файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 8 9 10 11 12 ... 60 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.04.2016 11:31:16

Игорь,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218 delref %Sys32%\TSSK.SYS del %Sys32%\TSSK.SYS delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU delref %Sys32%\WTDNWBCMIXPQXV.EXE del %Sys32%\WTDNWBCMIXPQXV.EXE delref %Sys32%\ZKQOIYVTTVVO_L.EXE del %Sys32%\ZKQOIYVTTVVO_L.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=D9B7AF683D63847D1D5B9162C1EAB404&TEXT={SEARCHTERMS} deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\VOPACKAGE deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
delref %Sys32%\WTDNWBCMIXPQXV.EXE
del %Sys32%\WTDNWBCMIXPQXV.EXE

delref %Sys32%\ZKQOIYVTTVVO_L.EXE
del %Sys32%\ZKQOIYVTTVVO_L.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=D9B7AF683D63847D1D5B9162C1EAB404&TEXT={SEARCHTERMS}
deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

regt 28
regt 29
deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 02.04.2016

Размещено 02.04.2016 14:17:20

Доброго Времени суток, уважаемый модератор! На моём рабочем ноутбуке были зашифрованы файлы вирусом шифровальщиком, который был во вложенном письме и пришел через e-mail. Все файлы на диске С зашифрованы в файлы с расширением .BETTER_CALL_SAUL. Помогите, пожалуйста, с их расшифровкой и удалением вируса с моего компьютера.
Образ автозапуска прикладываю во вложении.

Прикрепленные файлы

SALEX-PC_2016-04-02_13-59-00.7z (531.01 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.04.2016 14:32:08

Алексей Геннадьевич,
выполните скрипт по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 v385c OFFSGNSAVE addsgn 1A57F89A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 Filecoder.ED zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EKBTION\SYMMON2.DLL delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EHTION\SYMMON2.DLL ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
addsgn 1A57F89A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 Filecoder.ED

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EKBTION\SYMMON2.DLL
delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EHTION\SYMMON2.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 30.06.2017 11:46:17

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 01.04.2016

Размещено 04.04.2016 08:46:40

Цитата
Денис Щелкунов написал: Здравствуйте. Нужна помощь в очистке системы. better_call_caul Образ автозапуска приложил

Прошу отписаться, возможно ли моём случае что-нибудь сделать. Лицензия на Нод есть.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.04.2016 09:18:14

Цитата

Денис Щелкунов написал:

Цитата
Денис Щелкунов написал: Здравствуйте. Нужна помощь в очистке системы. better_call_caul Образ автозапуска приложил

Прошу отписаться, возможно ли моём случае что-нибудь сделать. Лицензия на Нод есть.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\AXWORKS\C7D8DA30.EXE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref HTTP://SEARCH.QIP.RU deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; Java(TM) 6 Update 15 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\AXWORKS\C7D8DA30.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref HTTP://SEARCH.QIP.RU

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Java(TM) 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 12.01.2014

Размещено 04.04.2016 18:47:13

Здравствуйте уважаемые!! Выручайте, тоже подцепил эту заразу и некоторые нужные документы стали с расширением better_call_caul. Можете чем либо помочь, желательно с восстановлением документов? Образ прилагаю, Заранее спасибо!!!

Прикрепленные файлы

СВЕТА-ПК_2016-04-04_21-29-03.7z (703.24 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 04.04.2016 21:49:04

Андрей Беляков

" TNod User & Password Finder "
В связи с нарушением Лицензионного соглашения с компанией ESET ваше обращение не может быть рассмотрено.
Обратитесь за помощью на другой форум !

Сообщений: 5

Баллов: 2

Регистрация: 12.01.2014

Размещено 04.04.2016 22:09:16

Да, подстава, просто ноутбук перешел в мои руки от другого пользователя по службе, уверяли что все стоит лицензионное.Я в этом дуб дубом, как все это можно удалить? Буду признателен за помощь!! Понимаю, что нужно будет приобретать лицензию но не раньше чем через месяц, живем в такой ж... что доступ к цивилизации будет только после распутицы.Что посоветуете?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 04.04.2016 22:23:22

Андрей Беляков

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Сообщений: 5

Баллов: 2

Регистрация: 12.01.2014

Размещено 04.04.2016 22:29:24

Спасибо, что не проигнорировали!!!

Пред. 1 ... 8 9 10 11 12 ... 60 След.