Перейти к содержанию

Вирус шифровщик better_call_saul


Рекомендуемые сообщения

Здравствуйте!

Точек восстановления нет почему то, хотя восстановление включено.

Запрос в техподдержку создал.

Прислали вот такое письмо:

 

Здравствуйте!

Мы уточнили информацию по Вашему запросу. К сожалению, восстановление данных, зашифрованных Trojan-Ransom.Win32.N, не представляется возможным, вредоносная программа использует стойкий алгоритм шифрования, а ключ находится у злоумышленников. 
Вполне возможно, что в будущем ключ дешифровки всё-таки будет найден и нам удастся восстановить зашифрованные данные, поэтому рекомендуем Вам не удалять зашифрованные файлы и через некоторое время снова создать запрос в нашу службу, мы повторно попытаемся дешифровать данные. 
Во избежание возможной потери данных в будущем, крайне важно держать компонент Мониторинг Активности включённым, с ним риск потери файлов сводится к минимуму. Подробнее о механизме работы компонента можно почитать в нашей базе знаний:http://support.kaspersky.ru/12091 
К сожалению, это пока всё, что мы можем сделать. Благодарим за понимание.
Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.


Возможно что то сделать?

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 30
  • Создана
  • Последний ответ

Топ авторов темы

  • URA KYK

    15

  • mike 1

    13

  • Sandor

    1

  • Mark D. Pearlstone

    1

Топ авторов темы

Изображения в теме

Точек восстановления нет почему то, хотя восстановление включено.

Потому что шифровальщик их вам удалил. Пользователь Анна имеет права администратора. Если бы у нее были права пользователя, то шифровальщик не смог бы это сделать при включенном UAC! 

 

Возможно что то сделать?

Можно отложить файлы до лучших времен. Если есть бэкапы, то поднимайте из них часть информации. 

Ссылка на комментарий
Поделиться на другие сайты

Нашел файл который создался того же числа когда когда и файлы зашифровались 

и самое интересное что он восстанавливается один до 09.04.2016. в системе восстановления файлов.

его можно проверить как то?

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты

Можно отправить, но смысла думаю нет, т.к. уже есть эвристический детект. Вообще KIS 2016 его бы и без детекта поймал. 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

Было включено в параметрах windows "Восстановление параметров системы и предыдущих версии файлов"

Пропали точки восстановления, их можно как то восстановить? Есть выход из ситуации?

Ссылка на комментарий
Поделиться на другие сайты

Дело в том, что точки восстановления были удалены. Как их восстановить! Файлов зашифрованных очень много. Даже фотки зашифровались.

Ссылка на комментарий
Поделиться на другие сайты

Дело в том, что точки восстановления были удалены. Как их восстановить! 

Никак.

 

Файлов зашифрованных очень много. Даже фотки зашифровались.

Важные файлы должны бэкапиться, иначе они не представляют для вас ценности. 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

С того же адреса с которого пришел вирус пришло 2 файла!

Что это такое? Может это для восстановления?

Прикрепляю в архиве Вам. 

Спасибо!

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты

Очередная рассылка шифровальщика Shade. 

 

Это https://www.virustotal.com/ru/file/5fac64a48a75f832123ee8831165251836ab340d7e585a7906cf53a09b13a034/analysis/1461155643/ только его загрузчик. Ваша почта попала в спам базы.

 

Гм, забавный файл грузит :)

MAKE LOVE NOT MALWARE
 .:::.   .:::.
:::::::.:::::::
:::::::::::::::
':::::::::::::'
  ':::::::::'
    ':::::'
      ':'
 .:::.   .:::.
:::::::.:::::::
:::::::::::::::
':::::::::::::'
  ':::::::::'
    ':::::'
      ':'
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 

×
×
  • Создать...