Шифровальщик .better_call_saul

[JDS]

Добрый день, я уже пытался составить заявку № 199059 http://virusinfo.info/showthread.php?t=199059&p=1371770, но сообщение в той теме с вложениями логов AVZ и HiJackThis не удалось отправить, то ли оно не отображается. Создал эту новую заявку, заранее прошу прощения.
Ситуациия такая: бухгалтер запустила сразу же из двух писем, с якобы актом сверки и счётом, два файла запакованных в архив *.gz, антивирус Avira по какой-то причине не отреагировала на эти файлы. В итоге вся документации на ПК зашифровалась в файлы с расширением .better_call_saul. На рабочем столе красная надпись, о том что файлы зашифрованы и надо следовать инструкции Readme:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
EC5F8CD196A273806B5A|418|3|2
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
________________________________________
Оба файла вируса из вложения писем сохранились, если понадобятся - отправлю. Оплату за помощь готовы внести хоть сейчас.
Пример зашифрованного файла: http://my-files.ru/kg1ebu

[Info_bot]

Уважаемый(ая) JDS, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Ettion\ComDsc.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YnPack');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Ettion\ComDsc.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[JDS]

c:\quarantine.zip отправил. Правила выполнил ещё раз, новые логи во вложении.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[JDS]

Готово.

[thyrex]

Сделайте лог CheckBrowsers' Lnk

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-299502267-562591055-682003330-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin: @qq.com/npAndroidAssistant -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1436160213&z=c0257fcc6da3113f5b86ff6gaz0c9qcg2qac1bcz1b&from=face&uid=395049983_3149584_747A3736&q={searchTerms}
CHR DefaultSearchKeyword: Default -> istartsurf
CHR Extension: (CiPlus-4.5vV05.07) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-22]
CHR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-07-03]
OPR Extension: (CiPlus-4.5vV05.07) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-22]
OPR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-07-03]
2016-03-30 15:45 - 2016-03-30 15:45 - 04320054 _____ C:\Documents and Settings\User\Application Data\56BD191356BD1913.bmp
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README10.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\User\Рабочий стол\README1.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-03-30 15:45 - 2016-03-30 15:45 - 00001332 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-03-30 14:41 - 2016-03-31 09:00 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README9.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README8.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README7.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README6.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README5.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README4.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README3.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README2.txt
2016-03-30 11:51 - 2016-03-30 11:51 - 00001332 _____ C:\README10.txt
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[JDS]

Готово.

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

[JDS]

Сделано.

[thyrex]

С расшифровкой не поможем

[JDS]

Ясно, спасибо, что хоть взялись попробовать. А к сотрудникам Касперского или др.Вэба стоит обращаться за расшифровкой или бесполезно?

[thyrex]

Бесполезно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены