зашифровано в CTBlocker

1 2 3 4 5 ... 22 След.
RSS
Доброе время суток всем.
Ситуация такая как описано ниже. Поймали непонятное и файлы jpg, txt и далее были переименованы с расширением *.ctbl

Вот что нарыл на просторах инета. Взято с форума Касперского. Копирую автора почти полностью, т.к у меня ситуация 1 в 1 как описано ниже.
Ссылка на сайт откуда взята инфа:
http://forum.kaspersky.com/index.php?s=37f92b710fc36f24e1767a1820c9ac01&showtopic=299536&pid=2255­970&st=0&#entry2255970

"Добрый день!

Это мой первый пост на этом форуме, поэтому, пожалуйста, поправьте меня, если я что-то предоставил не в том виде, или просто недописал. Постараюсь изложить поподробнее историю.

Поймали странный шифровальщик. После перезапуска системы часть файлов *.txt, *.doc, *.xls, *.xlsx, *.jpg, по традиции, оказались зашифрованными.
Никаких уведомлений, текстовых файлов, угроз и предложений не было обнаружено. Никаких писем и прочего не поступало.

К имени зашифрованного файла добавляется расширение *.ctbl
Размер файла примерно равен размеру оригинала.

Сам компьютер важно было продолжать использовать, поэтому пришлось удалить из реестра записи о запуске файлов. Сами подозрительные файлы сложил в отдельную папку.

При беглом поиске обнаружил несколько групп файлов.

Во-первых, был запущен некий странный процесс minerd.exe, что очень сильно напоминает троянца, который майнит всякие биткоины и прочее. Судя по всему, запускался он через какую-то сложную систему BAT-файлов, копируя себя и сопровождающие библиотеки в %AppData%\Microsoft\sys32, называясь driver.exe или drive.exe и прописываясь в автозагрузку через HKCU\...\Run. Также копия driver.exe шла в %ALLUSERSPROFILE%\Start Menu\Programs\Startup\.
При запуске системы это всё добро стартовало в 5-6 копий и висело в памяти.

Во-вторых, в %temp% лежал файл mslzxvvyt.exe. Сам файл был залочен, при этом handle.exe от Sysinternals затруднялся ответить, что же блочит этот файл. Пришлось грузиться в безопасном режиме, чтобы перенести его из %temp% в папку. Возможно, именно это и есть шифровальщик.

В-третьих, в %userprofile% лежал 37-мегабайтный скрытый hqxejuyz.exe, в котором видны повторяющиеся структуры данных и что-то про Symantec. Поскольку Symantec давно был удалён, и я не помню, чтобы он клал что-то прямо в папку пользователя, тоже отправил в ту же папку, на всякий случай.

В-четвёртых, в папке Windows\System32, а также в %temp% лежали целая куча exe-файлов вида run[7-8 цифр].exe размером ок. 680 кб.

