файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 23 24 25 26 27 ... 60 След.

Сообщений: 3

Баллов: 1

Регистрация: 20.06.2016

Размещено 21.06.2016 05:58:52

santy, добрый день,

подскажите как удалить оставшиеся после работы шифровальшика файлы со "слишком длинным именем"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2016 10:18:12

Цитата
Александр Сычев написал: santy, добрый день, подскажите как удалить оставшиеся после работы шифровальшика файлы со "слишком длинным именем"

выделите все файлы с расширением *.da_vinci_code

и сделайте копию данных на отдельный носитель. возможно через год-два будет дешифратор или опубликуют ключи для расшифровки.
потом уже можно удалить из системы зашифрованные файлы.

Изменено: santy - 21.06.2016 10:19:46

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 20.06.2016

Размещено 21.06.2016 12:34:08

Резервная копия делается ежедневно. Вопрос как удалить теперь этот "мусор".

Win не дает это сделать пишет "слишком длинное имя".

Заранее благодарен.

Сообщений: 4

Баллов: 2

Регистрация: 22.06.2016

Размещено 22.06.2016 04:54:18

Уважаемый santy,
Поймали шифратор da_vinci_code , посмотрите пожалуйста образ системы
образ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.06.2016 05:38:28

Михаил Борисович,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=81321C3092FD4DF2E3020D1776E41AA8&TEXT={SEARCHTERMS} delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=81321C3092FD4DF2E3020D1776E41AA8&TEXT= delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE delref HTTP://WEBALTA.RU/SEARCH delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL deldirex %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\ROAMING\VOPACKAGE delref %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU deldirex %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE delref HTTP:\\SEARCHYACOM.RU delref HTTP:\\HOME.WEBALTA.RU\?START&S=676EE3EE ; Weatherbar exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet ; OpenAL exec C:\Program Files (x86)\OpenAL\openalweax.exe" /U REGT 28 REGT 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=81321C3092FD4DF2E3020D1776E41AA8&TEXT={SEARCHTERMS}

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=81321C3092FD4DF2E3020D1776E41AA8&TEXT=

delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

deldirex %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

delref HTTP:\\SEARCHYACOM.RU

delref HTTP:\\HOME.WEBALTA.RU\?START&S=676EE3EE

; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; OpenAL
exec  C:\Program Files (x86)\OpenAL\openalweax.exe" /U
REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 22.06.2016

Размещено 22.06.2016 06:25:54

Спасибо за помощь

Сообщений: 1

Регистрация: 23.06.2016

Размещено 23.06.2016 15:03:42

santy,Здравствуйте! Поймали da_vinci. Подскажите, пожалуйста действия для очистки системы.

Прикрепленные файлы

MICROSOF-82EAAA_2016-06-23_15-55-12.7z (369.11 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2016 16:25:11

МАксим,
по очистке системы выполните скрипт:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32] addsgn 1AA70A9A5583348CF42B254E3143FE86C9AA77B381AC48128D9A7B1C549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Spy.Delf.PWC [ESET-NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\BFDECDDAC.EXE zoo %SystemRoot%\BCIJEKE.EXE zoo %SystemRoot%\ETLCQUFZ.EXE zoo %SystemRoot%\FVPLTXFLJNH.EXE zoo %SystemRoot%\UFQBCCGML.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\BFDECDDAC.EXE addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE addsgn 9A8865DA5582BC8DF42BAEB164C81205158AFCF6E1FA1F78C5C3C5BCB261F4B4E12830129FB58F289D5BAA80461649FA7DDFE97255DAB02C2D77A42F8963521C 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC regt 28 regt 29 ; Java(TM) 6 Update 17 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32]

addsgn 1AA70A9A5583348CF42B254E3143FE86C9AA77B381AC48128D9A7B1C549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Spy.Delf.PWC [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\BFDECDDAC.EXE
zoo %SystemRoot%\BCIJEKE.EXE
zoo %SystemRoot%\ETLCQUFZ.EXE
zoo %SystemRoot%\FVPLTXFLJNH.EXE
zoo %SystemRoot%\UFQBCCGML.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\BFDECDDAC.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE
addsgn 9A8865DA5582BC8DF42BAEB164C81205158AFCF6E1FA1F78C5C3C5BCB261F4B4E12830129FB58F289D5BAA80461649FA7DDFE97255DAB02C2D77A42F8963521C 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

regt 28
regt 29
; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
помимо шифратора в систему были установлены различные шпионские программы,
поэтому обязательно поменяйте все возможные пароли от почты, сайтов.

по расшифровки не поможем.
+
добавьте для контроля новый образ автозапуска.

Изменено: santy - 23.06.2016 16:25:39

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 24.06.2016

Размещено 24.06.2016 12:15:43

Здравствуйте! Поймали da_vinci. Подскажите, пожалуйста действия для очистки системы.

Прикрепленные файлы

KOVALEVSKAYA-N_2016-06-24_11-46-55.7z (351.84 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.06.2016 15:11:18

Сергей Гордеев,

по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\WINDOWS\TEMP\2945843 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\WINDOWS\TEMP\7441833.EXE deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\КОВАЛЕВСКАЯ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKFECNPMGNLNBMIPAOGFHOACOIOIFJGKO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delhst 37.10.117.105 wap.odnoklassniki.ru my.mail.ru m.vk.com delhst 37.10.117.105 odnoklassniki.ru m.odnoklassniki.ru vk.com www.odnoklassniki.ru delhst 127.0.0.1 antiblock.ru anonim.do.am timp.ru o.vhodilka.ru nezayti.ru jelya.ru REGT 14 ; Java(TM) 6 Update 17 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\WINDOWS\TEMP\2945843 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\WINDOWS\TEMP\7441833.EXE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\КОВАЛЕВСКАЯ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKFECNPMGNLNBMIPAOGFHOACOIOIFJGKO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delhst 37.10.117.105 wap.odnoklassniki.ru my.mail.ru m.vk.com
delhst 37.10.117.105 odnoklassniki.ru m.odnoklassniki.ru vk.com www.odnoklassniki.ru
delhst 127.0.0.1 antiblock.ru anonim.do.am timp.ru o.vhodilka.ru nezayti.ru jelya.ru

REGT 14

; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов не поможем.
активных тел шифратора в системе сейчас нет, судя по образу автозапуска.

Изменено: santy - 24.06.2016 15:12:17

[ Как создать образ автозапуска? ]

Пред. 1 ... 23 24 25 26 27 ... 60 След.