Перейти к содержанию

better_call_saul зашифровал 1С


Рекомендуемые сообщения

Заблокирована база 1С. На диске D и в папке с базой 1С появились файлы с расширением "better_call_saul".
На рабочем столе появилась куча README с текстом:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
43B1EB7B188955DEFBA9|0
на электронный адрес Rufinian.Valichitskiy@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
43B1EB7B188955DEFBA9|0
to e-mail address Rufinian.Valichitskiy@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the reserve email. You can get it by two ways:
1) Download Tor Browser from here:
Install it and type the following address into the address bar:
Press Enter and then the page with reserve emails will be loaded.
2) Go to the one of the following addresses in any browser:
 
Лечил компьютер программой Kaspersky Virus Removal Tool  - файлы так и остались зашифрованными.
Также воспользовался  Farbar Recovery Scan Tool 
Помогите пожалуйста расшифровать базы

CollectionLog-2016.04.13-00.55.zip

report1.log

report2.log

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Vlad\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\Vlad\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

KLAN-4078215497

quarantine.zip - получился пустым, ответ пришел такой:

Вредоносный код в файле не обнаружен.

 

Ещё, при старте виндовса стала запускаться утилита ASUS Fancy Start, пытающаяся запустить файл f4cd.msi, который я тоже отправил на проверку.

Получил ответ (KLAN-4078314925)

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

report1.log

report2.log

Ссылка на сообщение
Поделиться на другие сайты

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Красным написано, но видимо без пинка никак.

Ссылка на сообщение
Поделиться на другие сайты

Видимо я не понял, что значит "выполните правила", т.к. выполнил проверку автологером, (как и написанно в "Общие правила раздела "Уничтожение вирусов"") и прислал его логи. Забыл только один файл, прикрепил сейчас.

А надо было повторно выполнить скрипты AVZ?

Выполнил. Карантин опять пустой.

Так-же ещё раз провел проверку Farbar Recovery Scan Tool 

CollectionLog-2016.04.13-11.55.zip

Addition.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Я опять сделал что-то не так? Объясните, пожалуйста, что надо сделать

1) Набраться терпения и ждать. Тут только один безработный помощник, у которого достаточно свободного времени, чтобы всем отвечать. У меня (и у большинства других консультантов) рабочее время. Помощь оказывается в свободное от основных занятий время.

 

2) 1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {8FECC012-2990-4950-BDC8-09E4D23FE66F} - System32\Tasks\DSite => C:\Users\Vlad\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
Toolbar: HKU\S-1-5-21-2847871394-183644898-1618137907-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
FF HKLM-x32\...\Firefox\Extensions: [content_blocker_6418E0D362104DADA084DC312DFA8ABC@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\content_blocker@kaspersky.com => not found
FF HKLM-x32\...\Firefox\Extensions: [virtual_keyboard_294FF26A1D5B455495946778FDE7CEDB@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\virtual_keyboard@kaspersky.com => not found
FF HKLM-x32\...\Firefox\Extensions: [online_banking_69A4E213815F42BD863D889007201D82@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\online_banking@kaspersky.com => not found
2016-04-12 15:53 - 2016-04-12 20:51 - 00000000 ___DC C:\Users\Valentina\AppData\Local\YhxPack
2016-04-12 15:52 - 2016-04-12 20:51 - 00000000 ___DC C:\Users\Valentina\AppData\Local\YdPack
2016-04-12 15:51 - 2016-04-12 15:51 - 03148854 ____C C:\Users\Valentina\AppData\Roaming\B1057F18B1057F18.bmp
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README9.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README8.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README7.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README6.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README5.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README4.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README3.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README2.txt
2016-04-12 15:51 - 2016-04-12 15:51 - 00002716 ____C C:\Users\Valentina\Desktop\README10.txt
2016-04-12 13:56 - 2016-04-12 20:45 - 00000000 _SHDC C:\Users\Все пользователи\Windows
2016-04-12 13:56 - 2016-04-12 20:45 - 00000000 _SHDC C:\ProgramData\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой не поможем

 

Как вариант, попробуйте вытащить информацию из теневых копий на 08-04-2016

Ссылка на сообщение
Поделиться на другие сайты

Извините за вопрос, но это значит, что в принципе невозможно расшифровать, или есть возможность, но обращаться следует в какое-то другое место? Если это так, то куда?

