файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 47 48 49 50 51 ... 60 След.
Цитата
santy написал:
Андрей,
можно в зараженной системе сделать из безопасного режима системы.
Сделано
да, файл шифратора в автозапуске еще.

по очистке системы выполните. (можно так же из безопасного режима системы)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP

задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.
Изменено: santy - 27.10.2016 12:22:14
Цитата
santy написал:
да, файл шифратора в автозапуске еще.

по очистке системы выполните. (можно так же из безопасного режима системы)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
 

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP

задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.
Заявка в техподдержке - № 1125441
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
Файл был удалён проверкой DrWeb. Загрузка была сделана с флешки. Этот файл классифицировался как вирус - Trojan.PWS.Spy.ХХХХХ цифры уже не помню.

Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?
Santy, спасибо за ответ.
Для интереса отправил код. Прислали ответ:
" Стоимость дешифровки 27000р. Пришлите 1  файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной  информации, только для того чтобы вы смогли опознать, что это ваш файл,
никаких  отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться  не будет и мы расшифруем в качестве подтверждения того что файлы могут  быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.
И помните пожалуйста, что цена каждый день растет."

Данные восстановил из резерва. На поводу у жуликов не идем.
Цитата
Андрей Пинчук написал:
Цитата
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
Цитата
Андрей Пинчук написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
возможно шифратор, если он активен,  с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.
Цитата
Андрей Пинчук написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS


Цитата
Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?

отправьте в почту safety@chklst.ru в архиве, с паролем infected
Изменено: santy - 27.10.2016 15:17:10
Цитата
santy написал:
Цитата
 Андрей Пинчук  написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
возможно шифратор, если он активен,  с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.
Есть надежда, что живы (см. скриншот). Или они в другом месте хранятся?
Цитата
santy написал:
Цитата
 Андрей Пинчук  написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
Цитата
Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?
отправьте в почту safety@chklst.ru в архиве, с паролем infected
1) После. Вначале я систему запустил в безопасном режиме, НО от имени пользователя, который локальный админ. uVC при запуске написал, что загружен реестр 6 пользователей.
2) сделал.
sc.jpg (116.96 КБ)
1. по теневым копиям.
как проверить.
используйте shadowExplorer
http://www.shadowexplorer.com/downloads.html
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.
Изменено: santy - 27.10.2016 16:19:36
Пред. 1 ... 47 48 49 50 51 ... 60 След.
Читают тему (гостей: 1)