Перейти к содержанию
Задай вопрос Алексею Тодирашу!

Чистка и расшифровка better_call_soul

yr13
 Share

Рекомендуемые сообщения

yr13 Новичок

yr13

Опубликовано
Опубликовано (изменено)

Что произошло: Письмо. Вирус. Шифровка файлов.

 

1) Прилагаю лог AdwCleaner[s1].txt

 

2) После проверки нажал "Очистить" и перезагрузил ПК. Прикрепил отчет AdwCleaner[C1].txt

 

3) Прогнал Farbar Recovery Scan Tool прикрепляю к письму Addition.txt и FRST.txt

 

Помогите пожалуйста с дальнейшими действиями.

 

Спасибо!

AdwCleanerS1.txt

AdwCleanerC1.txt

Addition.txt

FRST.txt

Изменено пользователем yr13
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Report');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
yr13 Новичок

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike 1

 

1) Письмо отправил.

2) Новые логи прикрепил.

 

P.S.:

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

CollectionLog-2016.04.14-16.04.zip

Изменено пользователем yr13
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

не сильно это поможет. Очень поможет база данных с сервера злоумышленников, но об этом можно только мечтать. 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
yr13 Новичок

yr13

Опубликовано
  • Автор
Опубликовано

mike 1

 

Прикреплял в первом посте, но сделал ещё раз - прикрепил.

 

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?


Зарегистрировал инцидент: INC000006078329

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

Ознакомьтесь с этой http://virusinfo.info/showthread.php?t=180742 темой и думаю поймете кто это такие. + Можете оставить свой отзыв. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\ANTIVIRUS\AutoLogger\AVZ\avz.exe" Script="C:\ANTIVIRUS\AutoLogger\AVZ\Script2.txt" HiddenMode=0
2016-04-13 22:48 - 2016-04-13 22:48 - 03932214 _____ C:\Documents and Settings\User\Application Data\45E1828845E18288.bmp
2016-04-13 15:59 - 2016-04-14 15:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
yr13 Новичок

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike_1

 

Выполни скрипт - результат прикрепил.

 

Про схему - понятно, спасибо, ещё бы решение найти)

 

Ещё раз вопрос напишу свой:

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Fixlog.txt

Изменено пользователем yr13
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Именно про этот шифровальщик описания на VI нет.

 

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Каждый случай индивидуален. Здесь нужно запрос в техподдержку писать. Случаи расшифровки файлов были.

 

http://forum.kasperskyclub.ru/index.php?showtopic=48525

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Profssn
      Расшифровка decrypting@cock.li
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • Marauders666
      Необходима помощь в расшифровке после Mimic
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Razor103
      Помогите в расшифровке файлов
      От Razor103
      Добрый день.
      Помогите пожалуйста, сегодня в компанию просочился вирус-шифровальщик, который зашифровал все файловое хранилище. Очень важный сервер рухнул и соответственно все файлы на файловом хранилище. Кто может помочь расшифровать и что для этого нужно напишите пожалуйста.
      Пример зашифрованного файла и письмо вымогателя прикрепил.пример и письмо.rar
×
×
  • Создать...