файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 16 17 18 19 20 ... 60 След.
Цитата
mike 1 написал:
Цитата
Максим Бовкун   написал:
На данном ПК стоит лицензия которая приобреталась на организацию.
Стороннее ПО удалил.
А что же тогда пиратите?
ПК начальства. датируются файлы 2010г, что он делал и зачем - мне не известно.
Всем спасибо.
Зашифрованы все данные (.da_vinci_code) что с ней делать ? И как себя вести

--------------
просьба: при создании сообщений о шифровании *.da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
Чтoбы pаcшифpoваmь иx, Bам неoбxодимo оmпрaвuть код:
5E5E1BEC5BE045A020AC|0
на элeкmрoнный aдреc Novikov.Vavila@gmail.com .
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT
Кирилл,
добавьте образ автозапуска системы
как это сделать, смотрите в подписи.
Изменено: santy - 23.05.2016 15:09:45
http://rgho.st/8BssZ4GQ9
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YANBEX.PW

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHA...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIO...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YANBEX.PW

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.

расшифровки к сожалению нет по этому шифратору.
восстанавливаем документы из архивных копий.
Можно по точнее,а именно для чайников
что именно непонятно? как выполнить скрипт?
здесь все расписано по шагам, как раз для чайников.
и кстати, поторопитесь выполнить скрипт, поскольку у вас тело шифратора в автозапуске, т.е. все новые файлы он так же будет шифровать.
окей
Изменено: Кирилл Толиков - 23.05.2016 15:09:45
пользователю на почту пришло сообщение. открыл файл. все файлы зашифровались с расширением *.da_vinci_code . можно что-то сделать?
http://rgho.st/6bhN9lTyT
Артем,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NAUMETSLV\DESKTOP\AVZ4\AVZ4\QUARANTINE\2016-05-23\AVZ00001.DTA
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code

delall %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\X.VBS
;------------------------autoscript---------------------------

chklst
delvir

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; etranslator
exec C:\Users\naumetslv\AppData\Roaming\etranslator\etranslator.exe" /uninstall

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по da_vinci_code нет,
пробуйте восстановление документов из архивных копий.
Изменено: santy - 23.05.2016 15:49:51
Пред. 1 ... 16 17 18 19 20 ... 60 След.
Читают тему (гостей: 4)