У меня .better_call_saul

[akat.700]

Здравствуйте!

 

Открыл письмо якобы от Ростелекома, получил зашифрованные файлы с расширением .better_call_saul.

По совету товарища почистил систему одним из продуктов Касперского. Похоже, зря.

Только после этого, убедившись, что файлы не расшифрованы, обратился на сайт Касперского. Следуя инструкциям, утилитой AVZ создал архив лог-файлов, заархивировал несколько зашифрованных файлов (эти архивы сохранились)  и отправил их на сайт Касперского. Но получил оттуда ответ, что, в связи с предстоящей реорганизацией, искать помощи следует у Вас.

Ознакомился с Вашими инструкциями, скачал, что рекомендуете, опять создал архивы, отправляю Вам.

Заранее благодарен за помощь. Архив infected.zip зашифрован паролем infected, так просили на сайте Касперского.

Жду инструкций. Спасибо!

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не прикрепляйте infected.zip на форум. Файл удалён.

CollectionLog-2016.04.03-12.21.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64', 4);
 DeleteService('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64');
 QuarantineFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','32');
 DeleteFile('C:\Users\operator\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[akat.700]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64', 4);
 DeleteService('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64');
 QuarantineFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','32');
 DeleteFile('C:\Users\operator\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Здравствуйте!

Обращался к Вам две недели назад со своей проблемой. Подскажите, сколько обычно по времени происходит расшифровка таких файлов? И будет ли сообщено мне, если вдруг расшифровать их не удастся (такое ведь может быть?)?

Спасибо!

[thyrex]

С расшифровкой помогут только злодеи

[akat.700]

То есть от лаборатории Касперского помощи в расшифровке не ждать?

А как бы тогда связаться со злодеями?..

[thyrex]

 

 

То есть от лаборатории Касперского помощи в расшифровке не ждать?

Вот свежий ответ http://forum.kasperskyclub.ru/index.php?showtopic=49644&do=findComment&comment=731485

 

 

 

А как бы тогда связаться со злодеями?

Все контакты для связи оставлены злодеями в многочисленных файлах README.txt

[akat.700]

 

То есть от лаборатории Касперского помощи в расшифровке не ждать?

Вот свежий ответ http://forum.kasperskyclub.ru/index.php?showtopic=49644&do=findComment&comment=731485

 

 

 

А как бы тогда связаться со злодеями?

Все контакты для связи оставлены злодеями в многочисленных файлах README.txt

 

 

Подскажите, а смысл в обращении к злодеям есть? Они действительно отвечают и могут дать ключ для расшифровки? Кто-то наверняка ведь обращался к ним, и что он получил в результате? Ещё больших проблем не было?

В случае отсутствия ответа от них они предлагают установить программу Tor Browser:

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: //www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

cryptorzimsbfbkx.onion.to/

cryptorzimsbfbkx.onion.cab/

 Эту программу можно устанавливать или это очередная возможность получить следующий вирус?

Изменено 19 апреля, 2016 пользователем thyrex

[thyrex]

В браузер вирус не зашивают )

 

Я всего лишь сказал, что злодеи точно могут расшифровать, но решение об обращении к ним и оплате все равно остается за Вами.

[akat.700]

Да, понял, спасибо Вам!