файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 49 50 51 52 53 ... 60 След.

Сообщений: 1

Регистрация: 28.10.2016

Размещено 28.10.2016 22:30:06

santy у меня та же ситуация с файлами da_vinci_code можно и мне помочь? образ диска уже создаю!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.10.2016 08:29:57

Цитата
Юра Самсоненко написал: santy у меня та же ситуация с файлами da_vinci_code можно и мне помочь? образ диска уже создаю!

Юрий,
ничего не перепутайте.
нужен не образ диска, а образ автозапуска системы.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 30.10.2016

Размещено 30.10.2016 13:01:36

Здравствуйте! Вчера пришел вирусный файл по почте, по ошибке запустила и закодировались все данные на компьютере вирусом "код-да-винчи". Как быть и что делать, чтобы очистить компьютер от вируса и восстановить мои данные?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.10.2016 15:02:13

Наталья,
добавьте образ автозапуска из зашифрованной системы,
можно из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 30.10.2016

Размещено 30.10.2016 15:47:54

Сбрасываю образ

Прикрепленные файлы

HOME-ПК_2016-10-30_15-41-33.7z (599.11 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.10.2016 16:08:36

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.10.2016

Размещено 31.10.2016 10:52:04

Добрый день.

Так же попался на удочку Хакеров. Посмотрите, пожалуйста, что можно сделать.

Образ автозапуска и один из зашифрованных файлов в архиве, во вложении.

Прикрепленные файлы

ALEXANDR_2016-10-31_10-13-37.rar (506.2 КБ)
c6GLLPy2exwG6lJR6fUD7ZsAe8qEBfJv03TgMdjPCc8=.365B864E31DD31E1F08B.rar (80.23 КБ)

Изменено: Александр Иванов - 31.10.2016 10:52:53

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.10.2016 11:02:26

Александр Иванов,
активности шифратора в настоящее время нет.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1403616294&FROM=COR&UID=WDCXWD1200JS-00MHB0_WD-WCANM507224172241 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1403616294&FROM=COR&UID=WDCXWD1200JS-00MHB0_WD-WCANM507224172241&Q={SEARCHTERMS} regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1403616294&FROM=COR&UID=WDCXWD1200JS-00MHB0_WD-WCANM507224172241

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1403616294&FROM=COR&UID=WDCXWD1200JS-00MHB0_WD-WCANM507224172241&Q={SEARCHTERMS}

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 31.10.2016

Размещено 31.10.2016 12:15:53

Спасибо, после вируса перестал запускаться OUTLOOK 2003

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.10.2016 13:01:15

возможно, некоторые из файлов оутлука зашифровались, а возможно и почтовая база.

[ Как создать образ автозапуска? ]

Пред. 1 ... 49 50 51 52 53 ... 60 След.