Вирус шифровальщик better_call_sau

[kudelka077]

Поймали вирус better_call_sau

 

Бухгалтер открыла аттач к письму.

Зашифровал все базы 1С (не удивительно) и другие документы

ОС: Windows 10 x64

 

В корневых директориях всех дисков созданы множественные файлы README.txt с содержанием:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

CC073751FEE6F8C00B13|0

на электронный адрес Kudryavtsev.Panfil@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

 

 

Файл 

KL_syscure.zip

KL_syscure.zip

[Sandor]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи

[kudelka077]

Файл CollectionLog-2016.04.06-15.26

CollectionLog-2016.04.06-15.26.zip

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[kudelka077]

отчеты FRST.txt, Addition.txt, Shortcut.txt 

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://www.yandex.ru/?clid=187997","hxxp://isearch.avg.com/?cid={CC113CF7-CEB0-4C3C-8B4C-EDB650D24BBC}&mid=52129d71fbaf41b482d9b54058c45f31-c2934b235d36ae2b8b79cff4d601fb56fb18858e&lang=ru&ds=hk011&pr=&d=2013-01-21 11:52:07&v=15.2.0.5&pid=avg&sg=&sap=hp","hxxp://isearch.avg.com/?cid={CC113CF7-CEB0-4C3C-8B4C-EDB650D24BBC}&mid=52129d71fbaf41b482d9b54058c45f31-c2934b235d36ae2b8b79cff4d601fb56fb18858e&lang=ru&ds=hk011&pr=&d=2013-01-21 11:52:07&v=15.3.0.11&pid=avg&sg=0&sap=hp","hxxp://www.google.com
2016-04-06 11:29 - 2016-04-06 11:50 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-06 11:29 - 2016-04-06 11:50 - 00000000 __SHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\Надежда:id [32]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[kudelka077]

Файл Fixlog.txt

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[kudelka077]

Запрос был зарегистрирован Технической Поддержкой Лаборатории Касперского.

№ запроса: INC000006040590