файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту support@esetnod32.ru, письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 5 6 7 8 9 ... 61 След.
Цитата
пишем о старых и новых проблемах.
о старых проблемах можно как правило судить по реакции системы: лучше, хуже.
появился доступ в сеть или нет,
прекратил сигналить антивир по вирусам или продолжает
убралась реклама из браузер или без изменений
и т.п.
--------
а по новым, это если появились новые ошибки в работе системы после скрипта.
теоретически может быть и такое.
Вообще ситуация такая
работаю дома (фирма разъехалась по разным городам)
Есть ноут рабочий с windows7 (был у бухгалтера, сейчас у меня)
и мне  передали сервер (комп для 1С) с windows server 2008 r2 enterprise
так вот на этом серваке ВООБЩЕ нет никакого антивируса ...
(Кстати....Что можно поставить на систему windows server??? Какой антивирус???)

И я сегодня начав работу с серваком - заметил на диске C и D текстовые файлы README1(2,3 и т.д.) с текстом, что какие то файлы зашифрованы
Я даже не знал какие... погуглил и нашел - файлы с расширением xtbl
Поиском нашел их у себя на серваке (слава богу зашифровал файлы. по которым я делал бекап)
И написал сюда....

Как мне понять, что шифратор + бэкдор, + троян_прокси удалены??

А вот Лог от malwarebytes .. - 7 проблем выявлено :(

Все 7 проблем - в карантин!!!!
Изменено: Дмитрий Роньшин - 30.06.2017 05:58:38
поставьте лицензионный ESET File SECURITY v 4.5 или v6.0
--------------
если уже все отправили в карантин, сделайте повторное быстрое сканирование в мбам
Изменено: santy - 30.06.2017 05:58:38
+
вопрос: эта программа что у вас делает? судя по образу очень активно работает с сетью
Код
C:\PROGRAM FILES\WINRAR32\WASPPACER.EXE
a variant of Win32/Wasppacer.A
Tool.Wasppacer.2
not-a-virus:NetTool.Win32.Wasppace.l
Изменено: santy - 30.06.2017 05:58:38
Цитата
если уже все отправили в карантин, сделайте повторное быстрое сканирование в мбам
сделал. даже полное!  Ничего не нашлось!!!!
Ноут тоже просканировал ей - нашлось куча всего!!!! Тоже на карантин!!!
После повторного - чисто!!!!

Т.е., я так понимаю, той гадости (шифровальщика) нет сейчас у меня!?


Цитата
вопрос: эта программа что у вас делает? судя по образу очень активно работает с сетью    
....C:\PROGRAM FILES\WINRAR32\WASPPACER.EXE.....
Даже и не знаю... что это и с чем едят...
В СКРЫТОЙ папке WINRAR32... ХЗ...

погуглил
Цитата
программа для накрутки посещаемости сайтов
Ничем таким не занимался!!!! ;)
Процесс в данный момент не запущен - Снес все папку ... рестарт... поиск по реестру - ничего нет... слава богу

Спасибо за помощь!
Изменено: Дмитрий Роньшин - 30.06.2017 05:58:38
шифратора сейчас нет. удалился скрипом
но судя по первому образу был.
Код
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
такой еще скрипт выполните.

-------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\SERVICE.EXE
addsgn 9252773A106AC1CC0BA4544EA34F0AAF238A42A6131F48F1604E5998D0178EB312D7936EE220660F6DD3ECA66F1E49ADFE1CEC213D961C2E2D2127ECC35572B4 8 Win32/Agent.VZD [ESET-NOD32]

delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
delall %Sys32%\CONFIG\SYSTEMPROFILE\PLMHGIXJ.EXE
delall %SystemRoot%\SYSWOW64\SERVICE.EXE
addsgn 925277AA3C6AC1CC0B34784EA34F0A99088A02A79FCF48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Wasppacer.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\WINRAR32\WASPPACER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\WINRAR32

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
Все сделал.
Проблем вроде не наблюдается...

Спасибо!
Вот что случилось

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
B6D28E5F21A752C36263|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Помогите пожалуйста!
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
deldir %SystemDrive%\PROGRA~2\SUPTAB
hide %SystemDrive%\PROGRAM FILES (X86)\LG ELECTRONICS\LG UNITED MOBILE DRIVERS\INSTALLUSB9X.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref HTTP://WWW.DELTA-HOMES.COM/?TYPE=HP&TS=1402597514&FROM=WPM0612&UID=SAMSUNGXHD502HJ_S20BJ9BB212798
delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1401272503&FROM=COR&UID=SAMSUNGXHD502HJ_S20BJ9BB212798&Q={...
delref %Sys32%\DRIVERS\{49E51043-D75A-40D9-8746-5BE1E5685C73}GW64.SYS
del %Sys32%\DRIVERS\{49E51043-D75A-40D9-8746-5BE1E5685C73}GW64.SYS

delref %Sys32%\DRIVERS\{9EDD0EA8-2819-47C2-8320-B007D5996F8A}GW64.SYS
del %Sys32%\DRIVERS\{9EDD0EA8-2819-47C2-8320-B007D5996F8A}GW64.SYS

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1402597514&FROM=WPM0612&UID=SAMSUNGXHD502HJ_S20BJ9BB21...
; OpenAL
exec  C:\Program Files (x86)\OpenAL\ol.exe" /U
deltmp
delnfr
czoo
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту safety@chklst.ru
------------
далее,

проверьте возможность восстановить документы из теневой копии.
Просьба помочь дешифровать xtbl, ytbl.
Пред. 1 ... 5 6 7 8 9 ... 61 След.
Читают тему (гостей: 5)