файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 28 29 30 31 32 ... 61 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.12.2015 13:54:46

Янина Дроздова,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFESVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE delref %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\TSV\TSVR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNL.SYS delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLMON.SYS delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLR3.SYS delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS delref HTTP://WWW.OMNIBOXES.COM/WEB/?TYPE=DS&TS=1447137443&Z=DD09E4096503BFD2FC88A7FG4Z6ZDM5GAC3M4C7O0Q&FROM=WPM07163&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518&Q={SEARCHTERMS} delref HTTP://WWW.V9.COM/?TYPE=HP&TS=1448258023&FROM=MYCH123&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518&Z=CEF13AC1D84B2E19D03D27EGFZDZ7B8OBW6M4T0E3Q delref HTTP://WWW.YOURSITES123.COM/?TYPE=HP&TS=1449646549&Z=B08F48EBD0F632AACC5D7E5G1Z7Z2T1Q9Z7Q4CEB4E&FROM=IENT07021&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518 delref HTTP://WWW.OMNIBOXES.COM/WEB/?TYPE=DS&TS=1448351445&Z=2ECF84AD46F76E248D19804GDZ9ZDBDC6WBG0C2C8Z&FROM=IENT07031&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518&Q={SEARCHTERMS} delref %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE areg

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFESVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE
delref %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\TSV\TSVR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE
delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS
delref HTTP://WWW.OMNIBOXES.COM/WEB/?TYPE=DS&TS=1447137443&Z=DD09E4096503BFD2FC88A7FG4Z6ZDM5GAC3M4C7O0Q&FROM=WPM07163&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518&Q={SEARCHTERMS}
delref HTTP://WWW.V9.COM/?TYPE=HP&TS=1448258023&FROM=MYCH123&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518&Z=CEF13AC1D84B2E19D03D27EGFZDZ7B8OBW6M4T0E3Q
delref HTTP://WWW.YOURSITES123.COM/?TYPE=HP&TS=1449646549&Z=B08F48EBD0F632AACC5D7E5G1Z7Z2T1Q9Z7Q4CEB4E&FROM=IENT07021&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518
delref HTTP://WWW.OMNIBOXES.COM/WEB/?TYPE=DS&TS=1448351445&Z=2ECF84AD46F76E248D19804GDZ9ZDBDC6WBG0C2C8Z&FROM=IENT07031&UID=WDCXWD5000AZRX-00A8LB0_WD-WCC1U094451844518&Q={SEARCHTERMS}
delref %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
сделайте новый образ автозапуска по инструкции и добавьте в новое сообщение.

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 09.12.2015

Размещено 10.12.2015 14:38:23

Цитата
santy написал: но контакты, там да, есть в файле readme.txt

Ото-ж! Хочу втереться в доверие и слить в отдел "К"

Сообщений: 6

Баллов: 3

Регистрация: 10.12.2015

Размещено 10.12.2015 14:54:33

В результате закодированные файлы так и остались закодированными,вновь созданные не кодируются

Прикрепленные файлы

BUH03_2015-12-10_14-42-21.rar (718.66 КБ)

Сообщений: 2

Баллов: 1

Регистрация: 09.12.2015

Размещено 10.12.2015 15:52:35

Новые файлы более не шифруются.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.12.2015 15:57:49

далее,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4025095AE599827ECFA164AA99E6EA65E78E13CF5D8D9F699B5E9E93CD2FE5A13892B8084272A6A08FAC723B43355329AF3D3882712AB7A6373 9 Adware.Shopper.391 [DrWeb] zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 18 Adware.Shopper.331 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLY\DEALPLYIE.DLL addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D25562A906CC47E1649C9BD9F6307595F4659214E916FF807327C 64 Adware.Shopper.328 [DrWeb] zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\TSV\TSVR.EXE addsgn 1ACC709A5583278FF42B5194F4DA5605DAAF68E4CDFAE05D1DD181BCAFF3DD5E671795DC7A718942EBF5AC140A32597139FBE441872D41A7F5FCE00BCFF1D3F8 8 Win32/ELEX zoo %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE addsgn 1A151E9A55834C720BD4C4A50C085C472562E6E389FAF7BEEEC3C5B3E7261B4ECB9BAA573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX zoo %SystemDrive%\PROGRAMDATA\YWDSMANPROY\WDSMANPRO.EXE addsgn 1AC6AB9A5583338CF42B627DA804DEC9E946303ADEAC940CA1D34EF074C2FA30071B4896B5849E8F107EF2977DEE467815DCE8725A6095BC8732A42EB401D1D7 8 Win32/ELEX.FF zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] delref (X86)\DEALPLY\DEALPLYUPDATE.EXE ;------------------------autoscript--------------------------- chklst delvir ; DealPly (remove only) exec C:\Program Files (x86)\DealPly\uninst.exe ; istartsurf uninstall exec C:\Users\zarplata\AppData\Roaming\istartsurf\UninstallManager.exe -ptid=cor exec C:\Users\zarplata\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\UPDATER deldirex %SystemDrive%\PROGRAM FILES (X86)\OBJECT BROWSER deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\DSITE\UPDATE~1 deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected]\INSTALL.RDF del %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected]\INSTALL.RDF delref %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected] deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR delref %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\USETUP.EXE del %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\USETUP.EXE delref %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\RAR$EXA0.941\ЕЛОЧКА.EXE del %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\RAR$EXA0.941\ЕЛОЧКА.EXE deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\ISTARTSURF deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\WINZIPPER\UPDATE deldirex %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS del %Sys32%\DRIVERS\ISAFENETFILTER.SYS deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY deltmp delnfr ;------------------------------------------------------------- czoo restart

