файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 14 15 16 17 18 ... 60 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.04.2016 14:48:54

новый образ не нужен,
добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 17.04.2016

Размещено 17.04.2016 19:55:03

Здравствуйте, уважаемая команда форума. Помогите расшифровать файлы, если это возможно. Собираюсь завтра уезжать, а тут такое дело. Имена файлов тоже искажены видом better_call_saul. Образ прилагаю http://rghost.ru/8dhmtsVcH

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.04.2016 05:03:29

Александр,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao addsgn 1A78EC9A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC375B79F467C5FA4F4EF00F170DAB0A7EB29F9EC908DDC58 8 Adware.Mutabaha.1167 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\HOHOBND\GHABUK.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.HOHOSEARCH.COM/?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=... delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE... delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG... delref %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS del %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS delref %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU del %SystemDrive%\LAUNCHER.BAT delref HTTP:\\WWW.HOHOSEARCH.COM\?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=OPT&MOD... del %SystemDrive%\IEXPLORE.BAT delref HTTP:\\SEARCH-HOP.RU del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT del %SystemDrive%\FIREFOX.BAT regt 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

addsgn 1A78EC9A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC375B79F467C5FA4F4EF00F170DAB0A7EB29F9EC908DDC58 8 Adware.Mutabaha.1167 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\HOHOBND\GHABUK.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.HOHOSEARCH.COM/?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=...
delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHB...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANE...

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHG...

delref %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_8.SYS

delref %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
del %SystemDrive%\LAUNCHER.BAT

delref HTTP:\\WWW.HOHOSEARCH.COM\?TS=AHEQA3YKBHEPAK..&V=20160415&UID=E9BD9414EB3C24590F3CBFCE0A73A17D&PTID=OPT&MOD...
del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\SEARCH-HOP.RU
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT

del %SystemDrive%\FIREFOX.BAT

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.04.2016

Размещено 18.04.2016 08:36:53

добавляю файл файл дата_времяlog.txt после выполнения вашего скрипта

Прикрепленные файлы

2016-04-15_11-32-43_log.txt (22.77 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.04.2016 09:08:55

Евгений,
судя по логу выполнения скрипта, тело шифратора было удалено.

Цитата
-------------------------------------------------------- zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE -------------------------------------------------------- Копирование файла в Zoo: \\?\C:\PROGRAMDATA\WINDOWS\CSRSS.EXE C:\PROGRAMDATA\WINDOWS\CSRSS.EXE [Не удается найти указанный файл. ] \\?\D:\USERS\JK\DESKTOP\UVS_V387\ZOO\CSRSS.EXE.--- Не удалось скопировать файл [Не удается найти указанный файл. ] --------------------------------------------------------

Цитата

--------------------------------------------------------
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
C:\PROGRAMDATA\WINDOWS\CSRSS.EXE [Не удается найти указанный файл. ]
\\?\D:\USERS\JK\DESKTOP\UVS_V387\ZOO\CSRSS.EXE.---
Не удалось скопировать файл [Не удается найти указанный файл. ]
--------------------------------------------------------

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 18.04.2016

Размещено 18.04.2016 12:05:25

better_call_saul, и та же песня, только наши бухи по прежнему наступают на одни и те же грабли несмотря на длительную "вправку" мозгов после заражения шифровальщиком "vault"несколько месяцев тому назад. Благо в тот раз обратились в тех. под-ку NOD 32 и после недельного сбора инфы все-таки запилили программку которая расшифровала все. Только в этот раз уже на другом компе подхватили заразу, писали в поддержку Каспера т.к на том компе стоит их ПО, но к сожалению они как и в прошлый раз разводят руками и говорят что не могут расшифровать, надеюсь Вы не подведете, облазил все форумы похоже что вирус "свежий", форумы забиты темами.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.04.2016 12:18:01

Дмитрий Колесников,
купите хотя бы одну лицензию Криптопревент, установите ее на одну машину. создайте (автоматически) в ней локальные политики по ограничению запуска нежелательных исполняемых программ. Экспортируйте ключ safer в регфайл, и затем просто добавьте этот ключ в реестр на все проблемные машины.
больше будет пользы, чем регулярные настройки сознания, которые быстро сбиваются.
хотя одно другому не будет мешать, но безопасности станет больше.

Изменено: santy - 30.06.2017 11:52:14

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 23.04.2016

Размещено 24.04.2016 11:26:16

Вирус проник через почту майл! Был подписан как от клиента, все файлы на компьютере зашифрованы...На вас одна надежда!!! 10 лет жизни зашифровано(

Прикрепленные файлы

DNS_2016-04-24_13-46-09.rar (455.71 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.04.2016 12:07:02

расширение какое стало у зашифрованных файлов?
систему я так понял вы переустановили после шифрования.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.04.2016 17:00:05

Цитата
Настенька Зайкина написал: файлы были картинками и доки. А какие сейчас расширения у них, я не понимаю(

документы зашифрованные сохранились после переустановки системы?
если да, то добавьте в архиве несколько зашифрованных файлов на форум.

[ Как создать образ автозапуска? ]

Пред. 1 ... 14 15 16 17 18 ... 60 След.