файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту support@esetnod32.ru, письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 4 5 6 7 8 ... 61 След.
образ чистый
как понять "образ чистый" - нет вируса? а как расшифровать фото, видео и прочие документы?
да, чист, значит шифратора нет уже в автозапуске

расшифровать документы не получится, нет дешифратора на сегодня и завтра.

восстановить документы из точек восстановления не получится, поскольку функция теневого копирования не поддерживает создание копий документов для вашей системы
Цитата
uVS v3.85.3 [http://dsrt.dyndns.org];: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]
Спасибо большое за помощь, будем ждать появления дешифратора.
Такая же ситуация вирус зашифровал и переименовал все файлы в формат  .xtbl и не открывается ни один документ вот обзор
полный образ автозапуска
зашифрованный файл
1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

addsgn 1A07F79A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BD8669271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 wincheck

zoo %SystemDrive%\USERS\USER1\APPDATA\LOCAL\41313030-1167611279-3139-4434-38314D91D481\BNSE4829.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP:\\VARAGARADU.RU

REGT 27
REGT 28
REGT 29

; ConvertAd
exec C:\Users\User1\AppData\Local\41313030-1167611431-3139-4434-38314D91D481\uninstall.exe
; Remote Desktop Access (VuuPC)
exec C:\Users\User1\AppData\Roaming\VOPackage\Uninstall.exe
;deltmp
delnfr
CZOO
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
далее,

2. по восстановлению документов проверьте возможность восстановления из теневой копии

3. по расшифровке документов решения нет.
Добрый день.
Такая же проблема.
Цитата
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
B6D28E5F21A752C36263|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Помогите пожалуйста!
По зашифрованным файлам - слава богу, есть бэкап. Расшифровка не требуется.
Надо эту гадость удалить, чтоб еще чего важного не зашифровала!!!!
да, полный комплект:
шифратор + бэкдор, + троян_прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
addsgn A7679B199186C77F1844AEA13590DBC7298AE4A689A2183FEFDAC6BD058B774C20BDD8640D70977242D50F73F91649FA7D98451235515C48A662942FC706A921 64 TrojanProxy:Win32/Bunitu.F

zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
delall %Sys32%\CONFIG\SYSTEMPROFILE\PLMHGIXJ.EXE
addsgn A7679B19B91E1F245C13EB2D9BB11205E2CF5C3D8AFA1FBFC03B23BD50D6B609FF11C2573E92D8E52782849F8153B9637FDFE8B51016E92D2D77636A7BF72273 8 Backdoor.Win32.Drivedos.z

zoo %SystemRoot%\CHROMEMNGR.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту safety@chklst.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
спасибо
скрипт выполнил
перезагрузка
в папке с прогой нашел ZOO_2015-03-12_12-45-24.rar и послал Вам на почту
Цитата
пишем о старых и новых проблемах.
что писать то???
старая проблема - с помощью скрипта решена? как понять?
Новых - нет вроде...

Ах. да - сейчас сделаю дополнительно быструю проверку системы в малваребайт
Пред. 1 ... 4 5 6 7 8 ... 61 След.
Читают тему (гостей: 4)