файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 50 51 52 53 54 ... 60 След.

Сообщений: 2

Баллов: 1

Регистрация: 31.10.2016

Размещено 31.10.2016 16:07:58

Добрый день, тоже поймали шифровальщик да винчи, помогите пожалуйста!
файл образа автозапуска

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 31.10.2016 16:33:05

Alex Sekov,
судя по образу, активности шифратора уже нет.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1410883750&FROM=SKY&UID=WDCXWD10EZEX-00UD2A0_WD-WMC3F021712617126 delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1410883750&FROM=SKY&UID=WDCXWD10EZEX-00UD2A0_WD-WMC3F021712617126&Q={SEARCHTERMS} delref %SystemDrive%\USERS\BUHGALTER_2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1410883750&FROM=SKY&UID=WDCXWD10EZEX-00UD2A0_WD-WMC3F021712617126

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1410883750&FROM=SKY&UID=WDCXWD10EZEX-00UD2A0_WD-WMC3F021712617126&Q={SEARCHTERMS}

delref %SystemDrive%\USERS\BUHGALTER_2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 31.10.2016

Размещено 31.10.2016 17:02:36

Santy, благодарю за помощь!

Сообщений: 3

Баллов: 1

Регистрация: 31.10.2016

Размещено 01.11.2016 09:50:14

santy Добрый день, есть ещё несколько файлов с оригинальным расширением, может он поможет в расшифровки и востановлении данных.

Прикрепленные файлы

ON_OTTRNDS_7709_7709_7709959150770901001_20160303_9ed6b8c3-75fd-4549-8bc3-dc3f04c8a84a.xml.rar (2.24 КБ)

Сообщений: 3

Баллов: 1

Регистрация: 01.11.2016

Размещено 02.11.2016 09:21:50

Добрый день.
Словили давинчи предположительно на 4 компа.Вычищал Cure ITом.Если можно просмотрите пожалуйста образы автозапусков этих машин,дабы вычистить окончательно сию заразу.Заранее спасибо.

Прикрепленные файлы

OOO_2016-11-02_09-02-34.7z (251.9 КБ)
HP_2016-11-01_17-46-18.7z (577.2 КБ)
BUH9_2016-11-02_08-56-54.7z (261.3 КБ)
GLAVBUH_2016-11-02_08-45-59.7z (497.67 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.11.2016 10:02:11

Админа однозначно надо наказывать. образы сейчас посмотрю.
---------
здесь чисто уже
OOO_2016-11-02_09-02-34.7z (251.9 КБ)
и здесь чисто
GLAVBUH_2016-11-02_08-45-59.7z (497.67 КБ)

по этому компу
HP_2016-11-01_17-46-18.7z (577.2 КБ)

выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\UPDATEMOBOGENIE.EXE addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\BITCEE3.TMP addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft] delref %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMINGKES.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] deldirex %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE delref HTTP://WEBALTA.RU/SEARCH deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE ; Java(TM) 6 Update 22 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416022FF} /quiet ; Weatherbar exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet ; Mobogenie exec C:\Program Files (x86)\Mobogenie\uninst.exe exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\UPDATEMOBOGENIE.EXE
addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process

zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\BITCEE3.TMP
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft]

delref %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMINGKES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE

delref HTTP://WEBALTA.RU/SEARCH

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

; Java(TM) 6 Update 22 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416022FF} /quiet
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; Mobogenie
exec  C:\Program Files (x86)\Mobogenie\uninst.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

Изменено: santy - 02.11.2016 10:16:17

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.11.2016 10:13:56

по этому компу выполните очистку системы:
BUH9_2016-11-02_08-56-54.7z (261.3 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\06330BCE.EXE addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\320039DF.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\RAD99786.TMP addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC delref %Sys32%\IHCTRL32.DLL del %Sys32%\IHCTRL32.DLL delref %Sys32%\IR16_32.DLL del %Sys32%\IR16_32.DLL delref %Sys32%\KBDMAI.DLL del %Sys32%\KBDMAI.DLL delref %Sys32%\WLANMGR.DLL del %Sys32%\WLANMGR.DLL delref %Sys32%\WSAUDIO.DLL del %Sys32%\WSAUDIO.DLL ; Java(TM) 6 Update 22 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\06330BCE.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\320039DF.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\RAD99786.TMP
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL

delref %Sys32%\IR16_32.DLL
del %Sys32%\IR16_32.DLL

delref %Sys32%\KBDMAI.DLL
del %Sys32%\KBDMAI.DLL

delref %Sys32%\WLANMGR.DLL
del %Sys32%\WLANMGR.DLL

delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 01.11.2016

Размещено 02.11.2016 10:17:48

Спасибо большое.
Только наказывать боюсь надо не админа.А людей,которые этому админу позвонили только по факту зашифровки,когда было уже поздно...Уж сколько раз было сказано-не открывать подозрительные письма или хотя бы звонить сисадмину.Но нет,у одной не открылось вложение с подозрительным расширением,зачем останавливаться на достигнутом?Надо попросить открыть его ещё 3х человек...А потом звонить админу...Как то так :evil:

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.11.2016 10:43:40

Цитата
Artem Serikov написал: Спасибо большое. Только наказывать боюсь надо не админа.А людей,которые этому админу позвонили только по факту зашифровки,когда было уже поздно...Уж сколько раз было сказано-не открывать подозрительные письма или хотя бы звонить сисадмину.Но нет,у одной не открылось вложение с подозрительным расширением,зачем останавливаться на достигнутом?Надо попросить открыть его ещё 3х человек...А потом звонить админу...Как то так

Цитата

Artem Serikov написал:
Спасибо большое.
Только наказывать боюсь надо не админа.А людей,которые этому админу позвонили только по факту зашифровки,когда было уже поздно...Уж сколько раз было сказано-не открывать подозрительные письма или хотя бы звонить сисадмину.Но нет,у одной не открылось вложение с подозрительным расширением,зачем останавливаться на достигнутом?Надо попросить открыть его ещё 3х человек...А потом звонить админу...Как то так :evil:

поможет только комплексная работа на предупреждение:
1. антвирусы + актуальное обновление,
2. регулярное информирование пользователей по актуальным угрозам из электронной почты и сети.
3. как минимум добавить на компы пользователей, а нарушителей в первую очередь локальные политики, которые запрещают запуск исполняемых файлов из архивов.

Прикрепленные файлы

safer.for.xp.update2.rar (8.73 КБ)
stop.exe.from.arhive.win7.rar (3.57 КБ)
Шифровирусы шумной толпою v3.pdf (803.32 КБ)
Варианты документов с шифраторами или троянскими программами.doc.pdf (208.32 КБ)

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 01.11.2016

Размещено 02.11.2016 11:02:16

Цитата

santy написал:

Цитата

Ещё раз большое спасибо за ответы и рекомендации.В дальнейшем,очень надеюсь,с помощью ваших рекомендаций получится избежать таких ситуаций.

Пред. 1 ... 50 51 52 53 54 ... 60 След.