Перейти к содержанию

Вирус-шифровальщик Better call saul.

Kob9n
 Поделиться

Рекомендуемые сообщения

Kob9n

Kob9n

Опубликовано
Опубликовано (изменено)

Добрый день! Из личной почты был скачан архив, в котором оказался файл с вирусом Better call saul. После этого все локальные документы MS Office изменили формат,  зашифровались и не открываются. По инструкциям на форуме я скачал AVZ и провел сканирование на поиск "не хороших" файлов. Логи во вложении. 

 

 

Так же во вложении прикрепляю сам подозрительный файл а архиве (9276.gz), сам его не открывал, в целях осторожности.

LOG.zip

Изменено пользователем Kob9n
Карантин в теме
Kob9n

Kob9n

Опубликовано
  • Автор
Опубликовано

Провел процедуру, которую Вы мне сказали. Логи прилагаю. После прогона Kaspersky Removal Tool удалил 2 Трояна, но файлы так и остались зашифрованными с расширением  Better call saul.

CollectionLog-2016.04.26-09.24.zip

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Kob9n

Kob9n

Опубликовано
  • Автор
Опубликовано

Файлы во вложении.

 

 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

 

Addition+FRST.zip

mike 1

mike 1

Опубликовано
Опубликовано

Прикрепите логи в виде текстовых документов.

mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

2016-04-22 15:53 - 2016-04-22 16:58 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-04-22 15:53 - 2016-04-22 16:58 - 00000000 __SHD C:\ProgramData\Windows



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Kob9n

Kob9n

Опубликовано
  • Автор
Опубликовано

Провёл данную процедуру, лог во вложении. ПК не перезагрузился. Но закрылись открытые приложения.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CloseProcesses:
2016-04-22 15:53 - 2016-04-22 16:58 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-22 15:53 - 2016-04-22 16:58 - 00000000 __SHD C:\ProgramData\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

В Kaspersky Endpoint Security 10 модуль "Мониторинг системы" был включен на момент заражения шифровальщиком?

Kob9n

Kob9n

Опубликовано
  • Автор
Опубликовано

Мониторинг уязвимостей был выключен.

В Kaspersky Endpoint Security 10 модуль "Мониторинг системы" был включен на момент заражения шифровальщиком?

mike 1

mike 1

Опубликовано
Опубликовано

Речь шла о Мониторинге системы, а не о Мониторинге уязвимостей.

Kob9n

Kob9n

Опубликовано
  • Автор
Опубликовано

Прошу прощения, мониторинг системы не был включён.

Речь шла о Мониторинге системы, а не о Мониторинге уязвимостей.

mike 1

mike 1

Опубликовано
Опубликовано

Что и требовалось доказать, а был бы включен файлы остались целы. 

 

Восстанавливайте файлы по этой http://virusinfo.info/showthread.php?t=156188 инструкции (вариант с ShadowExplorer). 

Kob9n

Kob9n

Опубликовано
  • Автор
Опубликовано

Спасибо, Вы мне очень помогли. :thanx:

 

 

Что и требовалось доказать, а был бы включен файлы остались целы. 

 

Восстанавливайте файлы по этой http://virusinfo.info/showthread.php?t=156188 инструкции (вариант с ShadowExplorer). 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • andrvasil
      файлы зашифрованы better call saul
      Автор andrvasil
      Добрый день,
       
      Заразу подцепил на одном компьютере, файлы зашифрованы better call saul
       
      Требуемые txt файлы приложил от работы программы Farbar Recovery Scan Tool
      Addition.txt
      FRST.txt
    • lom1987
      better call saul зашифровал все файлы на пк помогите восстановить пожалуйста
      Автор lom1987
      better call saul зашифровал все файлы на  пк помогите восстановить пожалуйста

      README1.txt
      README2.txt
      README3.txt
      README4.txt
      README5.txt
      README6.txt
      README7.txt
      README8.txt
      README9.txt
      README10.txt
      1.rar
    • izobmuzei
      Шифровальщик better call saul
      Автор izobmuzei
      Добрый день. Вирус зашифровал все документы.Помогите разобраться

      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      163BCF37C54BC603866C|0
      на электронный адрес Kudryavtsev.Panfil@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
      их изменения расшифровка станет невозможной ни при каких условиях.
      Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
      воспользуйтесь резервным адресом. Его можно узнать двумя способами:
      1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
      В адресной строке Tor Browser-а введите адрес:
      http://cryptorzimsbfbkx.onion/
      и нажмите Enter. Загрузится страница с резервными email-адресами.
      2) В любом браузере перейдите по одному из адресов:
      http://cryptorzimsbfbkx.onion.to/
      http://cryptorzimsbfbkx.onion.cab/
      KL_syscure.zip
    • Egorka_m
      Вирус better call saul
      Автор Egorka_m
      На почту пришло сообщение со счетом от ростелекома, оно было открыто моим товарищем на компьютере. По прошествии двух-трех дней, заметили, что файлы на рабочем столе, в моих документах и прочих папках приобрели расширение *better_call_saul. Файлы readme с указанием номера и почты не были найдены. При прохождении проверки kaspersky virus removal tool было найдено 6 зараженных файлов, которые подверглись лечению. Логи прилагаю. Имеется ли шанс восстановления зашифрованных файлов, после удаления вируса?
      CollectionLog-2016.04.18-09.35.zip
    • Yuri Sozonov
      Зашифровано better call saul, Rufinian.Valichitskiy@gmail.com
      Автор Yuri Sozonov
      Здравствуйте!
      Помогите пож-ста. Зашифровал рабочие файлы. Ну и письмо, как у всех.
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E175999CE97687A18BB5|0
      на электронный адрес Rufinian.Valichitskiy@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
      их изменения расшифровка станет невозможной ни при каких условиях.
      Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
      воспользуйтесь резервным адресом. Его можно узнать двумя способами:
      1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
      В адресной строке Tor Browser-а введите адрес:
      http://cryptorzimsbfbkx.onion/
      и нажмите Enter. Загрузится страница с резервными email-адресами.
      2) В любом браузере перейдите по одному из адресов:
      http://cryptorzimsbfbkx.onion.to/
      http://cryptorzimsbfbkx.onion.cab/
      CollectionLog-2016.04.18-12.15.zip
×
×
  • Создать...