Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
 
Роман Воробьёв
Роман Воробьёв
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.02.2016
Размещено 19.02.2016 08:53:05
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 54 55 56 57 58 ... 60 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.11.2016 15:10:31
Роман,
судя по образу файлы шифратора уже не активны,
(зато активен майнер)

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemRoot%\MINERD.EXE
addsgn A7659219B9728B762FD5AEB1643707F527C9FC1ED107E087154E719A50D6714C769E26D4D24D5A4D0F82849F46E95C0A7F9CE89A6D274FD3BDFA1009C7062273 17 Tool.BtcMine.130 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\ORBITUMUPDATER\ORBITUMUPDATER.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\ORBITUMUPDATER\ORBITUMUPDATER.EXE

delref %SystemRoot%\LIBCURL-4.DLL
del %SystemRoot%\LIBCURL-4.DLL

delref HTTP://MINE.POOL-X.EU:8337
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\124.14_0\SEARCH APP BY ASK V2
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.11_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE

delref HTTP://WWW.QIP.RU/
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
[ Как создать образ автозапуска? ]
 
Наталья Ланко
Наталья Ланко
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 08.11.2016
Размещено 08.11.2016 16:30:55
http://rgho.st/6yXpF6XV5
Образ автозагрузки из uVS
 
Наталья Ланко
Наталья Ланко
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 08.11.2016
Размещено 08.11.2016 16:33:01
Win 7 Pro 32
Nod Antivirus 8
EAV-0167545319
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.11.2016 18:35:48
Наталья,
судя по образу система уже очищена от тел шифратора.

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
[ Как создать образ автозапуска? ]
 
Romos
Romos
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 02.07.2014
Размещено 09.11.2016 10:56:58
santy, выполнил ваш скрипт. Из проблемм выявлено, что не возможно удалить или переустановить многие программы. Попытки переустановки из тех же дистрибутивов (не затронуты) безрезультатны, всегда появляется сообщение "прекращена работа программы...".
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.11.2016 11:32:33
Romos,
сделайте проверку целостности системы
sfc /scannow,

если не поможет,
пробуйте откатить систему на безопасную точку восстановления.
(если найдется такая).
[ Как создать образ автозапуска? ]
 
Альберт Жемерикин
Альберт Жемерикин
Пользователь
Сообщений: 1
Регистрация: 10.11.2016
Размещено 10.11.2016 09:58:32
вроде как написано сделал
образ автозагрузки
 
Romos
Romos
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 02.07.2014
Размещено 10.11.2016 10:36:54
santy, сканировал сразу после скрипта, не выявлено повреждений системных файлов. Ни образов, ни теневых копий нету, скорее всего повреждены или удалены... Что то ещё можно попробовать до переустановки винды?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 10:57:36
Romos,
да, теневые копии могли быть удалены шифратором.
можно попробовать восстановить работу через диск восстановления.
если не поможет, тогда придется переустановить систему.
Изменено: santy - 10.11.2016 10:58:11
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 11:04:15
Цитата
Альберт Жемерикин написал:
вроде как написано сделал
образ автозагрузки
Альберт,
шифратор уже неактивен в системе,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\SKYMONK2\SKYMONK2.EXE
addsgn 9252771A1C6AC1CC0B44584EA34FAA522F8ACF3FC13348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Filecoder.NBJ [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\SKYMONK2\UNINSTALL.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0F102783C5353CF265B3362753173E3D9CC92B807B8AF28609FA2820FDB2C79AB04625D43CC48006CA7E 64 Adware.Downware.2095 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE

delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS7\APPLICATION DATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.9_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\APPLICATION DATA\SWVUPDATER

regt 28
regt 29
; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 54 55 56 57 58 ... 60 След.
Читают тему