santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.09.2016 04:45:28

Цитата
Dmitriy Egorov написал: Друзья, нужна помощь с da_vinci. Вчера словили. Буду очень признателен. http://rgho.st/7FSfWDrPZ

1. добавьте на форум несколько зашифрованных файлов в архиве.
2. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES\KMPLAYER\KMPLAYER.EXE chklst delvir deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\ROAMING\SWEET-PAGE deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=56626&HOMEPAGE=HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1415371354&FROM=COR&UID=ST500LM012XHN-M500MBB_S2RSJ9AC333701 delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1415371354&FROM=COR&UID=ST500LM012XHN-M500MBB_S2RSJ9AC333701 delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1415371354&FROM=COR&UID=ST500LM012XHN-M500MBB_S2RSJ9AC333701&Q={SEARCHTERMS} deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\KMPLAYER\KMPLAYER.EXE
chklst
delvir

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\ROAMING\SWEET-PAGE

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=56626&HOMEPAGE=HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1415371354&FROM=COR&UID=ST500LM012XHN-M500MBB_S2RSJ9AC333701

delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1415371354&FROM=COR&UID=ST500LM012XHN-M500MBB_S2RSJ9AC333701

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1415371354&FROM=COR&UID=ST500LM012XHN-M500MBB_S2RSJ9AC333701&Q={SEARCHTERMS}

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по расшифровке:
по расшифровке сохраните важные папки с документами на отдельный носитель, и ждите решения,

[ Как создать образ автозапуска? ]

Перейти

всплывающая реклама в нижнем правом углу, не могу найти причину

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.09.2016 15:29:48

синхронизация аккаунта в Гугле у вас включена? временно отключите ее.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением wnx, Winnix Cryptor

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.09.2016 15:24:37

да, сейчас смотрю.
по используемым ключам для шифрования немного позже отпишусь, надо сравнить ключи.
но так же прошу вас посмотреть папку Temp юзера, под которым было шифрование.
интересуют все файлы (js, bat, cmd, exe, vbs, и другие) которые там есть на момент шифрования.
так же можно отдельным архивом выслать. с каждой машины.
+
по второму и третьему компам (если есть), так же надо несколько зашифрованных файлов.
-------
по письмам повторю, что не похоже они на ваш шифратор, там скорее всего задействовано распространение другого шифратора. Locky

Изменено: santy - 12.09.2016 15:27:30

[ Как создать образ автозапуска? ]

Перейти

всплывающая реклама в нижнем правом углу, не могу найти причину

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.09.2016 14:58:51

возможно, левое расширение маскируется под расширение от Гугл

[ Как создать образ автозапуска? ]

Перейти

всплывающая реклама в нижнем правом углу, не могу найти причину

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2016 15:06:29

в мбам оставьте все как есть, закройте программу.

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2016 15:03:10

@timhelmet,
по заставке на рабочем столе надо просто поменять на другую. расшифровки пока нет. ждем до лучших времен.

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением wnx, Winnix Cryptor

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2016 12:42:27

по содержимому записки о выкупе:

Цитата
Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key. The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure. In order to decrypt the files send your bitcoins to the following address: 13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by

Цитата

Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.

The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.

In order to decrypt the files send your bitcoins to the following address:

13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by

интересно, что на указанный адрес в записке о выкупе уже был перевод
https://blockchain.info/ru/tx/6b899479e68e30955e4f3b2f79aecc3ac92ca1f527bd9d13ad7544016d99ab0d
Время поступления 2016-06-30 10:26:06

Цитата
1FibYnphZhNn5Yed1rY6cRkNJjNE2sFFoD 1Fq1XiGdJizDfJ25yqyGWbaFmx7G1zPkRH 0.0498757 BTC 13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by 2.05 BTC

Изменено: santy - 10.09.2016 01:18:48

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2016 12:08:01

@timhelmet,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A06369A5583348CF42B627DA804DE8E69AEF80148F91F7885B7E1365155B04DA7D7B719C9949E492B80F170431649FA7D524C5655DAB02CA0D3802FC70622F8 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DAOVL\LINCX.SDP delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\APPLICATION DATA\HFWTLKR.EXE delref %SystemRoot%\URIFAYK.EXE delref 51.EXE delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] ; Java(TM) 6 Update 20 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A06369A5583348CF42B627DA804DE8E69AEF80148F91F7885B7E1365155B04DA7D7B719C9949E492B80F170431649FA7D524C5655DAB02CA0D3802FC70622F8 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\DAOVL\LINCX.SDP

delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE.NT AUTHORITY\APPLICATION DATA\HFWTLKR.EXE

delref %SystemRoot%\URIFAYK.EXE

delref 51.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

; Java(TM) 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке сохраните важные папки с документами на отдельный носитель, и ждите решения, когда оно наступит.
+
добавьте несколько зашифрованных файлов в архиве на форум в ваше сообщение.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.09.2016 16:44:57

да, если скрипт был выполнен успешно,
то файлы шифратора удалены из автозапуска и из системы, поэтому можно продолжать работать с системой

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.09.2016 16:06:36

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32] addsgn 9AB84EDA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC302F2E26DDD5F512B0D1E2E65843C3D8461649FA7DDFE97255DA900C0D3FC146AF54530A 8 da_vinci_code zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\USERS\ОЛЬГА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D0278DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127ECC35572B4 8 Win32/Filecoder.ED

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32]

addsgn 9AB84EDA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC302F2E26DDD5F512B0D1E2E65843C3D8461649FA7DDFE97255DA900C0D3FC146AF54530A 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\ОЛЬГА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти