файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 32 33 34 35 36 ... 61 След.

Сообщений: 3

Баллов: 1

Регистрация: 18.12.2015

Размещено 18.12.2015 17:13:53

Добрый день на компьютере все файлы(текстовые, аудио и видео) вирус зашифровал и они стали с расширением .bracking_bad
Как расшифровать файлы и вылечить компьютер?
Антивирус ESET NOD 32 ANTIVIRUS 5 .

Образец зашифрованного файла и скриншот антивируса прикрепляю.

Прикрепленные файлы

скрин антивируса.png (236.22 КБ)

скрин антивируса1.png (210.4 КБ)

NeeK9KGK2jDeoSBPoPQsFS7hVtCme9qaS-CycxxT+wIE1m4H3hlX5MqatJrDgnJ53bLL90ejzWa5g9VPaYWtq5yubegPlOB-B1tC08d2StccSmtqo3WahRmGmGpvTfum.B0C8AEE1E2ADE6843FF0.rar (36.6 КБ)

Изменено: Светлана Галушка - 27.05.2016 14:03:55

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 18.12.2015 18:23:55

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.12.2015

Размещено 18.12.2015 19:22:12

Добавляем образ автозапуска системы. После сканирования компьютера проверили автозапуск в разделе меню пуск- все программы , был найден ярлык ссылающийся на несуществующий файл с названием srcss.scr

Прикрепленные файлы

STAR-PC_2015-12-18_18-13-15.7z (492.71 КБ)

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 18.12.2015 20:26:04

Светлана,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\ELITEUNZIP_AA\BAR\3.BIN deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\PROGRAM FILES\ELITEUNZIP deldirex %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V4.0.30319_32\ELITEUNZIP\5E77729476C496009859B1B27281B6CF deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2 ; Ask Toolbar exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet ; Ask Toolbar Updater exec Updater\Updater.exe -uninstall deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ELITEUNZIP_AA\BAR\3.BIN

deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\PROGRAM FILES\ELITEUNZIP

deldirex %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V4.0.30319_32\ELITEUNZIP\5E77729476C496009859B1B27281B6CF

deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO

deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO

deldirex %SystemDrive%\USERS\STAR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

; Ask Toolbar
exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
; Ask Toolbar Updater
exec Updater\Updater.exe -uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.12.2015

Размещено 18.12.2015 22:11:02

Спасибо , проделали ничего не изменилось.
По расшифровке документов напишем в [email protected]
Еще раз спасибо.

Сообщений: 1

Регистрация: 20.12.2015

Размещено 20.12.2015 19:30:23

Здравствуйте.

В марте месяце 2015г мой знакомый словил шифровальщика *.xtbl когда он мне сообщил вирус начал действовать (проработал вирус часа 2-3), я удалено зашел на его ПК и вырубил вирус. так как вирус не отработал по полной на диске остались служебные файлы вируса (в этом случае ключи шифрование и тело вируса). я хочу поделится этим, может поможет.

первое. я сам айтишник, и понимаю что и как работает в ПК и сетях.
Второе. я тело вируса и другие файлы взял удаленно с ПК знакомого что просил о помощи.

тело вируса я запаковал в zip с именем temp.zip с паролем 123 (запаковал с паролем чтобы мой антивирус не съел тело вируса, хотя сильно ругался на эти файлы) (если пароль не подойдет он не длинее 3х символов, точно знаю)
также в архиве присутсвуют файлы с ключами шифрования (по дате и времени работы вируса они совпадают) + примеры зашифрованных файлов. также в архиве есть инфа куда слать деньги, стандартный текстовый файл.
Я посмотрел сеть, я не нашел инфу про расшифровку этого вируса. У меня инфа содержит ключи на основе чего была сделана шифровка, я не программист и обладаю умением писать программы, поэтому заитерисованных людей прошу оказать помощь во благо всех пострадавших.

Прикрепленные файлы

key_marat.rar (6.93 МБ)

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 20.12.2015 19:50:27

что касается логов с публик ключами RSA, то они остаются и по завершении шифрования.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 21.12.2015

Размещено 21.12.2015 07:50:35

Здравствуйте! Помогите с очисткой.

Образ автозапуска

Прикрепленные файлы

WS-BUH_2015-12-21_14-12-34.rar (573.14 КБ)

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 21.12.2015 09:01:15

Александр,
прежде чем удалить, проверьте этот файл на ВирусТотал
%SystemDrive%\USERS\USER\APPDATA\LOCAL\YLXVPACK\ZPFTERZT.DLL
http://virustotal.com

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252774A066AC1CC0B94424EA34F9A99058A49D31E8248F1604E5998D0278DB312D7936EE220660F6DD3ECBA5B3749ADFE1CEC213DCBDC212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32] addsgn 1AEF339A5583348CF42B627DEF843601D24BFFF689FA6B5C0FC2467D5152B1386DE002543E559D3CC485849F4616C45E59DFE872555714082D77A42F4C07988C 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YLXVPACK\ZPFTERZT.DLL delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YLXVPACK\ZPFTERZT.DLL hide %SystemDrive%\PROGRAM FILES\AUSLOGICS\DISKDEFRAG\DISKDEFRAG.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252774A066AC1CC0B94424EA34F9A99058A49D31E8248F1604E5998D0278DB312D7936EE220660F6DD3ECBA5B3749ADFE1CEC213DCBDC212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32]

addsgn 1AEF339A5583348CF42B627DEF843601D24BFFF689FA6B5C0FC2467D5152B1386DE002543E559D3CC485849F4616C45E59DFE872555714082D77A42F4C07988C 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YLXVPACK\ZPFTERZT.DLL
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YLXVPACK\ZPFTERZT.DLL
hide %SystemDrive%\PROGRAM FILES\AUSLOGICS\DISKDEFRAG\DISKDEFRAG.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17970

Баллов: 28751

Регистрация: 16.03.2010

Размещено 22.12.2015 12:33:38

Сергей,
не надо выкладывать вирусные тела на форум.
если нужна помощь в очистке системы, добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: santy - 17.06.2016 10:07:47

[ Как создать образ автозапуска? ]

Пред. 1 ... 32 33 34 35 36 ... 61 След.