Перейти к содержанию

Все файлы на ПК зашифрованы better_call_saul

Nekst
 Share Подписчики 0

Рекомендуемые сообщения

Nekst

Nekst 0

Опубликовано
Опубликовано

Добрый день.

 

Ситуация, судя по темам, не нова. Открыл письмо из почты и все файлы на ПК зашифровались с расширением better_call_saul. 

 

Огромная просьба помочь с дешифровкой.

 

Заранее спасибо.

 

CollectionLog-2016.03.27-14.36.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Пользователь\AppData\Local\YdPack\qsxcibqx.dll','');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\AVworks\sdsbidxs.dll','');
 TerminateProcessByName('c:\users\Пользователь\appdata\local\ydpack\045ef678.exe');
 QuarantineFile('c:\users\Пользователь\appdata\local\ydpack\045ef678.exe','');
 DeleteFile('c:\users\Пользователь\appdata\local\ydpack\045ef678.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\AVworks\sdsbidxs.dll','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\YdPack\qsxcibqx.dll','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1714645120-2059106948-1436066783-1001\Software\Microsoft\Windows\CurrentVersion\Run','AVworks');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1714645120-2059106948-1436066783-1001\Software\Microsoft\Windows\CurrentVersion\Run','Eqtion');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-03-27 11:38 - 2016-03-27 17:27 - 00000000 ____D C:\Users\Пользователь\AppData\Local\YdPack
2016-03-27 11:38 - 2016-03-27 17:27 - 00000000 ____D C:\Users\Пользователь\AppData\Local\AVworks
2016-03-27 11:37 - 2016-03-27 11:37 - 03888054 _____ C:\Users\Пользователь\AppData\Roaming\3717DD0E3717DD0E.bmp
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README9.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README8.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README7.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README6.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README5.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README3.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README2.txt
2016-03-27 11:37 - 2016-03-27 11:37 - 00002712 _____ C:\Users\Пользователь\Desktop\README10.txt
2016-03-27 11:31 - 2016-03-27 12:08 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-27 11:31 - 2016-03-27 12:08 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Пользователь\AppData\Local\Temp\045EF678.exe
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{0BB3F00C-B7EA-42B5-B677-25866B8B4207}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{0F980403-0C3A-41CF-A6DD-96A4A6A44F9A}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{2E3F2257-5717-48F6-B923-F83E908E2311}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{5B979168-5B5D-458E-9A2F-FF214744214D}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{755F9F0A-3FE8-40AF-A98F-E792A697523D}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{7EE04146-327B-49FA-9C99-C06C09E38AF4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{8D859E11-4D51-4A5E-8FE7-722265E0DE23}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{DC183C33-F7A8-4980-87A5-8718141E8551}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{F7E60974-7F71-4F4A-BC3B-DF67801BD1AC}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{F9997A79-4170-4EC2-AFC9-01BA072CB308}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1714645120-2059106948-1436066783-1001_Classes\CLSID\{FAD24A02-327A-4D82-B07D-6C71C0BB0AE9}\InprocServer32 -> no filepath
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
Nekst

Nekst 0

Опубликовано
  • Автор
Опубликовано

Уважаемые пользователи, коим посчастливилось стать обладателями кучи зашифрованных файлов с расширением better_call_saul, инфа ниже для вас.

Ниже представлен мой личный опыт по решению данной проблемы.

 

Расшифровать файлы возможно, но трудозатраты и финансовые затраты на это дело не стоят тех данных, которые хранились на компе, если конечно же Вы, уважаемый невнимательный пользователь не министр обороны РФ. Если вы в зеркале видите не господина Шойгу, тогда путь следующий:

 

Единственным решением данного вопроса будет восстановление файлов. Это можно сделать даже в том случае, если вы не делали специальных бэкапов системы.

Единственной проблемой будет то, что актуальность восстановленных файлов будет недельной давности, но, согласитесь, это гораздо лучше, чем потерять их навсегда.

 

Теперь к сути:

Чаще всего после зашифровки компьютера вирус завершает работу и самоудаляется. Чтобы восстановить файлы попробуйте использовать следующие две программы:

  1. ShadowExplorer http://www.spyware-ru.com/download/shadowexplorer/ Скачайте и распакуйте программу. Запустите. Выберите диск на котором находятся зашифрованные файлы и дату до заражения компьютера. Затем в окне откроется список теневых копий файлов и каталогов. Найдите нужные вам файлы и восстановите их.
  2. Если программа ShadowExplorer не помогла, то попробуйте программу PhotoRechttp://www.cgsecurity.org/wiki/TestDisk_Download , чтобы восстановить удаленные файлы, так как некоторые шифровальщики удаляют исходные файлы после создания их зашифрованных версий.

Мне было достаточно 1-го пункта. Если кому-то этот пост поможет вернуть инфу, то отправьте плюсик мне в карму. Этого будет вполне достаточно.

Спасибо за внимание.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • bittok23
      Поймал вирус, скорее всего майнер
      От bittok23
      Поймал вирус, сначала решил провести проверку по антивирусу, проверка шла и внезапно комп выключается и врубается снова, потом еще раз и после этого антивирус сам удаляется с устройства. В диспетчере задач при заходе видно что процессор нагружен на 100 и резко падает. Антивирус ничего не нашел после полной проверки, майнер так и остался, что делать я не понимаю
    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • SDDdo
      [РЕШЕНО] Словил вирус/майнер
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
    • Slowme
      FixList для FRST
      От Slowme
      FRST.txt Добрый день, подозреваю что словил майнер или подобный вирус. Помогите составить фикслист
    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
×
×
  • Создать...