файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту support@esetnod32.ru, письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 3 4 5 6 7 ... 61 След.

Сообщений: 4

Баллов: 2

Регистрация: 22.02.2015

Размещено 24.02.2015 09:31:55

Подправте адресок support@esetnod32.ru, а то чуть было не отправил.

Изменено: Николай Харченко - 30.06.2017 05:56:18

Сообщений: 17155

Баллов: 13724

Регистрация: 16.03.2010

Размещено 24.02.2015 11:21:09

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian del %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL ;------------------------autoscript--------------------------- chklst delvir delref HTTP://HELP.YANDEX.RU/YABROWSER/ setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4 regt 28 regt 29 ; Adobe Flash Players 10.0 exec C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HELP.YANDEX.RU/YABROWSER/

setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4
regt 28
regt 29
; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
по восстановлению данных проверьте возможность восстановить доки из теневой копии системного диска.
или можно выслать в почту safety@chklst.ru id и пароль от Тимвьювера.
с указанием ссылки на вашу тему.

по расшифровке документов решения нет.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 02.03.2015

Размещено 02.03.2015 17:14:21

Вирус зашифровал нужные файлы. Скрин я уже выслал.

Сообщений: 17155

Баллов: 13724

Регистрация: 16.03.2010

Размещено 02.03.2015 17:32:56

1. по очистке системы;

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE delall %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE restart czoo

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE
restart
czoo

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту safety@chklst.ru
------------
2. по расшифровке документов:
расшифровки для данного шифратора (xtbl) на сегодня нет.

3. по восстановлению документов.
пробуем восстановить документы из чистой теневой копии.
если необходима помочь, отправьте в почту safety@chklst.ru id и пароль от тимвьювера.

Изменено: santy - 30.06.2017 05:56:18

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 02.03.2015

Размещено 02.03.2015 17:52:12

вирус исчез, не открывается яндекс браузер.

Сообщений: 3

Баллов: 1

Регистрация: 02.03.2015

Размещено 02.03.2015 17:53:18

Как восстановить документы из чистой теневой копии.

Сообщений: 17155

Баллов: 13724

Регистрация: 16.03.2010

Размещено 02.03.2015 17:58:32

если необходима помочь в восстановлении документов из теневой копии, отправьте в почту safety@chklst.ru id и пароль от тимвьювера.

Изменено: santy - 30.06.2017 05:56:18

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 03.03.2015

Размещено 03.03.2015 16:10:24

ESET ES5 версия баз 11260 пропустил шифровальщика, файлы появились с расширением xtbl, что на данный момент, решение найдено??

PS есть несколько файлов оригиналов(не зашифрованных) и зашифрованных, прикреплять?

Изменено: Alex R - 30.06.2017 05:56:18

Сообщений: 17155

Баллов: 13724

Регистрация: 16.03.2010

Размещено 03.03.2015 17:16:06

решения по расшифровке на данный и на следующий момент нет.

1. добавьте образ автозапуска, возможно шифратор еще в автозапуске.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 05.03.2015

Размещено 05.03.2015 18:52:33

Доброго времени суток! Спасибо за помощь! Прошелся по ветке реестра, вроде бы не обнаружил там шифровальщика, но на всякий случай создал по Вашей ссылке образ автозапуска. Пытался утилитой от Касперского расшифровать - не получилось, скорее всего нет ключа к этому шифру.

Прикрепленные файлы

09AB29123B2742E_2015-03-05_19-03-41.7z (427.59 КБ)

Пред. 1 ... 3 4 5 6 7 ... 61 След.