Перейти к содержанию

Зашифрованы файлы, "BETTER_CALL_SOUL" и "LOS_POLLOS"

Валерий Перминов

От Валерий Перминов
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Валерий Перминов Новичок

Валерий Перминов

Опубликовано
Опубликовано (изменено)

Здравствуйте!

У меня две проблемы.

 

1) Позавчера обнаружил, что все документы, кроме тех, что на рабочем столе, зашифрованы. Тип файлов стал "BETTER_CALL_SOUL", а также "LOS_POLLOS". В корне дисков C и D появились файлы README1.TXT, ..., RADME10.TXT следующего содержания:

______________________________________________________________________________

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
389D18D2F2448646A4C4|406|3|8
на электронный адрес Kartamysheva.Larisa@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
389D18D2F2448646A4C4|406|3|8
to e-mail address Kartamysheva.Larisa@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the reserve email. You can get it by two ways:
1) Download Tor Browser from here:
Install it and type the following address into the address bar:
Press Enter and then the page with reserve emails will be loaded.
2) Go to the one of the following addresses in any browser:

______________________________________________________________________________

 
Проведена проверка в соответствии с инструкцией (http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]). Файлы прилагаются. Прошу помочь восстановить файлы.
 
2) Кроме того, после регистрации в Личном кабинете на Kaspersky Lab Forum в соответствии с данными на форуме указаниями я попытался прикрепить действующий код активации в разделе "Licenses", но обнаружил, что не могу его найти. Код был в электронной почте. Старые письма я периодически удаляю. Видимо, не глядя, удалил и письмо с кодом активации. Остаток  срока действия лицензии  - 130 дней (см. вложение). Как восстановить код активации?

 

report2.log

CollectionLog-2016.04.07-11.53.zip

report1.log

Образцы зашифрованных документов.rar

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-03-25 22:20 - 2016-03-26 13:09 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Marcus
      Как удалить истёкший код из личного кабинета?
      От Marcus
    • AKurskikh
      Вирус-шифровщик better_call_soul
      От AKurskikh
      Здравствуйте! У сотрудника зашифровались все фотографии на облачном хранилище которое синхронизируется с его папка на ПК. На ПК установлен Kaspersky Anri-Virus, человек не говорит что и как запускал. Зашифрованный файл и логи вложил.
      CollectionLog-2016.05.27-12.42.zip
      report1.log
      report2.log
      better_cal_soul.zip
    • alexzwer
      Файл better_call_soul расшифровка
      От alexzwer
      Прислали по почте файл бухгалтерский: Здравствуйте. Недоплата счета может аннулировать действие скидки, утвержденной ранее. 
      В документе, прикрепленном к этому e-mail-письму вы увидите всю сумму, которую вам осталось доплатить!  и архив - открыл архив и очень много файлов зашифровалось и стали с расширением better_call_sou. Помогите вылечить и расшифровать. Логи и присланный архив в приложении.
       
       
      //mike1: Запрещено вирусы выкладывать на форуме!
      CollectionLog-2016.04.14-17.54.zip
    • rgr777
      Зашифрованы файлы в: better_call_saul и los_pollos
      От rgr777
      Добрый день! Прошу помощи в расшифровке личных файлов, которые сейчас зашифрованы в типы better_call_saul и los_pollos. Также куча файлов readme, один из которых прикрепил.
      Проверку Cure IT выполнил, список вирусов, находящихся на карантине см. на скриншоте: skrin virus.
      Также был поддельный файл в автозагрузке csrss.exe, удалил вручную с папки programdata. Если что в карантине касперского есть какая-то копия этого файла, сделанная защитником виндовс.
       
      AutoLogger'ом просканировал, логи прикрепил.
      Заметил также, что файлы были зашифрованы примерно в 06.04.2016 21:50-22:00  (указано время по владивостоку, по МСК: 14:50-15:00)
       
      На данный момент новые файлы не шифруются на ноутбуке, проверки на вирусы не обнаруживают ничего.
      Реестр после поражения, различными чистильщиками не трогал.
       
      Ожидаю вашего ответа!
      Спасибо!
      README2.txt

      CollectionLog-2016.04.09-15.07.zip
×
×
  • Создать...