файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 31 32 33 34 35 ... 61 След.

Сообщений: 1

Регистрация: 16.12.2015

Размещено 16.12.2015 10:49:07

Здравствуйте, Уважаемые! Спасайте пожалуйста, ума не приложу где и как, но подхватил все же(((

Образ автозапуска прилагаю

Прикрепленные файлы

VIPSVS_2015-12-16_10-35-58.TXT (14.08 МБ)

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 16.12.2015 11:06:39

судя по образу уже очищена система от шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\SKINAPP delref HTTP://KARTASIM.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=EAFCF562095A1E5D5EBF58B348A0FF29&UTM_TERM=925621FACF47D26D7881644519BF3C22 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SKINAPP

delref HTTP://KARTASIM.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=EAFCF562095A1E5D5EBF58B348A0FF29&UTM_TERM=925621FACF47D26D7881644519BF3C22

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.12.2015

Размещено 16.12.2015 12:54:22

Добрый день. Сегодня обнаружилось, что один из пользователей поймал шифровальщика, превращающего нормальные файлы в ересь с расширением .bracking_bad. Исходя из прочтения предыдущих закрытых тем прилагаю дамп, сделанный программой UVS. Надеюсь на вашу помощь в решении возникшей проблемы :cry:

P.S. на зараженном ПК действующая лицензия ESET NOD32 ANTIVIRUS 5

Прикрепленные файлы

PC_2015-12-16_12-15-14.zip (613 КБ)

Изменено: Алексей Рутковский - 27.05.2016 14:02:57

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 16.12.2015 13:09:20

Алексей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\DOCUME~1\7D74~1\LOCALS~1\TEMP\28743328 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref HTTP=127.0.0.1:61152 delref HTTP://ELTRASTA.COM/SIUPD/COMPLETED2.RHT delref %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЮДА\APPLICATION DATA\IZDEVO\SYQYC.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЮДА\APPLICATION DATA\SIVYR\HIECC.EXE delref HTTP=127.0.0.1:56848 delhst 127.0.0.1 neklassniki.ru v.vhodilka.ru workandtalk.ru nonymizer.ru unboo.ru jelya.ru delhst 37.10.117.106 odnoklassniki.ru vk.com www.odnoklassniki.ru m.odnoklassniki.ru regt 14 ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe ; Java(TM) 6 Update 7 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\DOCUME~1\7D74~1\LOCALS~1\TEMP\28743328 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref HTTP=127.0.0.1:61152

delref HTTP://ELTRASTA.COM/SIUPD/COMPLETED2.RHT

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЮДА\APPLICATION DATA\IZDEVO\SYQYC.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЮДА\APPLICATION DATA\SIVYR\HIECC.EXE

delref HTTP=127.0.0.1:56848

delhst 127.0.0.1 neklassniki.ru v.vhodilka.ru workandtalk.ru nonymizer.ru unboo.ru jelya.ru
delhst 37.10.117.106 odnoklassniki.ru vk.com www.odnoklassniki.ru m.odnoklassniki.ru

regt 14

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.12.2015

Размещено 16.12.2015 14:48:11

Цитата
santy написал: перезагрузка, пишем о старых и новых проблемах. ------------

Выполнил все как было указано. Чисто визуально - никаких изменений. Прилагаю дамп UVS.

Прикрепленные файлы

PC_2015-12-16_14-02-44.zip (601.36 КБ)

Сообщений: 2

Баллов: 1

Регистрация: 15.12.2015

Размещено 16.12.2015 15:15:52

Цитата
santy написал: Юрий Станкевич, добавьте образ автозапуска http://forum.esetnod32.ru/forum9/topic2687/

образ

Прикрепленные файлы

K7_2015-12-16_14-49-24.7z (628.78 КБ)

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 16.12.2015 16:06:06

Юрий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32] ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\DSITE\UPDATE~1 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCNCJPGANFOCBFOENAEMAGJJOPKKINDP%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODKMEDFOMGHPHDNMMEMHKPOANGGCFBBE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС ; ConvertAd exec C:\Users\Admin\AppData\Local\ConvertAd\uninstall.exe ; SmilesExtensions version 2.1 exec C:\Program Files\smwdgt\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\DSITE\UPDATE~1

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCNCJPGANFOCBFOENAEMAGJJOPKKINDP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODKMEDFOMGHPHDNMMEMHKPOANGGCFBBE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

; ConvertAd
exec C:\Users\Admin\AppData\Local\ConvertAd\uninstall.exe
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 16.12.2015 16:06:52

новый образ не нужен,

далее,

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 08.12.2015

Размещено 17.12.2015 11:13:36

Иногда меня удивляет идиотизм сотрудников...не прошло и недели как на этот же вирус попался уже ВТОРОЙ сотрудник. Помогите пожалуйста с очисткой.

Прикрепленные файлы

MATVEEVAN_2015-12-17_10-54-28.7z (547.02 КБ)

Сообщений: 17966

Баллов: 28744

Регистрация: 16.03.2010

Размещено 17.12.2015 11:43:21

Ярослав,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref TDBGRACZ.N deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref TDBGRACZ.N

deltmp
delnfr
;-------------------------------------------------------------

restart

Изменено: santy - 17.06.2016 10:07:47

[ Как создать образ автозапуска? ]

Пред. 1 ... 31 32 33 34 35 ... 61 След.