файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Цитата
santy написал:
da_vinci_code не имеет функционала червя,
Спасибо
Капец. У меня у глав буха тоже было подключено 2 сетевых диска когда она вирус поймала. Я сейчас по серваку прошелся, нашел 10 файлов readme.txt в которых написано куда высылать данные для расшифровки. НО! Файлы на самом сервере не зашифрованы. Возможно ли это из за того что я успел рубануть зараженый комп во время процеса и вирус не успел начать шифровать сервак?
Добрый день. Проблема вышеозвученная. Во вложении образ. Заранее спасибо.
Цитата
Дмитрий Прасолов написал:
Добрый день. Проблема вышеозвученная. Во вложении образ. Заранее спасибо.
файлов шифратора уже нет в системе,
пробуйте восстановить документы из архивных копий.

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

сохраните документы из важных папок на отдельный носитель,
и ждите, когда будет решение.
Цитата
santy написал:
Цитата
 Дмитрий Прасолов  написал:
Добрый день. Проблема вышеозвученная. Во вложении образ. Заранее спасибо.
файлов шифратора уже нет в системе,
пробуйте восстановить документы из архивных копий.

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

сохраните документы из важных папок на отдельный носитель,
и ждите, когда будет решение.
Я образ формировал под учетной записью локального администратора, тогда как заражение произошло под пользовательской учетной записью. Значения, как я понимаю, это не имеет?

То есть файлы шифратора были удалены вашим антивирусным продуктом (ESET Endpoint Antivirus 5) в итоге успешно?

ОС переустанавливать нет необходимости?
Дмитрий,
переустановка не нужна.
uVS анализирует все учетные записи, независимо от того, под какой учетной записью вы создали образ автозапуска.
важно, чтобы запуск uVS был с правами администратора.
Изменено: santy - 11.11.2016 12:50:35
Цитата
santy написал:
Дмитрий,
переустановка не нужна.
uVS анализирует все учетные записи, независимо от того, под какой учетной записью вы создали образ автозапуска.
важно, чтобы запуск uVS был с правами администратора
Именно так все и было. Спасибо.
Цитата
santy написал:
по очистке системы выполните
Большое спасибо за ответ!

P.S. После очистки снял образ автозагрузки. Посмотрите пожалуйста, всё ли в порядке.
Изменено: Vasiliy Belenko - 14.11.2016 14:45:44
Василий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по вашему вопросу ответил в ПМ.
Здравствуйте!
На ПК секретаря зашифровались файлы и стали вида:

YGOzPM-EGuSSWEoBzCwngVLMTA9iJWO8X6XJA0kraH0S-w281me7icnvvXSP2M4x9W3-+t0apxhVbw0SHnhimA==.74ABEEB8A181B1EBF84B.da_vinci_code

Помогите, что можно сделать?

У нас лицензия ESET NOD32 Antivirus Business Edition на 20 пользователей
EAV-0164714662
Изменено: Алексей Михайлов - 16.11.2016 11:02:32
Читают тему (гостей: 5)