better_call_saul

[Александр Федосеев]

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

475243A4BD59807BFC1E|0

на электронный адрес 1986Frederick.MacAlister@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

 

форматы файлов nNwtWKGPZ+SV51esFT8ZUmM4p6eCYZsItzxfoqbvjIak9ftX0dHnTCFD8KmNC2kF.475243A4BD59807BFC1E.better_call_saul

 

просьба в помощи

Avira (no cloud) HTML/ExpKit.Gen2 20160414 Cyren JS/Cerber.A2!Camelot 20160414 DrWeb JS.DownLoader.1271 20160414 ESET-NOD32 JS/TrojanDownloader.Nemucod.RF 20160414 Ikarus Trojan-Downloader.JS.Nemucod 20160414 McAfee JS/Nemucod.gv 20160414 McAfee-GW-Edition JS/Nemucod.gv 20160414 Sophos JS/DwnLdr-NIU 20160414 Tencent Js.Trojan.Raas.Auto 20160414

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Александр Федосеев]

прикрепляю архив логов

CollectionLog-2016.04.14-13.51.zip

[Sandor]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на компьютере, а не удаленно.

[Александр Федосеев]

к сожалению нет возможности

[Sandor]

Увы, как диагноз, так и лечение следует производить именно из консоли.

[Александр Федосеев]

может подскажете как подключиться к RDP в виде консоли?

[Sandor]

Никак, только "ногами" сходить к серверу

[mike 1]

Можно через терминальную сессию сделать лог.

 

• Скачайте Universal Virus Sniffer (uVS)
  

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

•  
  

 

[Sandor]

+

- выполните такой скрипт в AVZ

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\buhkl1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhkl2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\fin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhsale1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\aaron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\kl2103\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\kl2107\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhm2122\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhm2123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhm2125\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2151\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2152\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2153\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2154\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2155\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhman2181\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree2191\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree2192\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\aramais\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree2193\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2158\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\администратор.BUHUCHET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\HR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[Александр Федосеев]

включил через консоль веду сбор логов

собрал через консоль

CollectionLog-2016.04.14-16.21.zip

[Sandor]

Пожалуйста, дополнительно соберите через терминальную сессию такой лог.


 

[Александр Федосеев]

собрал (в архиве) без архива не помещается

Check_Browsers_LNK.rar

[Sandor]

Следующие логи нужны из консоли:

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Александр Федосеев]

сделал

в наличии есть сам скрипт который прислали по почте

Addition.txt

FRST.txt

Shortcut.txt