файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 54 55 56 57 58 ... 60 След.
Роман,
судя по образу файлы шифратора уже не активны,
(зато активен майнер)

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemRoot%\MINERD.EXE
addsgn A7659219B9728B762FD5AEB1643707F527C9FC1ED107E087154E719A50D6714C769E26D4D24D5A4D0F82849F46E95C0A7F9CE89A6D274FD3BDFA1009C7062273 17 Tool.BtcMine.130 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\ORBITUMUPDATER\ORBITUMUPDATER.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\ORBITUMUPDATER\ORBITUMUPDATER.EXE

delref %SystemRoot%\LIBCURL-4.DLL
del %SystemRoot%\LIBCURL-4.DLL

delref HTTP://MINE.POOL-X.EU:8337
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\124.14_0\SEARCH APP BY ASK V2
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.11_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE

delref HTTP://WWW.QIP.RU/
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
http://rgho.st/6yXpF6XV5
Образ автозагрузки из uVS
Win 7 Pro 32
Nod Antivirus 8
EAV-0167545319
Наталья,
судя по образу система уже очищена от тел шифратора.

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
santy, выполнил ваш скрипт. Из проблемм выявлено, что не возможно удалить или переустановить многие программы. Попытки переустановки из тех же дистрибутивов (не затронуты) безрезультатны, всегда появляется сообщение "прекращена работа программы...".
Romos,
сделайте проверку целостности системы
sfc /scannow,

если не поможет,
пробуйте откатить систему на безопасную точку восстановления.
(если найдется такая).
вроде как написано сделал
образ автозагрузки
santy, сканировал сразу после скрипта, не выявлено повреждений системных файлов. Ни образов, ни теневых копий нету, скорее всего повреждены или удалены... Что то ещё можно попробовать до переустановки винды?
Romos,
да, теневые копии могли быть удалены шифратором.
можно попробовать восстановить работу через диск восстановления.
если не поможет, тогда придется переустановить систему.
Изменено: santy - 10.11.2016 10:58:11
Цитата
Альберт Жемерикин написал:
вроде как написано сделал
образ автозагрузки
Альберт,
шифратор уже неактивен в системе,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\SKYMONK2\SKYMONK2.EXE
addsgn 9252771A1C6AC1CC0B44584EA34FAA522F8ACF3FC13348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Filecoder.NBJ [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\SKYMONK2\UNINSTALL.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0F102783C5353CF265B3362753173E3D9CC92B807B8AF28609FA2820FDB2C79AB04625D43CC48006CA7E 64 Adware.Downware.2095 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE

delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS7\APPLICATION DATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.9_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\APPLICATION DATA\SWVUPDATER

regt 28
regt 29
; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
Пред. 1 ... 54 55 56 57 58 ... 60 След.
Читают тему (гостей: 3)