Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
 
Роман Воробьёв
Роман Воробьёв
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.02.2016
Размещено 19.02.2016 08:53:05
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 11 12 13 14 15 ... 60 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.04.2016 15:21:59
Marat Mars,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1A40149A5583348CF42B627DA8044153AECED8EE823A6A600E8FE1A8DB92555C10C534A6B58D160D0F8C736ECDC5A2BBF617632E71CE3B7809672F6BE30AF39A 8 Worm.Win32.Ngrbot.anhg [Kaspersky]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
Marat Mars
Marat Mars
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 07.04.2016
Размещено 07.04.2016 15:24:06
Цитата
santy написал:
Marat Mars,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1A40149A5583348CF42B627DA8044153AECED8EE823A6A600E8FE1A8DB92555C10C534A6B58D160D0F8C736ECDC5A2BBF617632E71CE3B7809672F6BE30AF39A 8 Worm.Win32.Ngrbot.anhg [Kaspersky]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
Вы написали, перезагрузка, пишем о старых и новых проблемах, что то должно появиться?
 
Максим Рябинин
Максим Рябинин
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 06.04.2016
Размещено 07.04.2016 19:50:16
Здравствуйте. Вот  образ автозапуска для проверки системы
 
Стас Корниенков
Стас Корниенков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 07.04.2016
Размещено 07.04.2016 21:32:42
Добрый день. И мой пожалуйста гляньте..
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2016 04:51:45
Максим Рябинин,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАКСИМ РЯБИНИН.136B8B62E17841B\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\PROGRAM FILES\ITVA\LOVIVKONTAKTE2\LVK2.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476327809CFFAF76DE53A3A8F908319233F50C333C165F9C00B68DA42B9E9CD3A725B727055DA5845F0885BAB0709A6FE 16 Program.Unwanted.276 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ITVA\LOVIVKONTAKTE2\UPDATER.EXE
addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B9D30513E021E8A2FD3EC4C3B1449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 Win32/Carberp

zoo %SystemDrive%\PROGRAM FILES\LOVIVKONTAKTE\UNINSTALLER.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 61 Win32/Boaxxe.BR [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\VKSAVER.DLL
del %Sys32%\VKSAVER.DLL

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\4.0.0.5166

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2016 04:57:49
Стас,
помимо шифратора в автозапуске еще и червь Conficker
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SFK\SSFK.EXE
addsgn 1A531A9A55834C720BD4C4A50C206247256260FD89FAF7F4EAC3C5B3E7261B4ECB45AE573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

zoo %Sys32%\KJVGJ.DLL
addsgn 729053925465C9B00AD4AED1DAC87205350742F63905E02F6ED3552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 64 Conficker.AE

zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PICEXA\PICEXA.EXE
addsgn 1A3DE49A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC389949F467C5FA4F4EF007701DAB0A7EB29F9EC908DDC58 8 Win32/ELEX

addsgn 79132211B9E9317E0AA1AB59B3AD1205DAFFF47DC4EA942D892B2942AF292811E11BC3A80BFD7C483B7F91B72617597FBDABEA8D85B0A9C44111A42FAD074873 64 Win32/Toolbar.Linkury

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОСТЯ\LOCAL SETTINGS\APPLICATION DATA\TECHPLUGS\XWINCCSF\TKVT.DLL
addsgn 9AE465DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC25946818514B2219AF360E6C5FE00CA2461649FA7DDFE97255DAB02C2D77A42F91635007 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОСТЯ\LOCAL SETTINGS\TEMP\GETBYID.SCR
addsgn 1A35749A5583278FF42B254E3143FE84C9A2FFF689597784C5C34CB1342A314CAA02A3AB7E551454777CC49FCF2311063DDF614F0126F02C4BFBB1AF3B462215 8 Win32/ELEX

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОСТЯ\APPLICATION DATA\TSV\TSVR.EXE
addsgn 1A06CF9A5583338CF42B627DA804DEC9E946303ADEAC940CA1D34EF074C2FA30071B4896B5849E8F107EF2977DEE467815DCE8725A6095E42433A42EB401D1D7 8 Win32/ELEX

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EWDME\WDMAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.YOURSITES123.COM/?TYPE=SC&TS=1457942239&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=WPM0314&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

deldirex %SystemDrive%\PROGRAM FILES\XTAB

delref .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1427367626&FROM=WPM032632&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX&Q={SEARCHTERMS}

deldirex %SystemDrive%\PROGRAM FILES\WINZIPPER

delref HTTP:\\WWW.YOURSITES123.COM\?TYPE=SC&TS=1457942124&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=WPM0314&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1447407972&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=WPM07173&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

delref HTTP:\\WWW.YOURSITES123.COM\?TYPE=SC&TS=1449645419&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=IENT07021&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

regt 27
; Java(TM) 6 Update 21
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216021FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Игорь Кузаков
Игорь Кузаков
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 01.04.2016
Размещено 08.04.2016 04:59:07
Здесь нам помогают, ответ для всех один, пришлите образ, сделайте скрипт, на расшифровку присылайте файлы. У меня вопрос: Кто-то присылал уже файлы, помогли ли с расшифровкой, если да, то - платно  это было или нет, сколько времени заняло и какое было количество файлов.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2016 05:32:15
Цитата
Игорь Кузаков написал:
Здесь нам помогают, ответ для всех один, пришлите образ, сделайте скрипт, на расшифровку присылайте файлы. У меня вопрос: Кто-то присылал уже файлы, помогли ли с расшифровкой, если да, то - платно  это было или нет, сколько времени заняло и какое было количество файлов.
в техподдержке вам точно могут ответить есть расшифровка по данному шифратору или нет.
если вы не лицензионный пользователь ESET, то можете не беспокоиться по этому поводу.
(покупать лицензию только ради того, чтобы расшифровать файлы не стоит. Стоит прост задуматься о том почему вы попали под шифратор, и что можно сделать на будущее, чтобы избежать потери ваших данных.)
На форуме расшифровки по данному шифратору у нас нет.

судя по тому, как захламлены системы у некоторых пользователей здесь, неудивительно, что они еще и шифраторы получают в придачу.
Изменено: santy - 30.06.2017 11:49:19
[ Как создать образ автозапуска? ]
 
Стас Корниенков
Стас Корниенков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 07.04.2016
Размещено 08.04.2016 06:47:18
Добрый день. Можете еще вот этот глянуть ? =(
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.04.2016 07:11:52
Цитата
Стас Корниенков написал:
Добрый день. Можете еще вот этот глянуть ? =(
здесь по очистке выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref OZGBLWF.C

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\GULYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

следов шифратора нет.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 11 12 13 14 15 ... 60 След.
Читают тему