файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 41 42 43 44 45 ... 61 След.

Сообщений: 1

Регистрация: 21.01.2016

Размещено 21.01.2016 08:02:18

Здравствуйте!
Помогите прибить шифровальщик.

Прикрепленные файлы

USER-PC_2016-01-21_09-45-00.7z (847.29 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2016 08:50:07

шифратора уже нет в автозапуске

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES (X86)\DSYNC\DSYNCHRONIZE.EXE hide %SystemDrive%\PROGRAM FILES (X86)\WIN7CODECS\TOOLS\SETTINGS32.EXE hide %SystemDrive%\PROGRAM FILES (X86)\R-STUDIO\UNINSTALL.EXE ;------------------------autoscript--------------------------- chklst delvir delref {1392B8D2-5C05-419F-A8F6-B9F15A596612}\[CLSID] delref {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6}\[CLSID] delref {37483B40-C254-4A72-BDA4-22EE90182C1E}\[CLSID] delref {074C1DC5-9320-4A9A-947D-C042949C6216}\[CLSID] delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID] deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALBPA.BAT del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALENILTOH.BAT regt 28 regt 29 ; SkyMonk Client exec C:\Program Files (x86)\SkyMonk\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\DSYNC\DSYNCHRONIZE.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\WIN7CODECS\TOOLS\SETTINGS32.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\R-STUDIO\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {1392B8D2-5C05-419F-A8F6-B9F15A596612}\[CLSID]

delref {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6}\[CLSID]

delref {37483B40-C254-4A72-BDA4-22EE90182C1E}\[CLSID]

delref {074C1DC5-9320-4A9A-947D-C042949C6216}\[CLSID]

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC

del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT

del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALBPA.BAT

del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALENILTOH.BAT

regt 28
regt 29
; SkyMonk Client
exec  C:\Program Files (x86)\SkyMonk\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 20.01.2016

Размещено 21.01.2016 08:59:34

где их искать?

Сообщений: 6

Баллов: 3

Регистрация: 20.01.2016

Размещено 21.01.2016 09:01:34

такие?!

Сообщений: 6

Баллов: 3

Регистрация: 20.01.2016

Размещено 21.01.2016 09:02:33

Имя файла не дает его загрузить. Переименовать?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2016 09:31:32

можно в архив добавить, а имя архива уже свое создать

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 20.01.2016

Размещено 21.01.2016 09:47:55

Готово

Прикрепленные файлы

Архив WinRAR.RAR (1.83 МБ)

Сообщений: 1

Регистрация: 21.01.2016

Размещено 21.01.2016 09:56:29

Доброго времени суток.
У клиента вылез тот же шифровальщик с расширением *.breaking_bad.
Ссылочка на образ автозапуска https://dropmefiles.com/F3gDO

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2016 11:07:07

breaking_bad
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 9A2CBCDA5582BC8DF42BAEB164C81205158AFCF6C1FA1F7885C3C5BC514A8A44FCF6891FAD4FBCA7953B4B5A461649FA7DDFE97255DAB02C2D77A42F816ADE00 8 Win32/Boaxxe.CS [ESET-NOD32] zoo %SystemDrive%\USERS\SERVER KIWI\APPDATA\LOCAL\AXWORKS\D13F21D5.EXE delall %SystemDrive%\USERS\SERVER KIWI\APPDATA\LOCAL\AXWORKS\STRONG.DLL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 9A2CBCDA5582BC8DF42BAEB164C81205158AFCF6C1FA1F7885C3C5BC514A8A44FCF6891FAD4FBCA7953B4B5A461649FA7DDFE97255DAB02C2D77A42F816ADE00 8 Win32/Boaxxe.CS [ESET-NOD32]

zoo %SystemDrive%\USERS\SERVER KIWI\APPDATA\LOCAL\AXWORKS\D13F21D5.EXE
delall %SystemDrive%\USERS\SERVER KIWI\APPDATA\LOCAL\AXWORKS\STRONG.DLL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2016 11:14:12

Сергей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Пред. 1 ... 41 42 43 44 45 ... 61 След.