файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту support@esetnod32.ru, письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

1. выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\SSLEAS.EXE
addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B28E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D338733A19 8 Win32/CoinMiner.SX [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONAUPDATER.EXE
addsgn 9252773A166AC1CC0BA4524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BE645503E021E8A2FD3EC66B91549ACFE1CEC21051DB32F2D75A4BF5753B224 14 a variant of Win32/Kryptik.AADO [NOD32]

zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER\ZONAUPDATER.EXE
zoo D:\PAINKILLER HELL AND DAMNATION\RUNME.EXE
addsgn 9252770A156AC1CC0B54514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 14 Trojan.DownLoad2.31775 [DrWeb]

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldir %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldirex %SystemDrive%\USERS\ONE\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA
delall %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\RESTART.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref {EE932B49-D5C0-4D19-A3DA-CE0849258DE6}\[CLSID]

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31908&CLICKID=ZYYE0D0B0CZY0BYCZY0EZZTCYEYE0B0E&PUBLISHERID=0

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

2. по зашифрованным файлам: скиньте в почту safety@chklst.ru id и пароль от Тимвьювера, проверю возможность восстановления данных по одному из методов.
ок вечером  
по времени я не всегда бываю на форуме. хотя через 15 минут уже выйду из сети. напишите по Москве, в какое время будете в сети?
!9.02.2015 года вся информация зашифровалась,
по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemRoot%\WIN.VBS
delall %SystemRoot%\WIN.VBS
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. по восстановлению данных из теневой копии: проверьте наличие копий для системного диска.
Цитата
santy написал:
по времени я не всегда бываю на форуме. хотя через 15 минут уже выйду из сети. напишите по Москве, в какое время будете в сети?
доброго времени таже проблема с файлами xtbl,скачал пробную версию Вашего антивируса,так как мой запрос в касперсом до сих пор висит без разрешения...может вы быстрей поможете? Какую инфу вам надо предоставить?
Изменено: Макс неважно - 30.06.2017 05:54:06
Макс неважно

1) Если необходима помощь в поиске вируса
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
* По проверке  создайте на форуме свою отдельную тему.

2) По расшифровке:

При наличае лицензии ESET
Файлы поместите в архив.
На архив установите пароль: virus
Прикрепите архив к письму и с описанием проблемы вышлите на адрес support@esetnod23.ru

3) В плане самостоятельного восстановления данных прочтите:
http://pchelpforum.ru/f26/t141222/2/#post1239143
Доброго времени,обращаюсь уже на 3 форум(Касперский не помог,аваст вообще не поддерживает русскоязычных пользователей), скачал пробную версию Вашего антивируса,так как покупать лицензии не знаю поможете или нет ...как то рассточительно,что вам платить что хакерам за дешифратор...,поможете куплю Вашу ...Все файлы на компе зашифрованы с разрешением xtbl,прошу помочь...
Скачал тамвьевер если поможет, насчет совета отправить зараженные файлы на почту в архиве незнаю...порядка 250 гигов...
если поможет могу еще кинут скрипты от касперского 4vz вчерашние
Изменено: Макс неважно - 30.06.2017 05:54:06
1. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HELP.YANDEX.RU/YABROWSER/

setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4
regt 28
regt 29
; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по восстановлению данных: пробуйте восстановить из теневой копии документы с системного диска.

3. расшифровки нет в вирлабах по xtbl
я выполнил компьютер перезагрузился что дальше изменений нет
Читают тему (гостей: 6)