Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 26 27 28 29 30 ... 60 След.
readme*.txt возможно остался в карантинах антивируса.
в данном случае важен код (id), который требуется отослать в почту мошенников.
судя по предыдущим шифраторам xtbl/breaking_bad - он хранится в базе, и по нему выдается приватный ключ для расшифровки данных.
(этот код так же есть в самом имени зашифрованного файла.)
Изменено: santy - 06.08.2016 10:15:54
Здравствуйте.
Вчера 2 коллег подхватили это чудо, NOD32 ничего не предпринимал до последнего, но потом, когда стали создаваться readme.txt он их благополучно поудалял. readme.txt также были созданы в файловом хранилище, подключенном к этому ПК, но файлы в хранилище не шифровались (возможно просто не успели). Хотелось бы унать, остались ли следы вируса и потенциальная опасность. Образы автозагрузки с обоих ПК прилагаю.
http://rgho.st/6Syyw4Rtj - ПК1
http://rgho.st/8GzZNDrDW - ПК2
Также хотелось бы узнать, если потенциальная возможность расшифровки или восстановления файлов?
Заранее спасибо за помощь.
Илья,
активных тел шифратора уже нет.
по ПК2 выполните очистку

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке если есть важные файлы, и нет копий, сохраните зашифрованные файлы до лучших времен.
на отдельный носитель.
возможно они наступят.
Изменено: santy - 11.08.2016 15:11:49
Добрый день, дайте совет что делать, недавно позвонили мне сказали что письмо открыли с зип вложением, и после этого компьютер стал притормаживать, ну я понял что это шифровальщик, ну и на рабочем столе естественно файлы стали меняться, после заражения ноут еще примерно два часа работал, ну конечно я сказал вырубить ноутбук, так вот скажите если в безопасном режиме загрузиться можно ли спасти не зараженные файлы? не будет ли вирус работать в таком режиме, и где сам вирус искать? что бы удалить
Изменено: Руслан Саликов - 12.08.2016 11:18:03
Руслан,
какой у вас тип шифрования?
можно загрузиться с Winpe и проверить систему, или создать образ автозапуска
http://forum.esetnod32.ru/forum27/topic2102/
Изменено: santy - 12.08.2016 11:18:03
DA_VINCL_CODE
Руслан,
если необходима помощь в очистке системы,
добавьте образ автозапуска: из безопасного режима системы или из под winpe
запустил скрипт что то обрабатывает, я так понял вирус удаляет, не понял только что за образ автозапуска
Руслан,
нужен как раз образ автозапуска.
как создать его смотрим здесь
если делаете из под winpe, тогда по этой инструкции
http://forum.esetnod32.ru/forum9/topic2687/

если - из безопасного режима, тогд по этой
http://forum.esetnod32.ru/forum9/topic2687/

скрипт будет только после анализа образа автозапуска,
чужие скрипты выполнять не рекомендуем
Поймал да винчи код помогите вытереть пожалуйста! а действительно ли не существует дешифратора номального?

ВОВА-ПК_2016-08-12_21-40-49
Пред. 1 ... 26 27 28 29 30 ... 60 След.
Читают тему