better_call_saul зашифровал 1С

[НеАлександр]

Заблокирована база 1С. На диске D и в папке с базой 1С появились файлы с расширением "better_call_saul".
На рабочем столе появилась куча README с текстом:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

43B1EB7B188955DEFBA9|0

на электронный адрес Rufinian.Valichitskiy@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

43B1EB7B188955DEFBA9|0

to e-mail address Rufinian.Valichitskiy@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

If you still want to try to decrypt them by yourself please make a backup at first because

the decryption will become impossible in case of any changes inside the files.

If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),

use the reserve email. You can get it by two ways:

1) Download Tor Browser from here:

https://www.torproject.org/download/download-easy.html.en

Install it and type the following address into the address bar:

http://cryptorzimsbfbkx.onion/

Press Enter and then the page with reserve emails will be loaded.

2) Go to the one of the following addresses in any browser:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

 

Лечил компьютер программой Kaspersky Virus Removal Tool  - файлы так и остались зашифрованными.

Также воспользовался  Farbar Recovery Scan Tool 

Помогите пожалуйста расшифровать базы

CollectionLog-2016.04.13-00.55.zip

report1.log

report2.log

Addition.txt

FRST.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Vlad\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\Vlad\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[НеАлександр]

KLAN-4078215497

quarantine.zip - получился пустым, ответ пришел такой:

Вредоносный код в файле не обнаружен.

 

Ещё, при старте виндовса стала запускаться утилита ASUS Fancy Start, пытающаяся запустить файл f4cd.msi, который я тоже отправил на проверку.

Получил ответ (KLAN-4078314925)

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

report1.log

report2.log

[mike 1]

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Красным написано, но видимо без пинка никак.

[НеАлександр]

Видимо я не понял, что значит "выполните правила", т.к. выполнил проверку автологером, (как и написанно в "Общие правила раздела "Уничтожение вирусов"") и прислал его логи. Забыл только один файл, прикрепил сейчас.

А надо было повторно выполнить скрипты AVZ?

Выполнил. Карантин опять пустой.

Так-же ещё раз провел проверку Farbar Recovery Scan Tool 

CollectionLog-2016.04.13-11.55.zip

Addition.txt

FRST.txt

[НеАлександр]

Я опять сделал что-то не так? Объясните, пожалуйста, что надо сделать

[thyrex]

Я опять сделал что-то не так? Объясните, пожалуйста, что надо сделать

1) Набраться терпения и ждать. Тут только один безработный помощник, у которого достаточно свободного времени, чтобы всем отвечать. У меня (и у большинства других консультантов) рабочее время. Помощь оказывается в свободное от основных занятий время.

 

2) 1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {8FECC012-2990-4950-BDC8-09E4D23FE66F} - System32\Tasks\DSite => C:\Users\Vlad\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
FF HKLM-x32\...\Firefox\Extensions: [content_blocker_6418E0D362104DADA084DC312DFA8ABC@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\content_blocker@kaspersky.com => not found
FF HKLM-x32\...\Firefox\Extensions: [virtual_keyboard_294FF26A1D5B455495946778FDE7CEDB@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\virtual_keyboard@kaspersky.com => not found
FF HKLM-x32\...\Firefox\Extensions: [online_banking_69A4E213815F42BD863D889007201D82@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\online_banking@kaspersky.com => not found
2016-04-12 15:53 - 2016-04-12 20:51 - 00000000 ___DC C:\Users\Valentina\AppData\Local\YhxPack
2016-04-12 15:52 - 2016-04-12 20:51 - 00000000 ___DC C:\Users\Valentina\AppData\Local\YdPack
2016-04-12 15:51 - 2016-04-12 15:51 - 03148854 ____C C:\Users\Valentina\AppData\Roaming\B1057F18B1057F18.bmp
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README9.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README8.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README7.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README6.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README5.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README4.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README3.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README2.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README10.txt
2016-04-12 13:56 - 2016-04-12 20:45 - 00000000 _SHDC C:\Users\Все пользователи\Windows
2016-04-12 13:56 - 2016-04-12 20:45 - 00000000 _SHDC C:\ProgramData\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[НеАлександр]

Сделал, как Вы сказали.

Fixlog.txt

[thyrex]

С расшифровкой не поможем

 

Как вариант, попробуйте вытащить информацию из теневых копий на 08-04-2016

[НеАлександр]

Извините за вопрос, но это значит, что в принципе невозможно расшифровать, или есть возможность, но обращаться следует в какое-то другое место? Если это так, то куда?

Теневых копий (предыдущих версий файлов) я не нашел. Возможно-ли что они тоже зашифрованы или куда-то спрятаны?

[mike 1]

Лицензия на антивирус есть? 

[НеАлександр]

Уже закончилась. Пока продлить не успели. Могу сегодня продлить

Изменено 13 апреля, 2016 пользователем НеАлександр

[mike 1]

Есть такие варианты:

 

1. Вы покупаете продление и обращаетесь в техподдержку, но нет гарантии того, что техподдержка сможет помочь с расшифровкой файлов.

 

2. Вы просите знакомого (друга) создать запрос в техподдержку вместо Вас, но при условии, что у него есть лицензия на Антивирус Касперского. 

Изменено 14 апреля, 2016 пользователем mike 1