Вирус криптограф.расширение BETTER_CALL_SAUL

[pu-81]

Здравствуйте, пришло письмо по почте якобы со счетом на оплату, все файли изменили название на набор символов и расширение на BETTER_CALL_SAUL
помогите пожалуйста расшифровать.

CollectionLog-2016.03.28-14.59.zip

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Twilight Pretty Search
Wajam

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[pu-81]

Сделано

AdwCleanerC1.txt

AdwCleanerS1.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[pu-81]

............................

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README9.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README8.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README7.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README6.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README5.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README3.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README2.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README10.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README1.txt
2016-03-28 12:13 - 2016-03-28 12:13 - 00000000 __SHD C:\Users\Пользователь\AppData\Roaming\System32
2016-03-28 12:12 - 2016-03-28 12:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-28 12:12 - 2016-03-28 12:12 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Пользователь\AppData\Local\Temp\E582C998.exe
C:\Users\Пользователь\AppData\Local\Temp\utt9DAA.tmp.exe
AlternateDataStreams: C:\Users\Пользователь\Desktop\-LjhPQxCm6yFZKQo1MNX3NU-Be4JrDLDr6T6T3Ua3xg=.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\-LjhPQxCm6yFZKQo1MNX3NU-Be4JrDLDr6T6T3Ua3xg=.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\1.jpeg:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\12.jpeg:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\12.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\Li22paLZ7IZzxcmF2IFzE5a7fatdn-OOk3++mm3rpRM=.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\Li22paLZ7IZzxcmF2IFzE5a7fatdn-OOk3++mm3rpRM=.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\vh3KAHtPs9L7RPh9I9534cTJ7+PrSXGLfz0BV+ufkb4wCfj40SFpozuovHHC6yUjJqEShOZedXX71uOS-sBDEQ==.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\vh3KAHtPs9L7RPh9I9534cTJ7+PrSXGLfz0BV+ufkb4wCfj40SFpozuovHHC6yUjJqEShOZedXX71uOS-sBDEQ==.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Расширение (Chime) в Хроме ставили самостоятельно? Если нет, удалите.

[pu-81]

...............

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[pu-81]

А что делать при отсутствии наличия???

[Sandor]

Вариантов не много:

Купить лицензию, попросить знакомых (у которых есть лицензия), попытаться восстановить средствами Windows, пойти на поводу у злоумышленников.

Изменено 28 марта, 2016 пользователем Sandor

[pu-81]

При покупке лицензии за услугу дешифровки будет взиматься плата? 

[Sandor]

Нет.

Однако учтите, 100% гарантии расшифровки никто не дает.

[pu-81]

Спасибо за оперативную помощь!