Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 12 13 14 15 16 ... 60 След.
Спасибо. Замечательно. Установлен ваш антивирус с лицензией. Как можно таким же образом проверить все компьютеры? Каким образом работает шифратор? По какому алгоритму может известно что то?
работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов  на дисках :)
по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.

тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
https://forum.esetnod32.ru/forum6/
Изменено: santy - 30.06.2017 11:50:15
Цитата
santy написал:
работает или нет данный шифратор вы можете увидеть по наличию зашифрованных файлов  на дисках
по наличию в памяти вот такого процесса csrss.exe, запущенного от имени учетной записи пользователя.
по наличию в автозапуске такой записи:
HKEY_USERS\S-1-5-21-1993962763-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

но алгоритм может быть такой.
запуститься и шифровать может файл с любым именем, и висеть в памяти, но свою копию он создает в виде CSRSS.EXE
и прописывает ее в автозапуск, на тот случай если будет перезагрузка, и шифрование еще не завершилось.

тело шифратора запускаться может либо из внедренного в офисный документ объекта,
либо скачиваться из сети после запуска js. js как правило прилетает из почты в архивном вложении.
----------
если нужно проверить компы, зайдите в тему обнаружение вредоносного кода
https://forum.esetnod32.ru/forum6/
Спасибо. Буду иметь ввиду. А как нибудь можно расшифровать данные с другого компа где не был установлен антивирус?:( Техпод не отвечает что то. Компьютер тот изолировал. Жду решения.
насколько я знаю, решения с расшифровкой по better_call_saul нет у вирлабов.
есть решение у прокладочных сервисов, которые выкупают ключи для пострадавших у мошенников, и предлагают его как свое решение по расшифровке, но дорого.
Изменено: santy - 30.06.2017 11:50:15
После выполнения рекомендованных действий файлы так и остались с расширением better_call_saul. Процесс csrss.exe также присутствует в диспетчере задач
Цитата
Максим Рябинин написал:
После выполнения рекомендованных действий файлы так и остались с расширением better_call_saul. Процесс csrss.exe также присутствует в диспетчере задач
csrss.exe - это системный и легальный процесс, если запущен из system32. обратите внимание на полный путь этого файла.
Расшифровка файлов - это отдельный процесс. Скрипт выполняет только очистку системы от вредоносных файлов.
Изменено: santy - 30.06.2017 11:50:15
Здравствуйте. Словили вирус шифратор - создает файлы .better_call_soul

Прикрепляю архив автозагрузки
Olga Glazunova,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\GASCONTROL05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

с расшифровкой не поможем.
Изменено: santy - 30.06.2017 11:50:16
Отмечусь в теме, быть может когда-нибудь появится расшифровка.

Пользователь своими ручками запустил шифрование. Итого - 6024 файла "ожидают звонка Солу". Шифрация длилась 5 минут до перезагрузки и минуту после. Зловред Себя зачистил, но "тушка" благополучно попала в точку восстановления откуда и отправилась на VT, Мой скан.
Интересно то, что в "System Volume Information" шифратор попал в 15:02, а злодеяние начал в 15:13 - время первых шифрованных файлов. Чего-то выжидал?
Николай, по опыту тестирования Ransom.Shade/xtbl/b_b/b_c_s наблюдал, что шифрование действительно не сразу выполняется после запуска тела шифратора.
возможно какое то время идет обмен с сервером, и только после получения ключей запускается шифрование.
Изменено: santy - 30.06.2017 11:50:16
Пред. 1 ... 12 13 14 15 16 ... 60 След.
Читают тему