ransom.shade Зашифровались файлы, better_call_saul

[Денис Денис]

Здравствуйте! Зашифровали файлы на пк, формат - better_call_saul
В ридми вот что:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
DFC30D9C08D7984C4373|413|3|2
на электронный адрес 1986Frederick.MacAlister@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproje...ad-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorzimsbfbkx.onion/
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
http://cryptorzimsbfbkx.onion.to/
http://cryptorzimsbfbkx.onion.cab/

Система 64-разрядная, логи прилагаю, прошу помощи.

CollectionLog-2016.04.24-19.52.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Денис Денис]

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Сделано.

AdwCleanerS1.txt

[mike 1]

Amigo деинсталлируйте, если не пользуйтесь им.

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Денис Денис]

 

Amigo деинсталлируйте, если не пользуйтесь им.

Сделано.

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Денис Денис]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Сделано.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

2016-04-23 08:56 - 2016-04-23 08:56 - 03932214 _____ C:\Users\Анастасия\AppData\Roaming\E0DA597AE0DA597A.bmp

2016-04-22 17:12 - 2016-04-23 20:47 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-04-22 17:12 - 2016-04-23 20:47 - 00000000 __SHD C:\ProgramData\Windows

Task: {14339FE0-5584-4572-892C-B1F949AFF7FF} - System32\Tasks\Safebrowser => C:\Users\Анастасия\AppData\Local\Microsoft\Extensions\safebrowser.exe

Task: {36E2E681-B265-4900-9028-F3E73D891625} - System32\Tasks\{22A0BE2E-D8D5-4CCD-B18D-DAB11F1EF7E3} => C:\Program Files (x86)\Common Files\AppDownloads\{22A0BE2E-D8D5-4CCD-B18D-DAB11F1EF7E3}.exe

Task: {474937DA-BF31-4E47-878C-221FD48CDFEB} - System32\Tasks\{A180089D-118D-4FA4-8C9A-98C28C436235} => pcalua.exe -a C:\Users\Анастасия\AppData\Local\Temp\Temp2_setup.zip\setup.exe

Task: {8292C4F8-18C9-4B25-ACB3-415EC5DD7DF7} - System32\Tasks\{CB81C8DC-5515-46A7-B386-25ABF864600B} => C:\Program Files (x86)\Common Files\AppDownloads\{CB81C8DC-5515-46A7-B386-25ABF864600B}.exe

Task: {84427119-08B9-477D-BD53-6D0269472C44} - System32\Tasks\{1DBCEA23-AC33-4238-81F8-FD780F394510} => C:\Program Files (x86)\Common Files\AppDownloads\{1DBCEA23-AC33-4238-81F8-FD780F394510}.exe

Task: {8A41A3EF-03B2-4E87-A1BC-381545763BAB} - System32\Tasks\{9E012784-0A85-4CB2-A672-26CF2F26E3D4} => C:\Program Files (x86)\Common Files\AppDownloads\{9E012784-0A85-4CB2-A672-26CF2F26E3D4}.exe

Task: {B9BC5F1B-C71D-450A-8B9A-2168FB64ADD2} - System32\Tasks\{32F9895C-7B2B-4B8F-88B2-31995139E104} => C:\Program Files (x86)\Common Files\AppDownloads\{32F9895C-7B2B-4B8F-88B2-31995139E104}.exe

Task: {C302B730-95B8-483C-A6F0-75B857E8EB3C} - System32\Tasks\{79E2690E-5E6F-4D08-829B-284DA7FF2244} => C:\Program Files (x86)\Common Files\AppDownloads\{79E2690E-5E6F-4D08-829B-284DA7FF2244}.exe

Task: {CA7A0507-3DAF-436D-A32E-302804B8D028} - System32\Tasks\{E73F8E7E-491E-43FB-A860-6B73CB4EB922} => C:\Program Files (x86)\Common Files\AppDownloads\{E73F8E7E-491E-43FB-A860-6B73CB4EB922}.exe

Task: {D8389F95-F989-43E0-8D97-D531CE026243} - System32\Tasks\{8F5D84C1-FDDA-4052-83F9-EBDF92AD472E} => C:\Program Files (x86)\Common Files\AppDownloads\{8F5D84C1-FDDA-4052-83F9-EBDF92AD472E}.exe

Task: {DB48F69D-9BDC-45B6-BE2D-D31430AD6F02} - System32\Tasks\KRB Updater Utility => C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe

Task: {F3D7F0A0-FCDA-40C1-8577-AFA69CE42603} - System32\Tasks\{7C4594A7-3236-46C4-A91A-7E97E7FC00DD} => C:\Program Files (x86)\Common Files\AppDownloads\{7C4594A7-3236-46C4-A91A-7E97E7FC00DD}.exe

Task: {F7AB9AB9-12B7-43E4-939B-CC8871409479} - System32\Tasks\extsetup => C:\Users\Анастасия\AppData\Local\Microsoft\Extensions\extsetup.exe

Task: {FD61E11D-0297-4690-AA30-237B260254E7} - System32\Tasks\{3704D81C-9CCF-46B5-B888-8E0DE44C316B} => C:\Program Files (x86)\Common Files\AppDownloads\{3704D81C-9CCF-46B5-B888-8E0DE44C316B}.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Денис Денис]

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

Сделано. Экран оранжевый стал.

Fixlog.txt

[mike 1]

Лицензия на Антивирус Касперского у Вас есть?

[Денис Денис]

Да, лицензия есть.

[mike 1]

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083

[Денис Денис]

Добрый день. В апреле отставил ПК (за ненадобностью) на лучшие времена, думая, что в скором времени может появиться дешифратор. Скажите, на данный момент как-то возможно расшифровать файлы формата better_call_saul?

 

Или нет, и актуален ваш совет писать запрос на http://forum.kaspers...showtopic=48525 ? Там помогут?

Изменено 20 декабря, 2016 пользователем Денис Денис

[mike 1]

Пишите новый запрос, а там ответят. Иногда спустя какое-то время появляется решение.