Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS
 
Алексей Арбузов
Алексей Арбузов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.01.2015
Размещено 27.01.2015 13:44:56
Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:
Цитата
Ваши фaйлы былu зaшифpoвaны.
код:
5E5E1BEC5BE045A020AC|0
или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 2 3 4 5 6 ... 61 След.
 
Георгий Красильников
Георгий Красильников
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 20.02.2015
Размещено 20.02.2015 18:15:03
2015.02.20 19:59
2015.02.20 14:59 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v3.85 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
64-х битный модуль активирован
UAC: 0
Свободно физической памяти 4360Mb из 6125Mb
Свободно на системном диске: 203,4GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v9.11.9600.17633
--------------------------------------------------------
Текущий пользователь: GERA\GERA
uVS запущен под пользователем: GERA\GERA
Имя компьютера: GERA
--------------------------------------------------------
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Всего: 0
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Загружено реестров пользователей: 0
Построение списка процессов и модулей...
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Анализ автозапуска...
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [D:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [D:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [596,2GB]: Неизвестный загрузчик SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Анализ файлов в списке...
Анализ завершен.
Список готов.
======= Начало исполнения скрипта =======
--------------------------------------------------------
v385c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\WIN.VBS
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\WIN.VBS
Файл скопирован в ZOO: C:\USERS\GERA\DESKTOP\1\ZOO\WIN.VBS._C9AF2F6B9FD53BE9BDB004EB8616794C7FCC0087
--------------------------------------------------------
delall %SystemRoot%\WIN.VBS
--------------------------------------------------------
Удаление ссылок и самого файла: C:\WINDOWS\WIN.VBS
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Запуск служб разблокирован
Изменено/удалено объектов автозапуска 0 из 0 | Удалено файлов: 1 из 1
--------------------------------------------------------
czoo
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------
--------------------------------------------------------
Всего 8Kb
WinRAR...
Пароль к архиву: virus
C:\USERS\GERA\DESKTOP\1\ZOO_2015-02-20_20-00-42.rar
Всего 2Kb
Операция успешно завершена.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 18:17:50
а каких изменений вы ждете? это скрипт очистки системы, а не расшифровки зашифрованных документов. ZOO не нужен. его ведь не запрашивали.

по теневым копиями проверили? есть копии для системного диска или нет?
[ Как создать образ автозапуска? ]
 
Георгий Красильников
Георгий Красильников
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 20.02.2015
Размещено 20.02.2015 18:28:48
по теневым копям как понять?и где смотреть копии?
Прошу Вас уделите мне времени и своего терпения
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 19:11:43
вышлите в почту [email protected] id и пароль от Тимвьювера
+
укажите в письме на эту тему форума.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.02.2015 20:45:24
к сожалению восстановление документов невозможно. единственная копия документов уже с зашифрованными документами.
расшифровки по xtbl нет в вирлабах.
[ Как создать образ автозапуска? ]
 
Николай Харченко
Николай Харченко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.02.2015
Размещено 23.02.2015 22:01:09
Здравствуйте. Окажите помощь по очистке системы. Вирус по ходу убился, но возможно что то осталось.
Образ прилагаю.  http://rghost.ru/6sNvbTn9q
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 23.02.2015 22:46:41
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
delall %SystemDrive%\USERS\F877~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
exec C:\Users\ЛЕНА\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
exec "C:\Users\ЛЕНА\AppData\Local\Yandex\YandexBrowser\Application\38.0.2125.10034\Installer\setup.exe" --uninstall
exec32 MsiExec.exe /X{B9C3392F-76A5-4130-B60B-4D9C0B03E6C8}
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
Николай Харченко
Николай Харченко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.02.2015
Размещено 24.02.2015 00:16:30
Выполнил. Было найдено 25 угроз. О сложности расшифровки *.xtbl начитался уже. Имеет ли смысл отправлять пару файлов в тех.поддержку? Фоток жалко.
Изменено: Николай Харченко - 30.06.2017 05:55:13
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.02.2015 08:39:27
попытка, не пытка. если есть лицензия - отправьте файлы, пусть криптологи шифр ломают.
Изменено: santy - 30.06.2017 05:55:13
[ Как создать образ автозапуска? ]
 
Николай Харченко
Николай Харченко
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 22.02.2015
Размещено 24.02.2015 09:26:20
Вы правы! Так и сделал.
Спасибо.
 
Пред. 1 2 3 4 5 6 ... 61 След.
Читают тему