файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту support@esetnod32.ru, письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

2015.02.20 19:59
2015.02.20 14:59 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v3.85 [http://dsrt.dyndns.org];: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
64-х битный модуль активирован
UAC: 0
Свободно физической памяти 4360Mb из 6125Mb
Свободно на системном диске: 203,4GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v9.11.9600.17633
--------------------------------------------------------
Текущий пользователь: GERA\GERA
uVS запущен под пользователем: GERA\GERA
Имя компьютера: GERA
--------------------------------------------------------
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Всего: 0
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Загружено реестров пользователей: 0
Построение списка процессов и модулей...
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Анализ автозапуска...
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [D:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [D:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [596,2GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Анализ файлов в списке...
Анализ завершен.
Список готов.
======= Начало исполнения скрипта =======
--------------------------------------------------------
v385c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\WIN.VBS
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\WIN.VBS
Файл скопирован в ZOO: C:\USERS\GERA\DESKTOP\1\ZOO\WIN.VBS._C9AF2F6B9FD53BE9BDB004EB8616794C7FCC0087
--------------------------------------------------------
delall %SystemRoot%\WIN.VBS
--------------------------------------------------------
Удаление ссылок и самого файла: C:\WINDOWS\WIN.VBS
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 0 из 0 | Удалено файлов: 1 из 1
--------------------------------------------------------
czoo
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------
--------------------------------------------------------
Всего 8Kb
WinRAR...
Пароль к архиву: virus
C:\USERS\GERA\DESKTOP\1\ZOO_2015-02-20_20-00-42.rar
Всего 2Kb
Операция успешно завершена.
а каких изменений вы ждете? это скрипт очистки системы, а не расшифровки зашифрованных документов. ZOO не нужен. его ведь не запрашивали.

по теневым копиями проверили? есть копии для системного диска или нет?
по теневым копям как понять?и где смотреть копии?
Прошу Вас уделите мне времени и своего терпения
вышлите в почту safety@chklst.ru id и пароль от Тимвьювера
+
укажите в письме на эту тему форума.
к сожалению восстановление документов невозможно. единственная копия документов уже с зашифрованными документами.
расшифровки по xtbl нет в вирлабах.
Здравствуйте. Окажите помощь по очистке системы. Вирус по ходу убился, но возможно что то осталось.
Образ прилагаю.  http://rghost.ru/6sNvbTn9q
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
delall %SystemDrive%\USERS\F877~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
exec C:\Users\ЛЕНА\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
exec "C:\Users\ЛЕНА\AppData\Local\Yandex\YandexBrowser\Application\38.0.2125.10034\Installer\setup.exe" --uninstall
exec32 MsiExec.exe /X{B9C3392F-76A5-4130-B60B-4D9C0B03E6C8}
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа
Выполнил. Было найдено 25 угроз. О сложности расшифровки *.xtbl начитался уже. Имеет ли смысл отправлять пару файлов в тех.поддержку? Фоток жалко.
Изменено: Николай Харченко - 30.06.2017 05:55:13
попытка, не пытка. если есть лицензия - отправьте файлы, пусть криптологи шифр ломают.
Изменено: santy - 30.06.2017 05:55:13
Вы правы! Так и сделал.
Спасибо.
Читают тему (гостей: 3)