Перейти к содержанию

Троян- Шифрование файлов better_call_saul

Dionissiytlt
 Поделиться

Рекомендуемые сообщения

Dionissiytlt

Dionissiytlt

Опубликовано
Опубликовано
Прорвался троян 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
2756B3CA090D7059FBFA|0
на электронный адрес Kudryavtsev.Panfil@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:

CollectionLog-2016.04.07-18.30.zip

README4.txt

report1.log

report2.log

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics\31B43C10.exe','');

 TerminateProcessByName('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe');

 QuarantineFile('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe','');

 DeleteFile('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe','32');

 DeleteFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics\31B43C10.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Obsgics');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Dionissiytlt

Dionissiytlt

Опубликовано
  • Автор
Опубликовано (изменено)

Если возможность расшифровать файлы, так как это бухгалтерский компьютер?Так как сам антивирус уже удалил троян.
заранее благодарен.

Изменено пользователем Dionissiytlt
mike 1

mike 1

Опубликовано
Опубликовано

Выполняйте что вам пишут. У вас зверье на горячую сейчас работает. 

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

CHR HKU\S-1-5-21-725345543-261478967-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKU\S-1-5-21-725345543-261478967-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.tb.ask.com/index.jhtml?n=77FD35DB&p2=^Y6^xdm067^YYA^ru&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&si=swissconverter

SearchScopes: HKLM -> DefaultScope {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKLM -> {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKU\S-1-5-21-725345543-261478967-1417001333-1004 -> {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

2016-04-07 11:28 - 2016-04-08 10:30 - 00000000 ____D C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Ubkmedia

2016-04-07 11:27 - 2016-04-08 10:30 - 00000000 ____D C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics

2016-04-07 11:26 - 2016-04-07 11:26 - 03932214 _____ C:\Documents and Settings\Бухгалтер\Application Data\73835BBA73835BBA.bmp

2016-04-06 14:58 - 2016-04-07 14:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows

 zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

mike 1

mike 1

Опубликовано
Опубликовано

Коммерческая лицензия на Антивирус Касперского у вас есть?

Dionissiytlt

Dionissiytlt

Опубликовано
  • Автор
Опубликовано (изменено)

Да ключ

Изменено пользователем Sandor
код не выкладывайте

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • scidrov
      Расшифровка файлов
      Автор scidrov
      Добрый день!
       
      Зашифровались файлы, формат: better_call_saul. 
      Когда именно не помню, заметил только сейчас. 
      WinRAR archive.RAR
    • RumyantsevValentin
      Зашифрованные файлы. better_call_saul расширение
      Автор RumyantsevValentin
      Добрый день, подцепил вирус шифровальщик "better_call_saul". Помогите расшифровать файлы.
    • Grigas65
      Зашифрованы файлы. better_call_saul
      Автор Grigas65
      После использования чужой флешки был пойман шифровальщик,  зашифровавший все фотографии и видео.
      А так же появились файлы, предлагающие оплатить разблокировку (Если не ошибаюсь, т.к. се пишу со слов пользователя). Эти файлы были удалены незамедлительно, а так же была проверка программой "Malwarebytes Anti-Malware" и какой программой Dr.Web'a, которые, вроде как удалили шифровальщик.
      Произошло это около двух месяцев назад. Но, к сожалению, ни одна из утил-расшифровальщиков с сайта Касперского в тот момент помочь не смогла.
       
      Если у Вас есть возможность помочь - буду очень признателен.
       
      CollectionLog-2016.06.12-20.44.zip
    • lom1987
      better call saul зашифровал все файлы на пк помогите восстановить пожалуйста
      Автор lom1987
      better call saul зашифровал все файлы на  пк помогите восстановить пожалуйста

      README1.txt
      README2.txt
      README3.txt
      README4.txt
      README5.txt
      README6.txt
      README7.txt
      README8.txt
      README9.txt
      README10.txt
      1.rar
    • Лурик
      Зашифрованы файлы
      Автор Лурик
      Зашифрованы файлы
       
      Пример:
      3B4SpWjG6by1a4aO3YKaXA==.B9688B11EA8498ABB05D.better_call_saul
      9WL6WR5APsSV8fP0jhdSwA==.B9688B11EA8498ABB05D.better_call_saul
      README5.txt
      README10.txt
       
      Первоначально пришло сообщение со вложенным файлом на электронную почту:
      Бухгалтер --- Не Оплачен счет за март месяц-ТП2322537.
      При открытии - все файлы оказались зашифрованными.
       
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      B9688B11EA8498ABB05D|0
      на электронный адрес 1986Frederick.MacAlister@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
      их изменения расшифровка станет невозможной ни при каких условиях.
      Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
      воспользуйтесь резервным адресом. Его можно узнать двумя способами:
      1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
      В адресной строке Tor Browser-а введите адрес:
      http://cryptorzimsbfbkx.onion/
      и нажмите Enter. Загрузится страница с резервными email-адресами.
      2) В любом браузере перейдите по одному из адресов:
      http://cryptorzimsbfbkx.onion.to/
      http://cryptorzimsbfbkx.onion.cab/
       
       
      Ответ:
       
      простите помочь не смогу, пишите в четверг-пятницу
      сохраняйте файлы до лучших времен
      сервера изьяли органы(
      PS: вы можете как и остальные пользователи просить Касперского выложить ключи(мою базу или образ сервера)
      и как клиентоориентированная компания возможно они на этот шаг пойдут
      Ключи у них есть, но без меня они не смогут помочь, а у меня ключей нет
      README5.txt
      README10.txt
×
×
  • Создать...