файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 7 8 9 10 11 ... 61 След.

Сообщений: 9

Баллов: 4

Регистрация: 29.03.2015

Размещено 29.03.2015 16:07:59

Каким образом теперь стереть программы(кроме как shift+del),т.к. файлы деинсталляторя тоже зашифровались??

Изменено: Александр Статьин - 30.06.2017 06:01:06

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.03.2015 16:13:59

какие программы вы хотите стереть?

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 29.03.2015

Размещено 29.03.2015 16:28:26

Цитата
santy написал: какие программы вы хотите стереть?

Corel,Kingo android root,sopcast,ultraISO + игры

Изменено: Александр Статьин - 30.06.2017 06:01:06

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.03.2015 16:47:30

а какие файлы зашифровались там?

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 29.03.2015

Размещено 29.03.2015 16:59:29

Цитата
santy написал: а какие файлы зашифровались там?

"D:\123\CDisplay\unins000.dat"does not exist.Cannot uninstall
Так и везде

Прикрепленные файлы

S5I+H-JtOnZ-ISxebO4ENZMBEucGWN5q-Mp+n-g20Gg=.rar (2.99 КБ)
qgZhFh+67ne8WgSWS1hap2ddVPLqUgUTtu4wU4vtiY4=.rar (1.94 КБ)

Изменено: Александр Статьин - 30.06.2017 06:01:06

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.03.2015 18:31:00

теневые копии остались чистые?

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 29.03.2015

Размещено 29.03.2015 20:34:16

Цитата
santy написал: теневые копии остались чистые?

их вообще нет

Сообщений: 2

Баллов: 1

Регистрация: 05.04.2015

Размещено 05.04.2015 17:57:11

Прошу помочь расшифровать файлы.

Прикрепленные файлы

ЛАРИСА-ПК_2015-03-25_13-33-57.7z (667.26 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.04.2015 18:36:24

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\BROWSER.BAT del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GWASAY.EXE del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT delall %SystemDrive%\USERS\ЛАРИСА\DOWNLOADS\REFS.SU_53718.EXE delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE ;------------------------autoscript--------------------------- chklst delvir delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\2626136AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1408889320&FROM=TUGS&UID=ST1000DM003-9YN162_W1D0CVBXXXXXW... delref {41564952-412D-5637-4300-7A786E7484D7}\[CLSID] delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=B07AADD337247E8CC17BE2675B01A26A&TEXT={SEAR... regt 27 regt 28 regt 29 ; Surfing Protection exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe ; Remote Desktop Access (VuuPC) exec C:\Users\Лариса\AppData\Roaming\VOPackage\uninstall.exe ; webssearches uninstall exec C:\Users\Лариса\AppData\Roaming\webssearches\UninstallManager.exe -ptid=tugs ; Zaxar Games Browser exec C:\Program Files (x86)\Zaxar\uninstall.exe ; VTope, версия 1.0 exec C:\Program Files (x86)\VTope\unins000.exe ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\BROWSER.BAT
del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GWASAY.EXE
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\USERS\ЛАРИСА\DOWNLOADS\REFS.SU_53718.EXE
delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\2626136AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1408889320&FROM=TUGS&UID=ST1000DM003-9YN162_W1D0CVBXXXXXW...

delref {41564952-412D-5637-4300-7A786E7484D7}\[CLSID]

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=B07AADD337247E8CC17BE2675B01A26A&TEXT={SEAR...

regt 27
regt 28
regt 29
; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Лариса\AppData\Roaming\VOPackage\uninstall.exe
; webssearches uninstall
exec  C:\Users\Лариса\AppData\Roaming\webssearches\UninstallManager.exe  -ptid=tugs
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
; VTope, версия 1.0
exec  C:\Program Files (x86)\VTope\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
---------------
2. по восстановлению документов:
проверьте наличие теневых копий

3. по расшифровке файлов решения нет.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 05.04.2015

Размещено 05.04.2015 18:58:45

Цитата
сенти написал: 2. по восстановлению документов: проверьте наличие теневых копий

Теневых копий нет.

Цитата
сенти написал: 3. по расшифровке файлов решения нет.

А когда нибудь оно появится? Или все зашифрованные файлы можно удалять?

Пред. 1 ... 7 8 9 10 11 ... 61 След.