Перейти к содержанию

Зашифрованные файлы. better_call_saul расширение

RumyantsevValentin

Автор RumyantsevValentin,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

thyrex

thyrex 1 468

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
 DeleteService('qrnfd_1_10_0_9');
 QuarantineFile('C:\Users\тишина\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Program Files (x86)\SavePass 1.1\fc1a4ba9-2dbe-49d9-8221-77c4b989f0d3-1-6.exe','');
 QuarantineFile('C:\Program Files (x86)\HQ Cinema Video 1.9cV19.02\6addd53c-d712-4b80-b693-7e762fe51966-1-6.exe','');
 QuarantineFile('C:\Program Files (x86)\kin kon\kin_kon_notification_service.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
 QuarantineFile('C:\Program Files (x86)\compare for fun\compare_for_fun_updating_service.exe','');
 QuarantineFile('C:\Program Files (x86)\compare for fun\compare_for_fun_notification_service.exe','');
 DeleteFile('C:\Windows\Tasks\compare_for_fun_notification_service.job','32');
 DeleteFile('C:\Program Files (x86)\compare for fun\compare_for_fun_notification_service.exe','32');
 DeleteFile('C:\Program Files (x86)\compare for fun\compare_for_fun_updating_service.exe','32');
 DeleteFile('C:\Windows\Tasks\compare_for_fun_updating_service.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\kin_kon_notification_service.job','32');
 DeleteFile('C:\Program Files (x86)\kin kon\kin_kon_notification_service.exe','32');
 DeleteFile('C:\Program Files (x86)\HQ Cinema Video 1.9cV19.02\6addd53c-d712-4b80-b693-7e762fe51966-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\SavePass 1.1\fc1a4ba9-2dbe-49d9-8221-77c4b989f0d3-1-6.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fc1a4ba9-2dbe-49d9-8221-77c4b989f0d3-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\6addd53c-d712-4b80-b693-7e762fe51966-1-6','64');
 DeleteFile('C:\Users\тишина\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • scidrov
      Расшифровка файлов
      От scidrov
      Добрый день!
       
      Зашифровались файлы, формат: better_call_saul. 
      Когда именно не помню, заметил только сейчас. 
      WinRAR archive.RAR
    • Grigas65
      Зашифрованы файлы. better_call_saul
      От Grigas65
      После использования чужой флешки был пойман шифровальщик,  зашифровавший все фотографии и видео.
      А так же появились файлы, предлагающие оплатить разблокировку (Если не ошибаюсь, т.к. се пишу со слов пользователя). Эти файлы были удалены незамедлительно, а так же была проверка программой "Malwarebytes Anti-Malware" и какой программой Dr.Web'a, которые, вроде как удалили шифровальщик.
      Произошло это около двух месяцев назад. Но, к сожалению, ни одна из утил-расшифровальщиков с сайта Касперского в тот момент помочь не смогла.
       
      Если у Вас есть возможность помочь - буду очень признателен.
       
      CollectionLog-2016.06.12-20.44.zip
    • lom1987
      better call saul зашифровал все файлы на пк помогите восстановить пожалуйста
      От lom1987
      better call saul зашифровал все файлы на  пк помогите восстановить пожалуйста

      README1.txt
      README2.txt
      README3.txt
      README4.txt
      README5.txt
      README6.txt
      README7.txt
      README8.txt
      README9.txt
      README10.txt
      1.rar
    • Лурик
      Зашифрованы файлы
      От Лурик
      Зашифрованы файлы
       
      Пример:
      3B4SpWjG6by1a4aO3YKaXA==.B9688B11EA8498ABB05D.better_call_saul
      9WL6WR5APsSV8fP0jhdSwA==.B9688B11EA8498ABB05D.better_call_saul
      README5.txt
      README10.txt
       
      Первоначально пришло сообщение со вложенным файлом на электронную почту:
      Бухгалтер --- Не Оплачен счет за март месяц-ТП2322537.
      При открытии - все файлы оказались зашифрованными.
       
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      B9688B11EA8498ABB05D|0
      на электронный адрес 1986Frederick.MacAlister@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
      их изменения расшифровка станет невозможной ни при каких условиях.
      Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
      воспользуйтесь резервным адресом. Его можно узнать двумя способами:
      1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
      В адресной строке Tor Browser-а введите адрес:
      http://cryptorzimsbfbkx.onion/
      и нажмите Enter. Загрузится страница с резервными email-адресами.
      2) В любом браузере перейдите по одному из адресов:
      http://cryptorzimsbfbkx.onion.to/
      http://cryptorzimsbfbkx.onion.cab/
       
       
      Ответ:
       
      простите помочь не смогу, пишите в четверг-пятницу
      сохраняйте файлы до лучших времен
      сервера изьяли органы(
      PS: вы можете как и остальные пользователи просить Касперского выложить ключи(мою базу или образ сервера)
      и как клиентоориентированная компания возможно они на этот шаг пойдут
      Ключи у них есть, но без меня они не смогут помочь, а у меня ключей нет
      README5.txt
      README10.txt
    • Денис Денис
      Зашифровались файлы, better_call_saul
      От Денис Денис
      Здравствуйте! Зашифровали файлы на пк, формат - better_call_saul
      В ридми вот что:
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      DFC30D9C08D7984C4373|413|3|2
      на электронный адрес 1986Frederick.MacAlister@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
      их изменения расшифровка станет невозможной ни при каких условиях.
      Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
      воспользуйтесь резервным адресом. Его можно узнать двумя способами:
      1) Скачайте и установите Tor Browser по ссылке: https://www.torproje...ad-easy.html.en
      В адресной строке Tor Browser-а введите адрес:
      http://cryptorzimsbfbkx.onion/
      и нажмите Enter. Загрузится страница с резервными email-адресами.
      2) В любом браузере перейдите по одному из адресов:
      http://cryptorzimsbfbkx.onion.to/
      http://cryptorzimsbfbkx.onion.cab/

      Система 64-разрядная, логи прилагаю, прошу помощи.
      CollectionLog-2016.04.24-19.52.zip
×
×
  • Создать...