файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 48 49 50 51 52 ... 60 След.
Цитата
santy написал:
1. по теневым копиям.
как проверить.
используйте shadowExplorer
http://www.shadowexplorer.com/downloads.html
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.
1. Поэтому теневые копии пока не трогаю. Последняя надежда на них.

2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE

Размер у файлов одинаковый и иконка одна - как у установщиков INNO. Пока что не применял скрипт, который вы выслали ранее, но эти файлы выцепил из системы. Они у меня в архивах. На моём рабочем компьютере антивирус ESET определяет эти оба файла как NSIS/Injector.HV
В безопасном режиме сделал ещё один образ автозагрузки. Теперь от имени заражённого пользователя.

Кстати, у пользователя сменились обои. Теперь и там требование денег. Файл с рандомным значением в имени. 475395B1475395B1.bmp
Изменено: Андрей Пинчук - 27.10.2016 18:05:00
Цитата
Андрей Пинчук написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?
Изменено: santy - 27.10.2016 18:16:49
судя по второму образу этот файлик на месте.

Цитата
Полное имя                  C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5795639761000
Linker                      6.0
Размер                      956483 байт
Создан                      22.03.2016 в 11:24:19
Изменен                     26.10.2016 в 11:46:55
                           
TimeStamp                   25.07.2016 в 00:55:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Версия файла                1.50.2
Описание                    PS3 Media Server
Продукт                     PS3 Media Server
Copyright                  
Производитель               A. Brochard
Комментарий                
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5                         2B6BC30E37B7B919D5D1187CE633C339
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
я вижу у вас свое мнение по этому поводу. Ну-ну.
еще раз:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMINGRBQ51.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

deltmp
delnfr
;-------------------------------------------------------------

restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
+
добавьте новый образ автозапуска дял контроля.
+
добавьте все логи выполнения скриптов:
файлы дата_времяlog.txt из папки, откуда запускаете uVS.
Изменено: santy - 27.10.2016 18:24:37
Цитата
santy написал:
Цитата
 Андрей Пинчук  написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?
Ещё пока не сделал.
Цитата
santy написал:
судя по второму образу этот файлик на месте.
Цитата
Полное имя                  C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5795639761000
Linker                      6.0
Размер                      956483 байт
Создан                      22.03.2016 в 11:24:19
Изменен                     26.10.2016 в 11:46:55
                           
TimeStamp                   25.07.2016 в 00:55:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Версия файла                1.50.2
Описание                    PS3 Media Server
Продукт                     PS3 Media Server
Copyright                  
Производитель               A. Brochard
Комментарий                
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5                         2B6BC30E37B7B919D5D1187CE633C339
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
я вижу у вас свое мнение по этому поводу. Ну-ну.
Уже нет этого файла. И UAC окон больше не появляется. Я обязательно выполню скрипт, только сделаю копию всего ЖД на всякий случай.
Второй образ автозапуска я делал до того, как убрал csrss.

И те два файла я в архивах RAR на флешке на рабочем компе антивирусом ESET со свежими базами проверил - детект есть.
-----
Не стал умничать...
По времени первый образ до скрипта. Второй - после. Скрипт выполнил самый последний только последние две команды местами поменял. ZOO*.7z файл есть  Отправил на оба, указанных вами, почтовых ящика.
Андрей,
1. не надо здесь никого цитировать, просто пишите по сути и не развозите ответ на целую страницу браузера.
2. я уже отчаялся следить за вашими действия,ми в какой последовательности и что вы делаете: до скрипта, после скрипта, из безопасного режима, из нормального режима,
3. полагаю что вы в состоянии самостоятельно справиться с очисткой: файлы шифратора указаны в скриптах.
4. у нас здесь все просто делается: пользователь выкладывает суть проблемы, образ автозапуска (если его об этом просят), желательно несколько зашифрованных файлов в архиве, записку о выкупе от злоумышленников, мы пишем скрипт очистки и рекомендации. и все.
5. если возникают сомнения по очистке: добавляете лог выполнения скрипта, и новый образ автозапуска для контроля.
6. и чтобы тема очистки плавно не перетекала в чатовый диалог.
Изменено: santy - 28.10.2016 04:33:54
santy,
1) привычка из других форумов.
2) со стороны да. Выглядит всё запутанно.
3) Да, но как вижу, скрипт вычищает из автозагрузки системы подгрузку вирусов из сети. Вручную это лучше не делать, как я понял.
4) ОГромное спасибо!
5) Вот по последнему - есть ли какие хвосты?
6) понял..
судя по последнему образу DANILINA_2016-10-27_20-02-09.7z (509.62 КБ)
файлов шифратора нет.
а вот по этой записи разберитесь: это скорее всего настройки для левого прокси.

Цитата
Полное имя                  0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
Имя файла                   0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
PROXYSERVER                 (ССЫЛКА ~ \INTERNET\MANUALPROXIES\)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Int­ernet\ManualProxies\
                           0https://larevante.com/F6D3bVd/bOl57.eup
                           
можно в этом разделе продолжить лечение.
https://forum.esetnod32.ru/forum6/

в разделе шифрования общие темы для всех по типовым шифраторам, поэтому по возможности не надо их перегружать лишними диалогами,
в разделе лечения заражений индивидуальные темы по каждому факту заражений, там как раз более свободная форма общения в теме.
Изменено: santy - 28.10.2016 09:55:20
Цитата
santy написал:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
У меня и UVS c расширением da vinci.
Изменено: Владимир Калошин - 28.10.2016 12:46:34
Владимир,
скачайте свежий архив с uVS
сделайте образ автозапуска из безопасного режима системы.
Изменено: santy - 28.10.2016 13:29:44
Пред. 1 ... 48 49 50 51 52 ... 60 След.
Читают тему (гостей: 1)