопасного режима системы.

Изменено: santy - 27.10.2016 10:09:41

[ Как создать образ автозапуска? ]

Пред. 1 ... 46 47 48 49 50 ... 60 След.