Теневых копий (предыдущих версий файлов) я не нашел. Возможно-ли что они тоже зашифрованы или куда-то спрятаны?

Ссылка на сообщение
Поделиться на другие сайты

Уже закончилась. Пока продлить не успели. Могу сегодня продлить

Изменено пользователем НеАлександр
Ссылка на сообщение
Поделиться на другие сайты

Есть такие варианты:

 

1. Вы покупаете продление и обращаетесь в техподдержку, но нет гарантии того, что техподдержка сможет помочь с расшифровкой файлов.

 

2. Вы просите знакомого (друга) создать запрос в техподдержку вместо Вас, но при условии, что у него есть лицензия на Антивирус Касперского. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • scidrov
      От scidrov
      Добрый день!
       
      Зашифровались файлы, формат: better_call_saul. 
      Когда именно не помню, заметил только сейчас. 
      WinRAR archive.RAR
    • RumyantsevValentin
      От RumyantsevValentin
      Добрый день, подцепил вирус шифровальщик "better_call_saul". Помогите расшифровать файлы.
    • Grigas65
      От Grigas65
      После использования чужой флешки был пойман шифровальщик,  зашифровавший все фотографии и видео.
      А так же появились файлы, предлагающие оплатить разблокировку (Если не ошибаюсь, т.к. се пишу со слов пользователя). Эти файлы были удалены незамедлительно, а так же была проверка программой "Malwarebytes Anti-Malware" и какой программой Dr.Web'a, которые, вроде как удалили шифровальщик.
      Произошло это около двух месяцев назад. Но, к сожалению, ни одна из утил-расшифровальщиков с сайта Касперского в тот момент помочь не смогла.
       
      Если у Вас есть возможность помочь - буду очень признателен.
       
      CollectionLog-2016.06.12-20.44.zip
    • lom1987
      От lom1987
      better call saul зашифровал все файлы на  пк помогите восстановить пожалуйста

      README1.txt
      README2.txt
      README3.txt
      README4.txt
      README5.txt
      README6.txt
      README7.txt
      README8.txt
      README9.txt
      README10.txt
      1.rar
    • Лурик
      От Лурик
      Зашифрованы файлы
       
      Пример:
      3B4SpWjG6by1a4aO3YKaXA==.B9688B11EA8498ABB05D.better_call_saul
      9WL6WR5APsSV8fP0jhdSwA==.B9688B11EA8498ABB05D.better_call_saul
      README5.txt
      README10.txt
       
      Первоначально пришло сообщение со вложенным файлом на электронную почту:
      Бухгалтер --- Не Оплачен счет за март месяц-ТП2322537.
      При открытии - все файлы оказались зашифрованными.
       
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      B9688B11EA8498ABB05D|0
      на электронный адрес 1986Frederick.MacAlister@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
      их изменения расшифровка станет невозможной ни при каких условиях.
      Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
      воспользуйтесь резервным адресом. Его можно узнать двумя способами:
      1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
      В адресной строке Tor Browser-а введите адрес:
      http://cryptorzimsbfbkx.onion/
      и нажмите Enter. Загрузится страница с резервными email-адресами.
      2) В любом браузере перейдите по одному из адресов:
      http://cryptorzimsbfbkx.onion.to/
      http://cryptorzimsbfbkx.onion.cab/
       
       
      Ответ:
       
      простите помочь не смогу, пишите в четверг-пятницу
      сохраняйте файлы до лучших времен
      сервера изьяли органы(
      PS: вы можете как и остальные пользователи просить Касперского выложить ключи(мою базу или образ сервера)
      и как клиентоориентированная компания возможно они на этот шаг пойдут
      Ключи у них есть, но без меня они не смогут помочь, а у меня ключей нет
      README5.txt
      README10.txt
×
×
  • Создать...