файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 10 11 12 13 14 ... 61 След.

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 04.06.2015 11:10:42

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION IFEO\taskmgr.exe: [Debugger] C:\Program Files\PROWiSe\PROWiSe.exe URLSearchHook: HKU\S-1-5-21-682003330-1645522239-1177238915-1004 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "C:\Documents and Settings\All Users\Application Data\ICQ\ICQNewTab\newTab.html" <======= ATTENTION DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=06ee92728155772ce28dda8a815bdceb&text= <==== ATTENTION FF DefaultSearchEngine: delta-homes FF SelectedSearchEngine: delta-homes FF Extension: No Name - C:\Documents and Settings\kos_tes\Application Data\Mozilla\Firefox\Profiles\2a81oopn.default-1423496433421\extensions\[email protected] [not found] FF Extension: No Name - C:\Documents and Settings\kos_tes\Application Data\Mozilla\Firefox\Profiles\2a81oopn.default-1423496433421\extensions\[email protected] [not found] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-04] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-05] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-08] CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-02-08] StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe http://isearch.omiga-plus.com/?type=sc&ts=1423394256&from=face&uid=ST3250824AS_9ND0B8XLXXXX9ND0B8XL 2015-06-04 08:07 - 2013-11-16 12:49 - 00000000 ____D C:\Documents and Settings\kos_tes\Главное меню\Программы\AnyProtectEx EmptyTemp: Reboot:

Код

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
IFEO\taskmgr.exe: [Debugger] C:\Program Files\PROWiSe\PROWiSe.exe
URLSearchHook: HKU\S-1-5-21-682003330-1645522239-1177238915-1004 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "C:\Documents and Settings\All Users\Application Data\ICQ\ICQNewTab\newTab.html" <======= ATTENTION
DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=06ee92728155772ce28dda8a815bdceb&text= <==== ATTENTION
FF DefaultSearchEngine: delta-homes
FF SelectedSearchEngine: delta-homes
FF Extension: No Name - C:\Documents and Settings\kos_tes\Application Data\Mozilla\Firefox\Profiles\2a81oopn.default-1423496433421\extensions\[email protected] [not found]
FF Extension: No Name - C:\Documents and Settings\kos_tes\Application Data\Mozilla\Firefox\Profiles\2a81oopn.default-1423496433421\extensions\[email protected] [not found]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-04]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-05]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-08]
CHR Extension: (No Name) - C:\Documents and Settings\kos_tes\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-02-08]
StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe http://isearch.omiga-plus.com/?type=sc&ts=1423394256&from=face&uid=ST3250824AS_9ND0B8XLXXXX9ND0B8XL
2015-06-04 08:07 - 2013-11-16 12:49 - 00000000 ____D C:\Documents and Settings\kos_tes\Главное меню\Программы\AnyProtectEx
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 03.06.2015

Размещено 04.06.2015 12:59:44

вот

Прикрепленные файлы

Fixlog.txt (6.31 КБ)

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 04.06.2015 13:33:00

по очистке все.
выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 04.06.2015

Размещено 04.06.2015 14:16:31

Ваши файлы были зашифрованы.
To decrypt the files you should send the following code:
7D6E0FAE7BE9CDC69A11|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Сообщений: 5

Баллов: 2

Регистрация: 04.06.2015

Размещено 04.06.2015 14:19:20

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
7D6E0FAE7BE9CDC69A11|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 04.06.2015 14:21:19

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 04.06.2015

Размещено 04.06.2015 14:22:07

вот

Прикрепленные файлы

ALEKSANDR_2015-06-04_14-10-40.7z (459.67 КБ)

Сообщений: 5

Баллов: 2

Регистрация: 03.06.2015

Размещено 04.06.2015 15:44:46

Cпасибо! . всё так и сделал

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 04.06.2015 16:28:41

Александр,
не надо темы плодить, образ положили, ждите ответа от хелперов.

[ Как создать образ автозапуска? ]

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 04.06.2015 16:32:52

1. по восстановлению документов проверьте теневые копии. если включена защита дисков.

2. по расшифровке xtbl нет решения.

3. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT REGT 28 REGT 29 ; etranslator exec C:\Users\Александр\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall deldir %SystemDrive%\PROGRAMDATA\TIMETASKS deldir %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\ROAMING\VOPACKAGE deldir %SystemDrive%\PROGRAM FILES\ZAXAR deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
REGT 28
REGT 29
; etranslator
exec C:\Users\Александр\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall

deldir %SystemDrive%\PROGRAMDATA\TIMETASKS
deldir %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\ROAMING\VOPACKAGE
deldir %SystemDrive%\PROGRAM FILES\ZAXAR

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Пред. 1 ... 10 11 12 13 14 ... 61 След.