файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 22 23 24 25 26 ... 60 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.06.2016 17:01:39

проверьте этот файл на http://virustotal.com
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Service

Изменено: santy - 07.06.2016 17:03:21

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 14.09.2015

Размещено 07.06.2016 17:02:13

Цитата
santy написал: ERA похоже модифицированный C:\PROGRAM FILES (X86)\ESET\ESET REMOTE ADMINISTRATOR\SERVER\ERA.EXE

Да, был модифицирован очень давно и не используется.

Сообщений: 7

Баллов: 3

Регистрация: 14.09.2015

Размещено 07.06.2016 17:09:41

Цитата
santy написал: проверьте этот файл на http://virustotal.com C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE скорее всего одно из оставшихся тел шифратора da_vinci_code, тем более в автозапуске HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Windows Service

Цитата

santy написал:
проверьте этот файл на http://virustotal.com
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Windows Service

ничего не нашлось
Журнал
Журнал проверки
Версия базы данных сигнатур вирусов: 13609 (20160607)
Дaтa: 07.06.2016 Время: 17:04:53
Просканированные диски, папки и файлы: C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
Количество просканированных объектов: 1
Количество обнаруженных угроз: 0
Время выполнения: 17:04:54 Общее время проверки: 1 сек. (00:00:01)

вирустотал - Показатель выявления: 1/56
Но по времени совпадает с началом инфицирования.

Ни в msconfig ни в автозагрузке All users нет ничего похожего umtfpxrmq и эту ветвь не видно HKLM\umtfpxrmq\

+eset for FS постоянно блокирует рандомные URL раз в 10 мин. источником показывает процесс юзергейта, айпи назначения - показывает. 107.180.*

Изменено: Михаил Хромых - 07.06.2016 17:15:16

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.06.2016 17:16:56

добавьте пожалуйста линк проверки на вирустотале по этому файлу

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.06.2016 17:21:44

+
добавьте этот файл в архив с паролем infected
C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
и вышлите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 14.09.2015

Размещено 07.06.2016 20:20:16

Цитата
santy написал: + добавьте этот файл в архив с паролем infected C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe и вышлите в почту [email protected]

отправлено

Сообщений: 7

Баллов: 3

Регистрация: 14.09.2015

Размещено 07.06.2016 20:21:43

Цитата
santy написал: добавьте пожалуйста линк проверки на вирустотале по этому файлу

https://virustotal.com/ru/file/cf27845106efb4427c4c48c265dfd1591e1ed7a05f40f856c209406e11f12f7b/anal...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.06.2016 20:28:42

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SLIMDRIVERS\SLIMDRIVERS.EXE delref 222.74.34.190:8080 regt 1 regt 2 regt 28 regt 29 ; Java(TM) 6 Update 3 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet ; Java(TM) 6 Update 7 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SLIMDRIVERS\SLIMDRIVERS.EXE

delref 222.74.34.190:8080

regt 1
regt 2
regt 28
regt 29
; Java(TM) 6 Update 3
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
; Java(TM) 6 Update 7
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 20.06.2016

Размещено 20.06.2016 14:19:52

Уважаемый santy,

Удалось отключить ДаВинчи в процессе его "работы",
пока опасаюсь вставлять флэшку. Проверьте образ автозапуска

Прикрепленные файлы

DNS_2016-06-20_15-35-22.7z (783.34 КБ)

Изменено: Александр Сычев - 20.06.2016 14:20:36

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.06.2016 18:48:32

Александр Сычев,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 OFFSGNSAVE zoo %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0 delref %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\USERS\ДНС\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0

delref %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ДНС\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Пред. 1 ... 22 23 24 25 26 ... 60 След.