Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 13 14 15 16 17 ... 60 След.
Здравствуйте!
Наша организация на протяжении долгого времени пользуемся антивирусным ПО компании Eset и всё всегда было благополучно, однако вчера на одном из компьютеров по ошибке пользователя был выполнен вредоносный скрипт, который зашифровал некоторые типы файлов, присвоив зашифрованному файлу суффикс better_call_saul , а также оставил после себя файл README.TXT* со следующей полезной информацией:

“Чтобы расшифровать их, Вам необходимо отправить код:
91DAD88F085ECF17FC46|0
на электронный адрес [email protected]

По ссылкам ниже доступны 2 вложения – результат сбора информации об автозапуске и zip-архив с зашифрованными файлами JPEG (из каталога с фотографиями) для тестирования дешифратора. Сам зловред жив, т.к. я заметил предупреждение антивируса о подходящем классе угрозы при входе в систему.
http://rghost.ru/private/8Tt996h5C/257c4c1ba9a7ea197a2b7f90d7223963
http://rghost.ru/private/7bDgHFKMx/0ae810e14b6ac4ca2a9bd6621169e5e5

Будет очень здорово, если вашей команде удастся сделать средство дешифровки.
Спасибо.

PS: Подобное письмо с указанием наименования организации и идентификатором лицензии отправил на [email protected]
шифратор все еще в автозапуске

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1AFD729A55837A8FF42B624E41D07345250103A30216E93D8DC19237A9A2541A4BE1F0173ED8EAB5D4B6EE9311FE91FF7DDF1E375DDBC42B7B9F0FD338F97BF8 8 Ransom.Shade.better_call_saul

;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}W64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJ...

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Изменено: santy - 30.06.2017 11:51:14
Вирус зашифровал файлы, файоы стали better_call_saul
нет расшифровки по better_call_saul
--------
если нужна помощь в очистке системы, добавьте образ автозапуска системы
Изменено: santy - 30.06.2017 11:51:14
нет расшифровки по better_call_saul , добавляю автозапуск системы, надеюсь на помощь
Евгений,
выполните очистку системы, тело шифратора до сих пор в автозапуске


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A966A9A5583348CF42B254E32A2136D011AB2F6020BF7359BC3C57B569E350E239C0509FD929C016FC28476F40849FAF620BDF9B98C3BDDEA71EC6B8506CAEC 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGFIMGICDOMB...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\USERS\JK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\JK\APPDATA\LOCAL\KOMETA\PANEL

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Скажите а как можно найти на почте то письмо, с каким пришёл вирус?
Евгений,
смотрите по дате шифрования. в этом случае можно предположить что письмо было запущено сотрудником именно в этот  день, или на следующий.
такое письмо содержит вложенный архив, внутри которого содержится js
(иногда вкладывают js и без архива)
текст письма как правило акцентирует сотрудника на задолженности его компании за что -либо, которую надо срочно погасить.
Изменено: santy - 30.06.2017 11:51:14
Нету ни в одном письме файла js((((  
Выполнил скрипт прикладываю образ автозапуска. Подскажите пожалуйста какие дальнейшие действия? Как удалить вирус и чтобы он не попал в сеть. DrWeb и касперский показывают всё чисто, пользуюсь бесплатными версиями. И стоит ли проверять uvs-ом он находит подозрительные файлы. Заранее спасибо!
Пред. 1 ... 13 14 15 16 17 ... 60 След.
Читают тему