Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/4: Рейтинг темы: голосов - 4, средняя оценка - 5.00
0 / 0 / 0
Регистрация: 23.04.2016
Сообщений: 2
1

Файлы зашифрованы better_call_saul

23.04.2016, 22:15. Просмотров 682. Ответов 2
Метки нет (Все метки)


Подхватил вирус-шифровальщик, предположительно через вложение в электронной почте. Зашифрованы вордовские документы и фото. В файле README.txt на диске следующее:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
CCA1E6016852B2A12292|495|3|8
на электронный адрес Rufinian.Valichitskiy@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/dow... sy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorzimsbfbkx.onion/
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
http://cryptorzimsbfbkx.onion.to/
http://cryptorzimsbfbkx.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
CCA1E6016852B2A12292|495|3|8
to e-mail address Rufinian.Valichitskiy@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the reserve email. You can get it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/dow... sy.html.en
Install it and type the following address into the address bar:
http://cryptorzimsbfbkx.onion/
Press Enter and then the page with reserve emails will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptorzimsbfbkx.onion.to/
http://cryptorzimsbfbkx.onion.cab/
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
23.04.2016, 22:15
Ответы с готовыми решениями:

Файлы зашифрованы better_call_saul
Файлы зашифрованы better_call_saul Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам...

Файлы зашифрованы вирусом better_call_saul
Здравствуйте! Файлы оказались зашифрованы вирусом better_call_saul. Операционка Win 7. Почистил...

Файлы стали зашифрованы Better_call_saul
Добрый День.Получила письмо с файлом , открыла его и все. ВСЕ файлы стали зашифрованы. Подскажите...

Файлы стали с расширением Better_call_saul
Добрый. На почтовый ящик предприятия в бухгалтерию пришло письмо с файлом , открыла его и все...

2
0 / 0 / 0
Регистрация: 23.04.2016
Сообщений: 2
24.04.2016, 00:29  [ТС] 2
Добавил логи
0
Вложения
Тип файла: zip CollectionLog-2016.04.23-23.41.zip (70.5 Кб, 2 просмотров)
Тип файла: log report1.log (836 байт, 1 просмотров)
Тип файла: log report2.log (1.8 Кб, 1 просмотров)
Вирусоборец
15812 / 13164 / 2326
Регистрация: 08.10.2012
Сообщений: 53,439
24.04.2016, 23:18 3
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя gramm67. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\programdata\windows\csrss.exe');
     QuarantineFileF('c:\users\галина\appdata\roaming\newsi_1\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\галина\appdata\roaming\newsi_4396\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\галина\appdata\roaming\newsi_2149\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('c:\programdata\windows\csrss.exe', '');
     QuarantineFile('C:\Users\Галина\AppData\Roaming\newSI_1\s_inst.exe', '');
     QuarantineFile('C:\Users\Галина\AppData\Roaming\newSI_4396\s_inst.exe', '');
     QuarantineFile('C:\Users\Галина\appdata\roaming\newsi_2149\s_inst.exe', '');
     QuarantineFile('C:\Users\Галина\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
     QuarantineFile('C:\Users\Галина\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
     QuarantineFile('C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
     QuarantineFile('C:\Users\Галина\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
     DeleteFile('C:\Users\Галина\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
     DeleteFile('C:\Users\Галина\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe');
     DeleteFile('C:\Windows\Tasks\newSI_1.job', '32');
     DeleteFile('C:\Windows\Tasks\newSI_4396.job', '32');
     DeleteFile('c:\programdata\windows\csrss.exe', '32');
     DeleteFile('C:\Users\Галина\AppData\Roaming\newSI_1\s_inst.exe', '32');
     DeleteFile('C:\Users\Галина\AppData\Roaming\newSI_4396\s_inst.exe', '32');
     DeleteFile('C:\Users\Галина\appdata\roaming\newsi_2149\s_inst.exe', '32');
     DeleteFileMask('c:\users\галина\appdata\roaming\newsi_1\', '*', true);
     DeleteFileMask('c:\users\галина\appdata\roaming\newsi_4396\', '*', true);
     DeleteFileMask('c:\users\галина\appdata\roaming\newsi_2149\', '*', true);
     DeleteDirectory('c:\users\галина\appdata\roaming\newsi_1\');
     DeleteDirectory('c:\users\галина\appdata\roaming\newsi_4396\');
     DeleteDirectory('c:\users\галина\appdata\roaming\newsi_2149\');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(4);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
24.04.2016, 23:18

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Слетели все файлы и 1С (пишет better_call_saul)
Здравствуйте, бухгалтер скачала письмо и распаковала зип папку, теперь на копме нет ни одного...

Вирус-шифровальщик, все файлы имееют расширение .better_call_saul
Было получено письмо со счетом на электронную почту, файл открыл, после этого все файлы на...

Столкнулся в первые с вирусом, который шифрует файлы, *.better_call_saul (Лучше звоните солу)
Доброго времени суток. Столкнулся в первые с вирусом, который шифрует файлы, а расширение ставит...

Зашифрованы файлы
Такая проблема возникла несколько дней назад. Видимо какие-то недоноски взломали меня через бэкдор,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
3
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.