файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 6 7 8 9 10 ... 61 След.

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 16.03.2015 18:25:52

1. по расшифровке файлов не поможем

2. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE addsgn 1A519D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Win32/ELEX.BH deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\1E5D8C77\BIN.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NEWSI_2\S_INST.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NEWSI_1497\S_INST.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\UIHIUGIGZUGI\WINSVN.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\CONVERTAD\CASRV.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\OMIGA-PLUS\UNINSTALLMANAGER.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\SMARTWEB\SMARTWEBHELPER.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\IGS\IGSRV.EXE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALEBIVSUSA.BAT delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
addsgn 1A519D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Win32/ELEX.BH

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\1E5D8C77\BIN.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NEWSI_2\S_INST.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\NEWSI_1497\S_INST.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\UIHIUGIGZUGI\WINSVN.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\ASPACKAGE\ASSRV.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\CONVERTAD\CASRV.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\OMIGA-PLUS\UNINSTALLMANAGER.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\SMARTWEB\SMARTWEBHELPER.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\IGS\IGSRV.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALEBIVSUSA.BAT
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
3. по восстановлению данных проверьте возможность восстановления из теневой копии.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.03.2015

Размещено 18.03.2015 18:06:33

Добрый день всем.Такая проблема. Поймал вирус , который зашифровал все файлы на жёстких дисках. Расширение у этих файлов XTBL . На рабочем столе есть сообщение , что бы я не пытался раскодировать файлы, иначе это приведёт к удалению файлов. В сообщении так же есть код, который необходимо отправить на указанный адрес эл. почты. В ответ я получил сообщение с требованием заплатить 5000 руб. и тогда мне вышлют дешифратор. Гарантий ,соответсвенно, никаких. Что делать не знаю. Кто сталкивался подскажите что делать? Бэкап делал раз в месяц , за последний месяц не успел. Работаю фотографом, много фоток заказчиков. Как людям объяснять такой поворот.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.03.2015 18:09:53

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 18.03.2015 18:59:51

+
проверьте наличие теневой копии на диске, поскольку шифратора в вирлабах для xtbl нет

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.03.2015

Размещено 18.03.2015 19:06:49

Как это сделать? Я не знаю.

Сообщений: 3

Баллов: 1

Регистрация: 18.03.2015

Размещено 18.03.2015 19:07:31

Вот сделал.Образ автозапуска

Прикрепленные файлы

ROMANCHIK-ПК_2015-03-18_18-56-02.7z (542.56 КБ)

Изменено: Роман Шевцов - 30.06.2017 05:59:48

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 18.03.2015 19:31:50

1. по образу: система чистая

2. по теневой копии: отправьте в почту личные сообщения id и пароль от Тимвьювера

[ Как создать образ автозапуска? ]

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 18.03.2015 20:43:50

к сожалению, теневых копий на D и E нет.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 29.03.2015

Размещено 29.03.2015 14:18:15

прикреплённые файлы

Прикрепленные файлы

ADMIN-PC_2015-03-29_15-31-08.7z (611.72 КБ)

Изменено: Валентин - 30.06.2017 05:59:48

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 29.03.2015 15:08:23

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

Код
;uVS v3.85.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\USERS\ADMIN\DESKTOP\ESETFILECODERQCLEANER.EXE chklst delvir delref HTTP://HI.RU/?4 delref HTTP:\\LYLL.NET delref HTTP://KEMANOSH.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=0792193BBCDF5967BA9A02D4617A5917 REGT 27 REGT 28 REGT 29 ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U ; Sopcast Ask Toolbar exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\ADMIN\DESKTOP\ESETFILECODERQCLEANER.EXE
chklst
delvir

delref HTTP://HI.RU/?4

delref HTTP:\\LYLL.NET

delref HTTP://KEMANOSH.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=0792193BBCDF5967BA9A02D4617A5917

REGT 27
REGT 28
REGT 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; Sopcast Ask Toolbar
exec  MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов - не поможем. нет расшифровки для xtbl

3. по восстановлению данных - смотрите архивные или теневые копии документов.

[ Как создать образ автозапуска? ]

Пред. 1 ... 6 7 8 9 10 ... 61 След.