ransom.shade Зашифрованные файлы. better_call_saul расширение

[RumyantsevValentin]

Добрый день, подцепил вирус шифровальщик "better_call_saul". Помогите расшифровать файлы.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[RumyantsevValentin]

Порядок оформления запроса о помощи

Архив с логами 

CollectionLog-2016.09.02-17.32.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
 DeleteService('qrnfd_1_10_0_9');
 QuarantineFile('C:\Users\тишина\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\fc1a4ba9-2dbe-49d9-8221-77c4b989f0d3-1-6.exe','');
 QuarantineFile('C:\Program Files (x86)\HQ Cinema Video 1.9cV19.02\6addd53c-d712-4b80-b693-7e762fe51966-1-6.exe','');
 QuarantineFile('C:\Program Files (x86)\kin kon\kin_kon_notification_service.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
 QuarantineFile('C:\Program Files (x86)\compare for fun\compare_for_fun_updating_service.exe','');
 QuarantineFile('C:\Program Files (x86)\compare for fun\compare_for_fun_notification_service.exe','');
 DeleteFile('C:\Windows\Tasks\compare_for_fun_notification_service.job','32');
 DeleteFile('C:\Program Files (x86)\compare for fun\compare_for_fun_notification_service.exe','32');
 DeleteFile('C:\Program Files (x86)\compare for fun\compare_for_fun_updating_service.exe','32');
 DeleteFile('C:\Windows\Tasks\compare_for_fun_updating_service.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\kin_kon_notification_service.job','32');
 DeleteFile('C:\Program Files (x86)\kin kon\kin_kon_notification_service.exe','32');
 DeleteFile('C:\Program Files (x86)\HQ Cinema Video 1.9cV19.02\6addd53c-d712-4b80-b693-7e762fe51966-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\fc1a4ba9-2dbe-49d9-8221-77c4b989f0d3-1-6.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fc1a4ba9-2dbe-49d9-8221-77c4b989f0d3-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\6addd53c-d712-4b80-b693-7e762fe51966-1-6','64');
 DeleteFile('C:\Users\тишина\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи