Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
 
Алексей Арбузов
Алексей Арбузов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.01.2015
Размещено 27.01.2015 13:44:56
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 2 3 4 5 ... 61 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2015 14:05:42
1. выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\SSLEAS.EXE
addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B28E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D338733A19 8 Win32/CoinMiner.SX [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONAUPDATER.EXE
addsgn 9252773A166AC1CC0BA4524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BE645503E021E8A2FD3EC66B91549ACFE1CEC21051DB32F2D75A4BF5753B224 14 a variant of Win32/Kryptik.AADO [NOD32]

zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER\ZONAUPDATER.EXE
zoo D:\PAINKILLER HELL AND DAMNATION\RUNME.EXE
addsgn 9252770A156AC1CC0B54514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 14 Trojan.DownLoad2.31775 [DrWeb]

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldir %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldirex %SystemDrive%\USERS\ONE\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA
delall %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\RESTART.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref {EE932B49-D5C0-4D19-A3DA-CE0849258DE6}\[CLSID]

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31908&CLICKID=ZYYE0D0B0CZY0BYCZY0EZZTCYEYE0B0E&PUBLISHERID=0

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

2. по зашифрованным файлам: скиньте в почту [email protected] id и пароль от Тимвьювера, проверю возможность восстановления данных по одному из методов.
[ Как создать образ автозапуска? ]
 
Николай fff
Николай fff
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.02.2015
Размещено 11.02.2015 14:09:56
ок вечером  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2015 14:13:30
по времени я не всегда бываю на форуме. хотя через 15 минут уже выйду из сети. напишите по Москве, в какое время будете в сети?
[ Как создать образ автозапуска? ]
 
Георгий Красильников
Георгий Красильников
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 20.02.2015
Размещено 20.02.2015 09:11:34
!9.02.2015 года вся информация зашифровалась,
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 10:44:15
по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemRoot%\WIN.VBS
delall %SystemRoot%\WIN.VBS
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. по восстановлению данных из теневой копии: проверьте наличие копий для системного диска.
[ Как создать образ автозапуска? ]
 
Макс неважно
Макс неважно
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.02.2015
Размещено 20.02.2015 12:04:21
Цитата
santy написал:
по времени я не всегда бываю на форуме. хотя через 15 минут уже выйду из сети. напишите по Москве, в какое время будете в сети?
доброго времени таже проблема с файлами xtbl,скачал пробную версию Вашего антивируса,так как мой запрос в касперсом до сих пор висит без разрешения...может вы быстрей поможете? Какую инфу вам надо предоставить?
Изменено: Макс неважно - 30.06.2017 05:54:06
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.02.2015 12:16:38
Макс неважно

1) Если необходима помощь в поиске вируса
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
* По проверке  создайте на форуме свою отдельную тему.

2) По расшифровке:

При наличае лицензии ESET
Файлы поместите в архив.
На архив установите пароль: virus
Прикрепите архив к письму и с описанием проблемы вышлите на адрес [email protected]

3) В плане самостоятельного восстановления данных прочтите:
http://pchelpforum.ru/f26/t141222/2/#post1239143
 
Макс неважно
Макс неважно
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.02.2015
Размещено 20.02.2015 12:33:32
Доброго времени,обращаюсь уже на 3 форум(Касперский не помог,аваст вообще не поддерживает русскоязычных пользователей), скачал пробную версию Вашего антивируса,так как покупать лицензии не знаю поможете или нет ...как то рассточительно,что вам платить что хакерам за дешифратор...,поможете куплю Вашу ...Все файлы на компе зашифрованы с разрешением xtbl,прошу помочь...
Скачал тамвьевер если поможет, насчет совета отправить зараженные файлы на почту в архиве незнаю...порядка 250 гигов...
если поможет могу еще кинут скрипты от касперского 4vz вчерашние
Изменено: Макс неважно - 30.06.2017 05:54:06
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 12:47:49
1. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HELP.YANDEX.RU/YABROWSER/

setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4
regt 28
regt 29
; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по восстановлению данных: пробуйте восстановить из теневой копии документы с системного диска.

3. расшифровки нет в вирлабах по xtbl
[ Как создать образ автозапуска? ]
 
Георгий Красильников
Георгий Красильников
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 20.02.2015
Размещено 20.02.2015 18:08:33
я выполнил компьютер перезагрузился что дальше изменений нет
 
Пред. 1 2 3 4 5 ... 61 След.
Читают тему