файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 13 14 15 16 17 ... 60 След.

Сообщений: 1

Регистрация: 12.04.2016

Размещено 13.04.2016 11:20:41

Здравствуйте!
Наша организация на протяжении долгого времени пользуемся антивирусным ПО компании Eset и всё всегда было благополучно, однако вчера на одном из компьютеров по ошибке пользователя был выполнен вредоносный скрипт, который зашифровал некоторые типы файлов, присвоив зашифрованному файлу суффикс better_call_saul , а также оставил после себя файл README.TXT* со следующей полезной информацией:

“Чтобы расшифровать их, Вам необходимо отправить код:
91DAD88F085ECF17FC46|0
на электронный адрес [email protected]”

По ссылкам ниже доступны 2 вложения – результат сбора информации об автозапуске и zip-архив с зашифрованными файлами JPEG (из каталога с фотографиями) для тестирования дешифратора. Сам зловред жив, т.к. я заметил предупреждение антивируса о подходящем классе угрозы при входе в систему.
http://rghost.ru/private/8Tt996h5C/257c4c1ba9a7ea197a2b7f90d7223963
http://rghost.ru/private/7bDgHFKMx/0ae810e14b6ac4ca2a9bd6621169e5e5

Будет очень здорово, если вашей команде удастся сделать средство дешифровки.
Спасибо.

PS: Подобное письмо с указанием наименования организации и идентификатором лицензии отправил на [email protected]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.04.2016 12:01:20

шифратор все еще в автозапуске

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn 1AFD729A55837A8FF42B624E41D07345250103A30216E93D8DC19237A9A2541A4BE1F0173ED8EAB5D4B6EE9311FE91FF7DDF1E375DDBC42B7B9F0FD338F97BF8 8 Ransom.Shade.better_call_saul ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}W64.SYS deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJ... regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1AFD729A55837A8FF42B624E41D07345250103A30216E93D8DC19237A9A2541A4BE1F0173ED8EAB5D4B6EE9311FE91FF7DDF1E375DDBC42B7B9F0FD338F97BF8 8 Ransom.Shade.better_call_saul

;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}W64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJ...

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 30.06.2017 11:51:14

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.04.2016

Размещено 15.04.2016 10:20:20

Вирус зашифровал файлы, файоы стали better_call_saul

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.04.2016 10:24:36

нет расшифровки по better_call_saul
--------
если нужна помощь в очистке системы, добавьте образ автозапуска системы

Изменено: santy - 30.06.2017 11:51:14

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.04.2016

Размещено 15.04.2016 11:51:02

нет расшифровки по better_call_saul , добавляю автозапуск системы, надеюсь на помощь

Прикрепленные файлы

U20-LUBIMOVA_2016-04-15_08-25-54.TXT (9.73 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.04.2016 12:08:41

Евгений,
выполните очистку системы, тело шифратора до сих пор в автозапуске

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 1A966A9A5583348CF42B254E32A2136D011AB2F6020BF7359BC3C57B569E350E239C0509FD929C016FC28476F40849FAF620BDF9B98C3BDDEA71EC6B8506CAEC 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGFIMGICDOMB... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCC... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD... delref %SystemDrive%\USERS\JK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\KOMETA\PANEL deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A966A9A5583348CF42B254E32A2136D011AB2F6020BF7359BC3C57B569E350E239C0509FD929C016FC28476F40849FAF620BDF9B98C3BDDEA71EC6B8506CAEC 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGFIMGICDOMB...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\JK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\KOMETA\PANEL

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.04.2016

Размещено 15.04.2016 12:14:36

Скажите а как можно найти на почте то письмо, с каким пришёл вирус?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.04.2016 12:19:26

Евгений,
смотрите по дате шифрования. в этом случае можно предположить что письмо было запущено сотрудником именно в этот день, или на следующий.
такое письмо содержит вложенный архив, внутри которого содержится js
(иногда вкладывают js и без архива)
текст письма как правило акцентирует сотрудника на задолженности его компании за что -либо, которую надо срочно погасить.

Изменено: santy - 30.06.2017 11:51:14

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 15.04.2016

Размещено 15.04.2016 12:32:52

Нету ни в одном письме файла js((((

Сообщений: 6

Баллов: 3

Регистрация: 15.04.2016

Размещено 15.04.2016 13:48:14

Выполнил скрипт прикладываю образ автозапуска. Подскажите пожалуйста какие дальнейшие действия? Как удалить вирус и чтобы он не попал в сеть. DrWeb и касперский показывают всё чисто, пользуюсь бесплатными версиями. И стоит ли проверять uvs-ом он находит подозрительные файлы. Заранее спасибо!

Прикрепленные файлы

U20-LUBIMOVA_2016-04-15_10-31-47.TXT (9.59 МБ)

Пред. 1 ... 13 14 15 16 17 ... 60 След.