Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
 
Алексей Арбузов
Алексей Арбузов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.01.2015
Размещено 27.01.2015 13:44:56
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 9 10 11 12 13 ... 61 След.
 
Вячеслав Артеменко
Вячеслав Артеменко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 16.04.2015
Размещено 21.04.2015 09:55:57
Образ
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 21.04.2015 11:08:57
1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


Код
;uVS v3.85.19 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\001\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\USERS\001\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deldirex %SystemDrive%\USERS\001\APPDATA\LOCAL\MEDIAGET2

delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов проверьте теневые копии.

3. по расшифровке документов решения нет.
[ Как создать образ автозапуска? ]
 
Вячеслав Артеменко
Вячеслав Артеменко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 16.04.2015
Размещено 21.04.2015 12:08:52
Спасибо.
 
Евгений Барышев
Евгений Барышев
Пользователь
Сообщений: 1
Регистрация: 20.05.2015
Размещено 20.05.2015 00:33:09
Здравствуйте!!
Вчера обнаружил, что мой компьютер был атакован вирусом шифратор и все мои файлы приняли формат(xtbl), прошу посоветуйте что нужно сделать?
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 20.05.2015 04:16:34
1. сделайте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. проверьте наличие чистых теневых копий
[ Как создать образ автозапуска? ]
 
Константин Поляшов
Константин Поляшов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 03.06.2015
Размещено 03.06.2015 20:02:24
у меня такая же штука. вот образ

помогите !!!
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 04.06.2015 05:44:25
Константин,
1. по расшифровке: расшифровки на сегодня нет в вирлабе.
2. по восстановлению документов: теневых копий у вас нет, значит только из архивных копий, если они создавались.
3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\KOS_TES\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ANYPROTECTEX\ANYPROTECT.LNK
delall %SystemRoot%\TEMP\ST19.TMP\CURLPP.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KOS_TES\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2A81OOPN.DEFAULT-1423496433421\SEARCHPLUGINS\DELTA-HOMES.XML
addsgn 1A7BF79A5583338CF42B627DA84B2F4577CFFCF7FBA510CEC1E7CD378017914428C7A558508F6F465B5B849050CDC2AE59DB517D55DAB0AFE58887E514E609A2 8 Adware.Mutabaha.355 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PICEXA\DUP.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KOS_TES\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2A81OOPN.DEFAULT-1423496433421\EXTENSIONS\[email protected]\INSTALL.RDF
addsgn 1A1D749A5583008CF42BFB3A8837074DC4C9FC9C8859C3C6C0C32D5454D671B3561F2BB13A559DCA165C3ADA461610A308D78273BD14B42C2D2ECC26C306E29B 8 Adware.Mutabaha.355 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PICEXA\PICEXA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KOS_TES\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ANYPROTECTEX\UNINSTALL.LNK
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES\PROWISE\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE
del %SystemDrive%\ОPЕRА.BАT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://ISEARCH.OMIGA-PLUS.COM/?TYPE=HP&TS=1423394256&FROM=FACE&UID=ST3250824AS_9ND0B8XLXXXX9ND0B8XL

delref HTTP://WWW.DELTA-HOMES.COM/?TYPE=HP&TS=1432148678&Z=4CD64A3A2645C8D3A168851G3ZCCCO7G5ZDB0Q0B4E&FROM=WPM05203&UID=ST3250824AS_9ND0B8XLXXXX9ND0B8XL

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1432148678&Z=4CD64A3A2645C8D3A168851G3ZCCCO7G5ZDB0Q0B4E&FROM=WPM05203&UID=ST3250824AS_9ND0B8XLXXXX9ND0B8XL&Q={SEARCHTERMS}

del %SystemDrive%\FIREFOX.BAT

del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\ISEARCH.OMIGA-PLUS.COM\?TYPE=SC&TS=1423394256&FROM=FACE&UID=ST3250824AS_9ND0B8XLXXXX9ND0B8XL

del %SystemDrive%\OPERA.BAT

del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\HELP.BAT

deldir %SystemDrive%\PROGRAM FILES\АУДИО И ВИДЕО СКАЧИВАНИЕ\IE\X86
deldirex %SystemRoot%\TEMP\ST19.TMP
deldir %SystemDrive%\PROGRAM FILES\TORRENT SEARCH
deldirex %SystemDrive%\PROGRAM FILES\PICEXA
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWSMANGERPROTECT\UPDATE
deldir %SystemDrive%\PROGRAM FILES\VUUPC
deldir %SystemDrive%\PROGRAM FILES\ANYPROTECTEX

regt 27
regt 28
regt 29
; ConvertAd
exec C:\Documents and Settings\kos_tes\Local Settings\Application Data\ConvertAd\uninstall.exe
; Java(TM) 6 Update 10
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS.
это файл дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 30.06.2017 06:03:15
[ Как создать образ автозапуска? ]
 
Константин Поляшов
Константин Поляшов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 03.06.2015
Размещено 04.06.2015 09:09:04
у меня всего 1 проблема как восстановить(расшифровать)  файлы. ?

так же вот файл с мал.....

перестал работать фаирфокс но это пустяк есть гуглхром.  
Изменено: Константин Поляшов - 30.06.2017 06:03:15
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 04.06.2015 09:46:44
1. по расшифровке и восстановлению я написал вам выше. (теневых копий нет, восстановить доки неоткуда,
другие варианты восстановления доков кроме теневой и архивной копии мы не рассматриваем)

2. образ делаете одной версией uVS
uVS v3.85.22 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

скрипт выполняете другой версией
uVS v3.85 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

----------
это неправильно, конечно.

3. по логу mbam все чисто,

4. далее, по очистке системы

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
5.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

6.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
[ Как создать образ автозапуска? ]
 
Константин Поляшов
Константин Поляшов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 03.06.2015
Размещено 04.06.2015 10:11:59
из FRST
 
Пред. 1 ... 9 10 11 12 13 ... 61 След.
Читают тему