Ну и, наконец, в %temp% был обнаружен wkjtqif.html, в котором в красивую аккуратную табличку белыми буквами на сером фоне были занесены имена некоторых пошифрованных файлов. Что характерно, в конце файла не закрыты теги </table></body></html>, то есть, возможно, генерация файла была прервана."
......................................................
У меня все тоже самое. Пользователь в панике, т.к "зашифрованы" почти все личные фотографии.
Что делать и как с этим бороться?
Благодарю за внимание.
Изменено: Danetak Danetak - 18.11.2016 07:29:55
Добрый день. Присоединяюсь к вопросу. У меня случилась аналогичная ситуация, только с файлами ворд. К ним добавилось расширение .ctbl, ни один не открывается. Как спасти ситуацию. Пострадали ценнейшие документы.
Если у Вас имеется лицензия на ESET, для подбора дешифратора обратитесь в техподдержку: support@esetnod32.ru
ESET Technical Support
Присоединяюсь. Аналогичная ситуация. В поддержку написал.
Интересно, какая антивирусная компания будет первой в решении данной ситуации.
Специально зарегистрировался, из-за этой темы. Есть информация.К сожалению - пока не утешительная. Мы имеем дело с очередными вымогателями! На самом деле в корневом диске находился неприметный HTML файл. У меня он носит название "yxgcgjl". Далее цитирую текст письма:
" Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.
1. Go to site http://torproject.org.
2. Press 'DOWNLOAD Tor Browser Bundle', install and run it.
3. Now you have Tor Browser. In the Tor Browser open the http://zaxseiufetlkwpeu.onion
Note that this server is available via Tor Browser only.
4. Copy and paste the following public key in the input form on server. Avoid missprints.
ME3F6L-ZY44Z2-ECJEDC-ID42E4-OFX6EH-YUJK7S-QCD4XU-VVDQZT
JSWKCF-BWNLVE-PETFDU-RZMEAS-IKTTSW-RZEVQY-SGWZ2Q-73OZXA
PDHQP5-YT5Y6J-R35MU7-3ZBVS7-EGPAC6-VMOSPC-CJ4PUM-WBUQV6
5. Follow the instructions on the server."
Далее идёт перечень зашифрованных файлов. Для тех, кто не знает английского,( как в прочем и я ) привожу приблизительный перевод:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с сильнейшей шифрования и уникальный ключ, генерируемыми для данного компьютера.
Секретный ключ расшифровки хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы платите и получить секретный ключ.
Если вы видите главное окно шкафчик, следуйте инструкциям на шкафчике.
Умничай, это кажется, что вы или ваш антивирус удалил программу шкафчик.
Теперь у вас есть последний шанс для расшифровки файлов.
1. Перейти на сайт http://torproject.org.
2. Нажмите 'СКАЧАТЬ Tor Browser Bundle ", установить и запустить его.
3. Теперь у вас есть Tor Browser. В браузере Tor открыть http://zaxseiufetlkwpeu.onion
Обратите внимание, что этот сервер доступен только через Tor Browser.
4. Скопируйте и вставьте открытый ключ следующий в форме ввода на сервере. Избегайте missprints.
ME3F6L-ZY44Z2-ECJEDC-ID42E4-OFX6EH-YUJK7S-QCD4XU-VVDQZT
JSWKCF-BWNLVE-PETFDU-RZMEAS-IKTTSW-RZEVQY-SGWZ2Q-73OZXA
PDHQP5-YT5Y6J-R35MU7-3ZBVS7-EGPAC6-VMOSPC-CJ4PUM-WBUQV6
5. Следуйте инструкциям на сервере.
Не знаю, каких масштабов достигла эта чума, но факт есть факт. Любопытно: HTML-файл в корне диска С у всех носит одинаковое название, или у каждого индивидуальное?
Доброго времени суток. Рано утром я у себя обнаружил на компьютере вирус. Вчера компом не пользовался, сидела только мать. Утром, включив, увидев схожую надпись http://puu.sh/ekeDn/cd4f05a999.png
Пробовал запустить в безопасном режиме и найти файлы в regedit'e crypt и т.д. Нигде таких не обнаружил. Утилитой Dr.Web что-то почистил, надеясь уничтожить вирус.
Сейчас мне нужно расшифровать файлы, прошу помогите!! Сам в этом не очень хорошо разбираюсь. Скрин с шифроваными файлами - http://puu.sh/ekeXj/c9d8f20851.png
Формат шифрованых файлов очень странный : tokchzj
Врядли есть шансы подобрать дешифратор...
и что делать? не хочется терять файлы, помогите, пожалуйста
компьютер поймал вирус, потом пришел программист и удалил его из системы полностью, но после этого ни открывается ни один файл. документы очень важные помогите пожалуйста. тип файла  стал   Файл "JFCYDCE"
Игорь Кожолянко,попробуйте отправить запрос в техподдержку: support@esetnod32.ru
ESET Technical Support
1 2 3 4 5 ... 22 След.
Читают тему (гостей: 1)