файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 12 13 14 15 16 ... 61 След.

Сообщений: 9

Баллов: 4

Регистрация: 07.06.2015

Размещено 07.06.2015 12:42:22

Вот

Прикрепленные файлы

АДМИН-ПК_2015-06-07_13-44-15.7z (717.87 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 07.06.2015 12:57:39

1. по расшифровке не поможем,

2. по восстановлению документов смотрите чистые теневые копии, возможно сохранились.

3. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_20117\S_INST.EXE addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029 zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 sohanad_vir deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX deldir %SystemDrive%\PROGRAM FILES (X86)\BETTER-SURF\IE deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\IE deldir %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE deldir %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE3770 deldir %SystemDrive%\PROGRAM FILES (X86)\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA486 deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\BETTERSURFPLUS delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\MSIVDY.EXE delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\LIBCURL-4.DLL deldir %SystemDrive%\PROGRAMDATA\SCHEDULE delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE hide %SystemDrive%\PROGRAM FILES (X86)\GRETECH\GOMPLAYER\GOMWIZ.EXE hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_2149\S_INST.EXE delall %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\12512\A15925.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT regt 27 regt 28 regt 29 ; Java(TM) 6 Update 25 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416025FF} /quiet ; SmilesExtensions version 2.1 exec C:\Program Files (x86)\smwdgt\unins000.exe exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_20117\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 sohanad_vir

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTER-SURF\IE
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\IE
deldir %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE
deldir %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE3770
deldir %SystemDrive%\PROGRAM FILES (X86)\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA486
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\BETTERSURFPLUS
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\MSIVDY.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\LIBCURL-4.DLL
deldir %SystemDrive%\PROGRAMDATA\SCHEDULE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\GRETECH\GOMPLAYER\GOMWIZ.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_2149\S_INST.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\12512\A15925.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

regt 27
regt 28
regt 29
; Java(TM) 6 Update 25 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416025FF} /quiet
; SmilesExtensions version 2.1
exec  C:\Program Files (x86)\smwdgt\unins000.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+ добавьте лог выполнения скрипта. это файл
дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 07.06.2015

Размещено 07.06.2015 15:04:13

1. Очень жаль, что не поможете.(
2. Теневых копий нету. То есть я уже никак не смогу восстановить файлы?
3. Сделала

Прикрепленные файлы

АДМИН-ПК_2015-06-07_16-52-22.7z (697.69 КБ)
07.06.2015.txt (17.7 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 07.06.2015 15:09:29

нужен лог выполнения скрипта, не путайте это с образом автозапуска.
лог лежит в папке uVS
его имя формируется от даты выполнения скрипта.
дата_времяlog.txt
он нужен для контроля выполнения некоторых команд скрипта.
-----------------
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

Изменено: santy - 30.06.2017 06:06:47

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 07.06.2015

Размещено 07.06.2015 15:10:52

Лог

Прикрепленные файлы

2015-06-07_15-13-08_log.txt (46.17 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 07.06.2015 15:15:53

да, вот этот блок нужен для контроля.

Цитата
-------------------------------------------------------- regt 27 -------------------------------------------------------- Удаление всех политик Google Chrome... RegOpenKeyRead (user): [Не удается найти указанный файл. ] SavePolicy (user): [Отказано в доступе. ] Операция завершена.

продолжайте очистку системы

+
по xtbl нет расшифровки ни у кого. (кроме злоумышленников)
нет по Creakl CL, ctb locker, VAULT возможно по некоторым другим.
поэтому делайте выводы на будущее
(дальше будет хуже, для мошенников это просто очень эффективный метод заработка средств, возможно и развлечение):
1. регулярные копии документов
2. ограничить запуск нежелательных программ через локальные политики
3. включить защиту диска с резервированием пространства под теневые копии,
4. включить ясное представление об угрозах в сети: браузеры, электронная почта
-------

Изменено: santy - 30.06.2017 06:06:47

[ Как создать образ автозапуска? ]

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 07.06.2015 16:12:37

лог frst обязательно нужен для контроля очистки политик Хрома, через которые (в данном случае) активизируется реклама

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 07.06.2015

Размещено 07.06.2015 16:29:47

Я не знала просто, что всё настолько плохо может быть.

Теперь буду знать.

Всё сделала.

Прикрепленные файлы

AdwCleaner[S0].txt (8.71 КБ)
Addition.txt (46.57 КБ)
FRST.txt (78.07 КБ)

Сообщений: 9

Баллов: 4

Регистрация: 07.06.2015

Размещено 07.06.2015 16:31:53

Цитата
santy написал: лог frst обязательно нужен для контроля очистки политик Хрома, через которые (в данном случае) активизируется реклама

Что с ним надо делать?

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 07.06.2015 17:01:57

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF Extension: Kino-Filmov.Net - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-09-19] FF Extension: madLen.uCoz.coM - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\madlen.ucoz.com.xpi [2010-09-19] FF Extension: Podsolnushki.com - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\podsolnushki.com.xpi [2012-08-27] FF Extension: No Name - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha220\ff [not found] FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home897\ff [not found] FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode3770\ff [not found] FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [not found] FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx OPR Extension: (AdBlock) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-03] OPR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2014-07-15] OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-03] OPR Extension: (ПромоКупоно) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\dnamklmggdjcdcflcgodfbmcepmbmaii [2014-07-15] CHR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2015-03-29] EmptyTemp: Reboot:

Цитата

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Extension: Kino-Filmov.Net - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-09-19]
FF Extension: madLen.uCoz.coM - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\madlen.ucoz.com.xpi [2010-09-19]
FF Extension: Podsolnushki.com - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\podsolnushki.com.xpi [2012-08-27]
FF Extension: No Name - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha220\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home897\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode3770\ff [not found]
FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [not found]
FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
OPR Extension: (AdBlock) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-03]
OPR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2014-07-15]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-03]
OPR Extension: (ПромоКупоно) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\dnamklmggdjcdcflcgodfbmcepmbmaii [2014-07-15]
CHR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2015-03-29]
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Пред. 1 ... 12 13 14 15 16 ... 61 След.