Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 22 23 24 25 26 ... 60 След.
проверьте этот файл на http://virustotal.com
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run­\Microsoft Windows Service
Изменено: santy - 07.06.2016 17:03:21
Цитата
santy написал:
ERA похоже модифицированный
C:\PROGRAM FILES (X86)\ESET\ESET REMOTE ADMINISTRATOR\SERVER\ERA.EXE
Да, был модифицирован очень давно  и не используется.
Цитата
santy написал:
проверьте этот файл на  http://virustotal.com
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run­ ­\Microsoft Windows Service
ничего не нашлось
Журнал
Журнал проверки
Версия базы данных сигнатур вирусов: 13609 (20160607)
Дaтa: 07.06.2016  Время: 17:04:53
Просканированные диски, папки и файлы: C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
Количество просканированных объектов: 1
Количество обнаруженных угроз: 0
Время выполнения: 17:04:54  Общее время проверки: 1 сек. (00:00:01)

вирустотал - Показатель выявления:            1/56    
Но по времени совпадает с началом инфицирования.


Ни в msconfig ни в автозагрузке All users нет ничего похожего umtfpxrmq и эту ветвь не видно HKLM\umtfpxrmq\

+eset for FS постоянно блокирует рандомные URL раз в 10 мин. источником показывает процесс юзергейта, айпи назначения - показывает. 107.180.*
Изменено: Михаил Хромых - 07.06.2016 17:15:16
добавьте пожалуйста линк проверки на вирустотале по этому файлу
+
добавьте этот файл в архив с паролем infected
C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
и вышлите в почту [email protected]
Цитата
santy написал:
+
добавьте этот файл в архив с паролем infected
C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
и вышлите в почту [email protected]
отправлено
Цитата
santy написал:
добавьте пожалуйста линк проверки на вирустотале по этому файлу
https://virustotal.com/ru/file/cf27845106efb4427c4c48c265dfd1591e1ed7a05f40f856­c209406e11f12f7b/anal...
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SLIMDRIVERS\SLIMDRIVERS.EXE

delref 222.74.34.190:8080

regt 1
regt 2
regt 28
regt 29
; Java(TM) 6 Update 3
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
; Java(TM) 6 Update 7
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Уважаемый santy,

Удалось отключить ДаВинчи в процессе его "работы",
пока опасаюсь вставлять флэшку. Проверьте образ автозапуска
Изменено: Александр Сычев - 20.06.2016 14:20:36
Александр Сычев,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0

delref %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ДНС\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Пред. 1 ... 22 23 24 25 26 ... 60 След.
Читают тему