Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 400 401 402 403 404 405 406 407 408 409 410 ... 1784 След.
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.05.2016 09:51:23
Евгений, напишите в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.05.2016 09:20:37
ок, сейчас проверю. напишу результат.
Цитата
---------------------------
Decryption key found
---------------------------
The decrypter detected the following encryption details to be a match for the given file:



Key : EE836048557E2F8177B79AA753F2269B

Encryption Rounds: 48

Start Offset: 34

Encryption Limit: 1184532

Algorithm: TEA



Please keep in mind that there is a slight chance that this key might be wrong. We suggest trying decrypting a few files first to check whether it is working correctly.
---------------------------
ОК  
---------------------------
Изменено: santy - 08.11.2017 05:51:45
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.05.2016 02:19:58
проверьте, есть теневые копии, или нет.
если копии удалены, то откат бесполезен.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 18:04:49
Zone Kaksam,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA020CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 Ransom:Win32/Troldesh.A [Microsoft]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
hide %SystemDrive%\PROGRAM FILES\HD2016\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://STUPDATES.COM/HEW3HM/YUS.PAC

delref HTTP://STUPDATES.COM/HEW3HM/YUS.PAC

regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
с расшифровкой не поможем.
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 14:58:38
Цитата
mike 1 написал:
Новая версия Cryakl появилась. + Может воровать пароли теперь.

http://virusinfo.info/showthread.php?t=200738

 https://www.virustotal.com/ru/file/eaa8b3f44b527ab7c61d410623afdfd4f6a27c3f76456e54­ ­16d9335fa35ded5b/...  
надо на BC добавить в разработку этот шифратор :)
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 14:42:12
Дмитрий,
расшифровки по .da_vinci_code нет,
а вот почистить систему надо обязательно, тем более, что банковский клиент есть.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4669195AE59007CECFACD797008767FDF06A0A9C5D4484F304C4B5B5A163E3D1DD06A803D27DC5749409545A972ED322A6D2D9F0E7938F9CA62 9 Win32/DealPly.Z [ESET-NOD32]

delref %SystemDrive%\USERS\1\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES\XTAB

delref %SystemDrive%\USERS\1\APPDATA\ROAMING\WINDOWS LIVE\BVHIXVOIVP.EXE

del %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL

del %SystemDrive%\PROGRAM FILES\OPERA\OPERA.URL

regt 28
regt 29
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 12:51:08
жаль, возможно, по паре зашифрованный-чистый файл можно вычислить пароль (ключ) для расшифровки.
может есть какие то чистые документы в архивах, которые соответствуют зашифрованным файлам?

Евгений,
можете самостоятельно проверить это решение, если получится найти пару чистый-зашифрованный файл:
http://chklst.ru/discussion/1555/ocherednoy-deshifrator-ot-emsisoft-posvyaschen-semeystvu-xorist-ran...
Изменено: santy - 08.11.2017 05:51:45
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 12:40:54
просто поменяйте обои рабочего стола. Офис если не работает, переустановите.
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 12:35:34
Евгений,
а нет у вас пары: чистый и зашифрованный файл?
желательно небольшого размера: на 10-100кб
в архиве все файлы зашифрованы.
вот по файлу станки.jpg
CRC32: D1F92993
MD5: F056F90CD31CEDCB90294F724F975123
SHA-1: F262ECB19F307C0EC8DA9B4D5745820D742219D4
и по файлу: станки.jpg.******
такие же хэши:
CRC32: D1F92993
MD5: F056F90CD31CEDCB90294F724F975123
SHA-1: F262ECB19F307C0EC8DA9B4D5745820D742219D4
Изменено: santy - 08.11.2017 05:51:45
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 12:28:18
Кирилл,
скрипт выполняет только очистку системы от тела шифратора. Файлы при этом не расшифровываются.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 400 401 402 403 404 405 406 407 408 409 410 ... 1784 След.