Код



;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4025095AE599827ECFA164AA99E6EA65E78E13CF5D8D9F699B5E9E93CD2FE5A13892B8084272A6A08FAC723B43355329AF3D3882712AB7A6373 9 Adware.Shopper.391 [DrWeb]

zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 18 Adware.Shopper.331 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLY\DEALPLYIE.DLL
addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D25562A906CC47E1649C9BD9F6307595F4659214E916FF807327C 64 Adware.Shopper.328 [DrWeb]

zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\TSV\TSVR.EXE
addsgn 1ACC709A5583278FF42B5194F4DA5605DAAF68E4CDFAE05D1DD181BCAFF3DD5E671795DC7A718942EBF5AC140A32597139FBE441872D41A7F5FCE00BCFF1D3F8 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE
addsgn 1A151E9A55834C720BD4C4A50C085C472562E6E389FAF7BEEEC3C5B3E7261B4ECB9BAA573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

zoo %SystemDrive%\PROGRAMDATA\YWDSMANPROY\WDSMANPRO.EXE
addsgn 1AC6AB9A5583338CF42B627DA804DEC9E946303ADEAC940CA1D34EF074C2FA30071B4896B5849E8F107EF2977DEE467815DCE8725A6095BC8732A42EB401D1D7 8 Win32/ELEX.FF

zoo %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

delref (X86)\DEALPLY\DEALPLYUPDATE.EXE
;------------------------autoscript---------------------------

chklst
delvir

; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe
; istartsurf uninstall
exec  C:\Users\zarplata\AppData\Roaming\istartsurf\UninstallManager.exe  -ptid=cor
exec C:\Users\zarplata\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\UPDATER

deldirex %SystemDrive%\PROGRAM FILES (X86)\OBJECT BROWSER

deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\DSITE\UPDATE~1

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE

deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected]\INSTALL.RDF
del %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected]\INSTALL.RDF

delref %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected]
del %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0VUYHETP.DEFAULT\EXTENSIONS\[email protected]

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\USETUP.EXE
del %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\USETUP.EXE

delref %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\RAR$EXA0.941\ЕЛОЧКА.EXE
del %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\TEMP\RAR$EXA0.941\ЕЛОЧКА.EXE

deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\ISTARTSURF

deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\ROAMING\WINZIPPER\UPDATE

deldirex %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC

delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS
del %Sys32%\DRIVERS\ISAFENETFILTER.SYS

deldirex %SystemDrive%\USERS\ZARPLATA\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 28.05.2016 03:27:29

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.12.2015 16:00:53

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 10.12.2015

Размещено 11.12.2015 10:54:10

После всех рекомендованных действий закодированные файлы остались в прежнем состоянии.Прикрепляю образ автозапуска после дополнительной быстрой проверки и результаты быстрой проверки.
Что можно считать положительным результатом в нашей ситуации?Можно ли рассчитывать на восстановление закодированных файлов?

Прикрепленные файлы

Результат проверки.txt (1.22 КБ)
BUH03_2015-12-11_10-44-05.rar (693.66 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.12.2015 11:50:27

положительный результат - это очистка системы от вредоносных и нежелательных программ, которых на вашем компе было достаточно и больше.
теперь просто системе будет легче дышать, а сотруднику удобнее работать.

по расшифровке документов, напишите все таки какой был шифратор, или добавьте в сообщение один зашифрованных файл.(небольшого размера)

Изменено: santy - 28.05.2016 03:27:29

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 10.12.2015

Размещено 11.12.2015 12:38:57

Не прикрепляется

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 11.12.2015 12:48:20

Цитата
Янина Дроздова написал: Не прикрепляется

Попробуйте его заархивировать. zip-ом, например.

Пред. 1 ... 28 29 30 31 32 ... 61 След.