Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS
 
Роман Воробьёв
Роман Воробьёв
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.02.2016
Размещено 19.02.2016 08:53:05
Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 42 43 44 45 46 ... 60 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.10.2016 04:33:36
Цитата
mike 1 написал:
Цитата
 AD Wizard  написал:
Цитата
 santy  написал:
по расшифровке документов пишите в   [email protected]   при наличие лицензии на антивирус ESET
а что, появился дешифратор?
Нет запроса - нет проблемы, нет проблемы - нет и дешифратора.
mike_1 все верно пишет. Есть лицензия на антивирус, пишите запрос в техподдержку по расшифровке в любом случае. Нет на сегодня решения по расшифровке, это не значит, что вирлаб будет сидеть сложа руки. Будет поиск решения в любом случае.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.10.2016 04:39:20
Цитата
Ирина Черных написал:
ПОдхватили вирус da vinchi - файлы закодированы

Образ автозапуска  http://rgho.st/7j7rH2ZPD

Подскажите что делать и код
Ирина, система уже очищена от тел шифратора.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.10.2016 04:58:28
Цитата
Ilya Khokhlov написал:
Глупо поймал по почте тоже "da_vinci_code". Просканировал и что-то поудалял SpyHunter 4, но очевидных изменений не вижу.

Буду благодарен за помощь и советы.
1. проверьте этот файл на http://virustotal.com
C:\WINDOWS\SQ931STI.EXE

2. файлов шифратора уже нет в системе.

3. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget

;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{1D5278C0-5E47-4A57-87FF-5E83DF3907DA}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\USERS\ILYA\APPDATA\ROAMING\BROWSER EXTENSIONS

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOPAKAGNCKMLGAJFCCECAJHNIMJIIEDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC

delref %Sys32%\DRIVERS\{587CB346-A3D8-4884-B39B-F0ED918B6F96}GW64.SYS

del %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\XPOM\CHROME.BAT

del %SystemDrive%\IEXPLORE.BAT

del %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\GOOGLE\CHROME\CHROME.BAT

del %SystemDrive%\AEROSOFT\LAUNCHER\AEROSOFTLAUNCHER.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\00_TITLE_AND_MENUS_747_400_V20.BAT

delref HTTP:\\HISAERCHE.RU

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\01_TAKEOFF_DATA_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\02_CRUISE_AND_FUEL_PLANNING_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\03_LANDING_PERFORMANCE_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\04_LIMITATIONS_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\05_NORMAL_PROCEDURES_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\06_ABNORMAL_PROCEDURES_QRH_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\07_COCKPIT_OVERVIEW_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\08_AUTPILOT_FLIGHT_DIRECTOR_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\09_FLIGHT_TECHNIQUES_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\10_PROCEDURES_PROFILES_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\11_AIRCRAFT_SYSTEMS_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\12_FMC_USERS_GUIDE_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\PMDG_747_400_CHECKLIST.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\CHAPTER_00_747-8_DIFFERENCES.BAT

del %SystemDrive%\PROGRAM FILES (X86)\PROXY SWITCHER STANDARD\FIREFOX.BAT

del %SystemDrive%\GAMES\WORLD_OF_TANKS\WOTLAUNCHER.BAT

del %SystemDrive%\GAMES\WORLD_OF_WARPLANES\WOWPLAUNCHER.BAT

regt 28
regt 29
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
4.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
Виктор Сыров
Виктор Сыров
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 17.08.2016
Размещено 14.10.2016 09:56:15
Здравствуйте!
Нужна помощь. Подхватили da_vinci_code
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 14.10.2016 10:45:05
Виктор,
активности шифратора уже нет, хотя остались еще в системе файлики шифратора.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Ransom:Win32/Troldesh.A [Microsoft]

zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMINGKES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\SKYMONK2

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке:

4.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
 
Ilya Khokhlov
Ilya Khokhlov
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 13.10.2016
Размещено 14.10.2016 21:52:39
Цитата
santy написал:
Цитата
 Ilya Khokhlov  написал:
Глупо поймал по почте тоже "da_vinci_code". Просканировал и что-то поудалял SpyHunter 4, но очевидных изменений не вижу.

Буду благодарен за помощь и советы.
1. проверьте этот файл на  http://virustotal.com
C:\WINDOWS\SQ931STI.EXE

2. файлов шифратора уже нет в системе.

3. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE][/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
4.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
Santy, спасибо за рекомендации. Проверил файл SQ931STI.EXE, пишет "похоже файл незаразный".
Выполнил скрипт (лог прицепил), не совсем, правда, понимаю чего там хорошего или плохого..
Пробовал запустить ShadowExplorer, но он не видит диски мои почему-то.. :cry:
Лицензии на ESET, к сожалению нет, я уже пенсионер и сами понимаете, финансовые возможности мои ограничены..

В любом случае буду благодарен за какие-либо дополнительные рекомендации.

P.S. Для информации,- отправил "шифровальщикам" письмо с их кодом и получил такой ответ:

Стоимость дешифровки 22000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл,
никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).
В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.
Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы
Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.
И помните пожалуйста, что цена каждый день растет.

С уважением,

Илья
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.10.2016 03:46:40
Цитата
Ilya Khokhlov написал:
Лицензии на ESET, к сожалению нет, я уже пенсионер и сами понимаете, финансовые возможности мои ограничены..
Илья,
надо просто сопоставить риски и затраты:
потратить 1-1,5 тыс в год на лицензию и получить безопасность вашей системы и данных.
потратить 0рублей на безопасность и получить счет на 22 000рублей за восстановление ваших данных.
[ Как создать образ автозапуска? ]
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 15.10.2016 11:45:34
Цитата
Пробовал запустить ShadowExplorer, но он не видит диски мои почему-то..
Потому что шифровальщик вам удалил теневые копии. Еще один повод не сидеть под учетной записью Администратора.  
Михаил
 
Константин Соболев
Константин Соболев
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.09.2015
Размещено 17.10.2016 12:22:26
Здравствуйте. Очередная подшефная контора поймала шифровальщика.
Образ автозапуска http://rgho.st/85PdvCfGx
И в %temp% бала найдена папка с какими-то ключами. На всякий случай прикрепляю.
http://rgho.st/7rHpvv9P9
 
Semen Sherstnev
Semen Sherstnev
Пользователь
Сообщений: 1
Регистрация: 28.09.2015
Размещено 17.10.2016 12:33:02
Здравствуйте!
Тоже нарвались на da_vinci
http://rgho.st/8trKfKV2B
 
Пред. 1 ... 42 43 44 45 46 ... 60 След.
Читают тему