Размещено 25.05.2016 09:51:23
Евгений, напишите в почту [URL=mailto:[email protected]][email protected][/URL]
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
Размещено 25.05.2016 09:20:37
ок, сейчас проверю. напишу результат.
[QUOTE]---------------------------
Decryption key found
---------------------------
The decrypter detected the following encryption details to be a match for the given file:
Key : EE836048557E2F8177B79AA753F2269B
Encryption Rounds: 48
Start Offset: 34
Encryption Limit: 1184532
Algorithm: TEA
Please keep in mind that there is a slight chance that this key might be wrong. We suggest trying decrypting a few files first to check whether it is working correctly.
---------------------------
ОК
---------------------------[/QUOTE]
[QUOTE]---------------------------
Decryption key found
---------------------------
The decrypter detected the following encryption details to be a match for the given file:
Key : EE836048557E2F8177B79AA753F2269B
Encryption Rounds: 48
Start Offset: 34
Encryption Limit: 1184532
Algorithm: TEA
Please keep in mind that there is a slight chance that this key might be wrong. We suggest trying decrypting a few files first to check whether it is working correctly.
---------------------------
ОК
---------------------------[/QUOTE]
Изменено: santy - 08.11.2017 05:51:45
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 24.05.2016 18:04:49
Zone Kaksam,
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA020CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC5055
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
hide %SystemDrive%\PROGRAM FILES\HD2016\UNINST.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref 0HTTP://STUPDATES.COM/HEW3HM/YUS.PAC
delref HTTP://STUPDATES.COM/HEW3HM/YUS.PAC
regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
с расшифровкой не поможем.
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA020CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC5055
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
hide %SystemDrive%\PROGRAM FILES\HD2016\UNINST.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref 0HTTP://STUPDATES.COM/HEW3HM/YUS.PAC
delref HTTP://STUPDATES.COM/HEW3HM/YUS.PAC
regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
с расшифровкой не поможем.
Шифровирусы шумной толпою
Размещено 24.05.2016 14:58:38
[QUOTE]mike 1 написал:
Новая версия Cryakl появилась. + Может воровать пароли теперь.
[URL=http://virusinfo.info/showthread.php?t=200738]http://virusinfo.info/showthread.php?t=200738[/URL]
[URL=https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e54]https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e54[/URL] 16d9335fa35ded5b/... [/QUOTE]
надо на BC добавить в разработку этот шифратор :)
Новая версия Cryakl появилась. + Может воровать пароли теперь.
[URL=http://virusinfo.info/showthread.php?t=200738]http://virusinfo.info/showthread.php?t=200738[/URL]
[URL=https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e54]https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e54[/URL] 16d9335fa35ded5b/... [/QUOTE]
надо на BC добавить в разработку этот шифратор :)
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 24.05.2016 14:42:12
Дмитрий,
расшифровки по .da_vinci_code нет,
а вот почистить систему надо обязательно, тем более, что банковский клиент есть.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\DIGITALSITES\UPDATEPRO
addsgn A7679B19919AF4669195AE59007CECFACD797008767FDF06A0A9C5D4484F
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...
delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\PROGRAM FILES\XTAB
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\WINDOWS LIVE\BVHIXVOIVP.EXE
del %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL
del %SystemDrive%\PROGRAM FILES\OPERA\OPERA.URL
regt 28
regt 29
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по .da_vinci_code нет,
а вот почистить систему надо обязательно, тем более, что банковский клиент есть.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\DIGITALSITES\UPDATEPRO
addsgn A7679B19919AF4669195AE59007CECFACD797008767FDF06A0A9C5D4484F
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...
delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\PROGRAM FILES\XTAB
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\WINDOWS LIVE\BVHIXVOIVP.EXE
del %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL
del %SystemDrive%\PROGRAM FILES\OPERA\OPERA.URL
regt 28
regt 29
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
Размещено 24.05.2016 12:51:08
жаль, возможно, по паре зашифрованный-чистый файл можно вычислить пароль (ключ) для расшифровки.
может есть какие то чистые документы в архивах, которые соответствуют зашифрованным файлам?
Евгений,
можете самостоятельно проверить это решение, если получится найти пару чистый-зашифрованный файл:
[URL=http://chklst.ru/discussion/1555/ocherednoy-deshifrator-ot-emsisoft-posvyaschen-semeystvu-xorist-ransomware#latest]http://chklst.ru/discussion/1555/ocherednoy-deshifrator-ot-emsisoft-posvyaschen-semeystvu-xorist-ran...[/URL]
может есть какие то чистые документы в архивах, которые соответствуют зашифрованным файлам?
Евгений,
можете самостоятельно проверить это решение, если получится найти пару чистый-зашифрованный файл:
[URL=http://chklst.ru/discussion/1555/ocherednoy-deshifrator-ot-emsisoft-posvyaschen-semeystvu-xorist-ransomware#latest]http://chklst.ru/discussion/1555/ocherednoy-deshifrator-ot-emsisoft-posvyaschen-semeystvu-xorist-ran...[/URL]
Изменено: santy - 08.11.2017 05:51:45
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
Размещено 24.05.2016 12:35:34
Евгений,
а нет у вас пары: чистый и зашифрованный файл?
желательно небольшого размера: на 10-100кб
в архиве все файлы зашифрованы.
вот по файлу станки.jpg
CRC32: D1F92993
MD5: F056F90CD31CEDCB90294F724F975123
SHA-1: F262ECB19F307C0EC8DA9B4D5745820D742219D4
и по файлу: станки.jpg.******
такие же хэши:
CRC32: D1F92993
MD5: F056F90CD31CEDCB90294F724F975123
SHA-1: F262ECB19F307C0EC8DA9B4D5745820D742219D4
а нет у вас пары: чистый и зашифрованный файл?
желательно небольшого размера: на 10-100кб
в архиве все файлы зашифрованы.
вот по файлу станки.jpg
CRC32: D1F92993
MD5: F056F90CD31CEDCB90294F724F975123
SHA-1: F262ECB19F307C0EC8DA9B4D5745820D742219D4
и по файлу: станки.jpg.******
такие же хэши:
CRC32: D1F92993
MD5: F056F90CD31CEDCB90294F724F975123
SHA-1: F262ECB19F307C0EC8DA9B4D5745820D742219D4
Изменено: santy - 08.11.2017 05:51:45
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt