better_call_saul шифровальшик

[Дмитрий Кузнеченков]

Добрый день. Поймали данный шифровальщик. Просим помочь. 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

9E848B6EBF85DCB0EB87|0

на электронный адрес Rufinian.Valichitskiy@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь резервным адресом. Его можно узнать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptorzimsbfbkx.onion/

и нажмите Enter. Загрузится страница с резервными email-адресами.

2) В любом браузере перейдите по одному из адресов:

http://cryptorzimsbfbkx.onion.to/

http://cryptorzimsbfbkx.onion.cab/

 

CollectionLog-2016.04.18-13.42.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Надя\AppData\Local\Agdtworks\xsdhadqz.dll','');
 QuarantineFile('C:\Users\Надя\AppData\Local\Efrmtion\zxcdyksg.dll','');
 QuarantineFile('C:\Users\C344~1\AppData\Local\Temp\1cerber.exe', '');
 DeleteFile('C:\Users\Надя\AppData\Local\Efrmtion\zxcdyksg.dll','32');
 DeleteFile('C:\Users\Надя\AppData\Local\Agdtworks\xsdhadqz.dll','32');
 DeleteFile('C:\Users\C344~1\AppData\Local\Temp\1cerber.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Efrmtion','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Imtmsoft','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell22','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Дмитрий Кузнеченков]

[KLAN-4110449617] [/size]Здравствуйте,[/size]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. [/size]

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.[/size]

С уважением, Лаборатория Касперского[/size]

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 [/size]http://www.kaspersky.ru [/size]http://www.viruslist.ru"[/size]

CollectionLog-2016.04.18-14.43.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дмитрий Кузнеченков]

 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKU\S-1-5-21-4010834878-1905862000-2266605296-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
URLSearchHook: HKLM - (No Name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} -  No File
BHO: No Name -> {8dec4b69-27c4-405d-a37d-8d45c83f66ab} -> No File
Toolbar: HKLM - No Name - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} -  No File
CHR Extension: (Альтернативный поиск Google) - C:\Users\Надя\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbfmkijbdfgfaiccakeaiinogojfkkcj [2015-12-14]
2016-04-12 13:47 - 2016-04-12 13:47 - 03888054 _____ C:\Users\Надя\AppData\Roaming\AE3575B9AE3575B9.bmp
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README9.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README8.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README7.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README6.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README5.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README4.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README3.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README2.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README10.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Надя\Desktop\README1.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README9.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README8.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README7.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README6.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README5.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README4.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README3.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README2.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README10.txt
2016-04-12 13:47 - 2016-04-12 13:47 - 00002716 _____ C:\Users\Public\Desktop\README1.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README9.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README8.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README7.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README6.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README5.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README4.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README3.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README2.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README10.txt
2016-04-12 06:51 - 2016-04-12 06:51 - 00002716 _____ C:\README1.txt
2016-04-12 06:50 - 2016-04-12 15:36 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-12 06:50 - 2016-04-12 15:36 - 00000000 __SHD C:\ProgramData\Windows
Task: {384BCC2B-8C05-4A3B-91DF-BD78407D5E26} - \AlterGeoUpdaterS-1-5-18 -> No File <==== ATTENTION
Task: {57CABA42-F91D-4B76-8CB8-9F5D9E3B482D} - \MailRuUpdater -> No File <==== ATTENTION
Task: {7E0E4BF8-2FD4-44C4-BE8E-AD86ABA955EC} - \avast! Emergency Update -> No File <==== ATTENTION
Task: {8E02EC24-722E-4CEA-B998-CA74F7EF94AD} - \{3632B750-E58B-4ED3-962A-8C64FD3FC4C3} -> No File <==== ATTENTION
Task: {96395812-B601-4128-872D-29B183F8ADC8} - \{9B0C20F5-D5FC-43E5-9924-41F7E77F92C0} -> No File <==== ATTENTION
Task: {C6DF1C05-DB7D-4AA9-B86D-C0E7204D121B} - \{BCB3D32D-6BA1-4A5A-AC94-74F63FC57D91} -> No File <==== ATTENTION
Task: {EDA1AA3C-C93C-4B9C-A62D-C0A892496280} - \{00E76E1D-BC35-4C22-8455-114D81789C92} -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Дмитрий Кузнеченков]

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

[Sandor]

Два варианта:

1. Если Восстановление системы было включено ДО заражения, пробуйте восстановить файлы средствами Windows.

 

2. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.