Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

У меня .better_call_saul

akat.700
 Поделиться

Рекомендуемые сообщения

akat.700

akat.700

Опубликовано
Опубликовано

Здравствуйте!

 

Открыл письмо якобы от Ростелекома, получил зашифрованные файлы с расширением .better_call_saul.

По совету товарища почистил систему одним из продуктов Касперского. Похоже, зря.

Только после этого, убедившись, что файлы не расшифрованы, обратился на сайт Касперского. Следуя инструкциям, утилитой AVZ создал архив лог-файлов, заархивировал несколько зашифрованных файлов (эти архивы сохранились)  и отправил их на сайт Касперского. Но получил оттуда ответ, что, в связи с предстоящей реорганизацией, искать помощи следует у Вас.

Ознакомился с Вашими инструкциями, скачал, что рекомендуете, опять создал архивы, отправляю Вам.

Заранее благодарен за помощь. Архив infected.zip зашифрован паролем infected, так просили на сайте Касперского.

Жду инструкций. Спасибо!

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не прикрепляйте infected.zip на форум. Файл удалён.

CollectionLog-2016.04.03-12.21.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64', 4);
 DeleteService('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64');
 QuarantineFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','32');
 DeleteFile('C:\Users\operator\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

  • 2 недели спустя...
akat.700

akat.700

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64', 4);
 DeleteService('{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64');
 QuarantineFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\{770f8173-dbeb-406e-bb39-f5f1a22362d8}Gw64.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{e8294a7e-8442-4f3a-8722-cb5c3f67ed67}Gw64.sys','32');
 DeleteFile('C:\Users\operator\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Здравствуйте!

Обращался к Вам две недели назад со своей проблемой. Подскажите, сколько обычно по времени происходит расшифровка таких файлов? И будет ли сообщено мне, если вдруг расшифровать их не удастся (такое ведь может быть?)?

Спасибо!

thyrex

thyrex

Опубликовано
Опубликовано

С расшифровкой помогут только злодеи

akat.700

akat.700

Опубликовано
  • Автор
Опубликовано

То есть от лаборатории Касперского помощи в расшифровке не ждать?

А как бы тогда связаться со злодеями?..

thyrex

thyrex

Опубликовано
Опубликовано

 

 


То есть от лаборатории Касперского помощи в расшифровке не ждать?
Вот свежий ответ http://forum.kasperskyclub.ru/index.php?showtopic=49644&do=findComment&comment=731485

 

 

 


А как бы тогда связаться со злодеями?
Все контакты для связи оставлены злодеями в многочисленных файлах README.txt
akat.700

akat.700

Опубликовано
  • Автор
Опубликовано (изменено)

 

То есть от лаборатории Касперского помощи в расшифровке не ждать?

Вот свежий ответ http://forum.kasperskyclub.ru/index.php?showtopic=49644&do=findComment&comment=731485

 

 

 

А как бы тогда связаться со злодеями?

Все контакты для связи оставлены злодеями в многочисленных файлах README.txt

 

 

Подскажите, а смысл в обращении к злодеям есть? Они действительно отвечают и могут дать ключ для расшифровки? Кто-то наверняка ведь обращался к ним, и что он получил в результате? Ещё больших проблем не было?

В случае отсутствия ответа от них они предлагают установить программу Tor Browser:

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: //www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

cryptorzimsbfbkx.onion.to/

cryptorzimsbfbkx.onion.cab/

 Эту программу можно устанавливать или это очередная возможность получить следующий вирус?

Изменено пользователем thyrex
thyrex

thyrex

Опубликовано
Опубликовано

В браузер вирус не зашивают )

 

Я всего лишь сказал, что злодеи точно могут расшифровать, но решение об обращении к ним и оплате все равно остается за Вами.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...