файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровки файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 11 12 13 14 15 ... 60 След.
Marat Mars,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1A40149A5583348CF42B627DA8044153AECED8EE823A6A600E8FE1A8DB92555C10C534A6B58D160D0F8C736ECDC5A2BBF617632E71CE3B7809672F6BE30AF39A 8 Worm.Win32.Ngrbot.anhg [Kaspersky]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Цитата
santy написал:
Marat Mars,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1A40149A5583348CF42B627DA8044153AECED8EE823A6A600E8FE1A8DB92555C10C534A6B58D160D0F8C736ECDC5A2BBF617632E71CE3B7809672F6BE30AF39A 8 Worm.Win32.Ngrbot.anhg [Kaspersky]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
 

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Вы написали, перезагрузка, пишем о старых и новых проблемах, что то должно появиться?
Здравствуйте. Вот  образ автозапуска для проверки системы
Добрый день. И мой пожалуйста гляньте..
Максим Рябинин,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\МАКСИМ РЯБИНИН.136B8B62E17841B\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\PROGRAM FILES\ITVA\LOVIVKONTAKTE2\LVK2.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476327809CFFAF76DE53A3A8F908319233F50C333C165F9C00B68DA42B9E9CD3A725B727055DA5845F0885BAB0709A6FE 16 Program.Unwanted.276 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ITVA\LOVIVKONTAKTE2\UPDATER.EXE
addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B9D30513E021E8A2FD3EC4C3B1449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 Win32/Carberp

zoo %SystemDrive%\PROGRAM FILES\LOVIVKONTAKTE\UNINSTALLER.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 61 Win32/Boaxxe.BR [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\VKSAVER.DLL
del %Sys32%\VKSAVER.DLL

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\4.0.0.5166

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
Стас,
помимо шифратора в автозапуске еще и червь Conficker
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SFK\SSFK.EXE
addsgn 1A531A9A55834C720BD4C4A50C206247256260FD89FAF7F4EAC3C5B3E7261B4ECB45AE573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

zoo %Sys32%\KJVGJ.DLL
addsgn 729053925465C9B00AD4AED1DAC87205350742F63905E02F6ED3552CC046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 64 Conficker.AE

zoo %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PICEXA\PICEXA.EXE
addsgn 1A3DE49A5583338CF42BFB3A889E99702D0F0A829A714A740011B1B0DB9B61C9EA62DA64FE33144FC389949F467C5FA4F4EF007701DAB0A7EB29F9EC908DDC58 8 Win32/ELEX

addsgn 79132211B9E9317E0AA1AB59B3AD1205DAFFF47DC4EA942D892B2942AF292811E11BC3A80BFD7C483B7F91B72617597FBDABEA8D85B0A9C44111A42FAD074873 64 Win32/Toolbar.Linkury

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОСТЯ\LOCAL SETTINGS\APPLICATION DATA\TECHPLUGS\XWINCCSF\TKVT.DLL
addsgn 9AE465DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC25946818514B2219AF360E6C5FE00CA2461649FA7DDFE97255DAB02C2D77A42F91635007 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОСТЯ\LOCAL SETTINGS\TEMP\GETBYID.SCR
addsgn 1A35749A5583278FF42B254E3143FE84C9A2FFF689597784C5C34CB1342A314CAA02A3AB7E551454777CC49FCF2311063DDF614F0126F02C4BFBB1AF3B462215 8 Win32/ELEX

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОСТЯ\APPLICATION DATA\TSV\TSVR.EXE
addsgn 1A06CF9A5583338CF42B627DA804DEC9E946303ADEAC940CA1D34EF074C2FA30071B4896B5849E8F107EF2977DEE467815DCE8725A6095E42433A42EB401D1D7 8 Win32/ELEX

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EWDME\WDMAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.YOURSITES123.COM/?TYPE=SC&TS=1457942239&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=WPM0314&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

deldirex %SystemDrive%\PROGRAM FILES\XTAB

delref .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1427367626&FROM=WPM032632&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX&Q={SEARCHTERMS}

deldirex %SystemDrive%\PROGRAM FILES\WINZIPPER

delref HTTP:\\WWW.YOURSITES123.COM\?TYPE=SC&TS=1457942124&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=WPM0314&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1447407972&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=WPM07173&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

delref HTTP:\\WWW.YOURSITES123.COM\?TYPE=SC&TS=1449645419&Z=21E223B3F0C97DB3C281DA1G7ZCCAEFOZZJCKTMLMA&FROM=IENT07021&UID=HITACHIXHDS721050CLA362_JP1572JE0TRHLK0TRHLKX

regt 27
; Java(TM) 6 Update 21
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216021FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Здесь нам помогают, ответ для всех один, пришлите образ, сделайте скрипт, на расшифровку присылайте файлы. У меня вопрос: Кто-то присылал уже файлы, помогли ли с расшифровкой, если да, то - платно  это было или нет, сколько времени заняло и какое было количество файлов.
Цитата
Игорь Кузаков написал:
Здесь нам помогают, ответ для всех один, пришлите образ, сделайте скрипт, на расшифровку присылайте файлы. У меня вопрос: Кто-то присылал уже файлы, помогли ли с расшифровкой, если да, то - платно  это было или нет, сколько времени заняло и какое было количество файлов.
в техподдержке вам точно могут ответить есть расшифровка по данному шифратору или нет.
если вы не лицензионный пользователь ESET, то можете не беспокоиться по этому поводу.
(покупать лицензию только ради того, чтобы расшифровать файлы не стоит. Стоит прост задуматься о том почему вы попали под шифратор, и что можно сделать на будущее, чтобы избежать потери ваших данных.)
На форуме расшифровки по данному шифратору у нас нет.

судя по тому, как захламлены системы у некоторых пользователей здесь, неудивительно, что они еще и шифраторы получают в придачу.
Изменено: santy - 30.06.2017 11:49:19
Добрый день. Можете еще вот этот глянуть ? =(
Цитата
Стас Корниенков написал:
Добрый день. Можете еще вот этот глянуть ? =(
здесь по очистке выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref OZGBLWF.C

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\GULYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

следов шифратора нет.
Пред. 1 ... 11 12 13 14 15 ... 60 След.
Читают тему (гостей: 6)