файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 50 51 52 53 54 ... 61 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.01.2016 14:15:14

да, скрипт должен был очистить шифратор из автозапуска и вообще с диска.

наименование шифратора такое:

Filecoder.ED /eset/
Trojan-Ransom.Win32.Shade /Kaspersky/
Trojan.Encoder.858 /DrWeb/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 26.01.2016

Размещено 27.01.2016 14:30:55

Огромное человеческое спасибо!

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.01.2016 16:13:01

Цитата
МУП МУП КТТУ написал: Спасибо! Скрипт отработал. Запустил еще дополнительно ESET Online Scanner еще нахошел 11шт. "Win32/Filecoder.ED [ESET-NOD32]" Кстати какой у вас в подписях сыылка на "полезные инструменты". Скачиваются норм но не открываются просят пароль http://rghost.ru/users/santy/releases/utilitiesLiveCd

Цитата

МУП МУП КТТУ написал:
Спасибо! Скрипт отработал.
Запустил еще дополнительно ESET Online Scanner еще нахошел 11шт. "Win32/Filecoder.ED [ESET-NOD32]"

Кстати какой у вас в подписях сыылка на "полезные инструменты". Скачиваются норм но не открываются просят пароль http://rghost.ru/users/santy/releases/utilitiesLiveCd

это скорее всего readme.txt, которые шифратор ложит в корень диска, текстовые обновления: куда, кому, сколько стоит расшифровка.
по инструментам: некоторые я добавил в архив с паролем, потому что rghost.ru в целях безопасности блокирует исполняемые файлы в архиве.
пароль там рядом пописан несложный.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2016

Размещено 27.01.2016 18:54:45

Поймали breaking_bad. Наш номер лицензии EAV-0144125630. Вход на сервер под админом заблокирован, но под пользователем с обычными правами пускает. Под пользователем запустил uVS, в первом окошке выбрал "Запустить с выбором пользователя" и указал админскую учётку.
Ссылка на автозапуск https://cloud.mail.ru/public/4bHc/DqbYErRPx

Сообщений: 1

Регистрация: 27.01.2016

Размещено 27.01.2016 22:57:04

Добрый день!
Прошу помочь с очисткой - образ автозапуска во вложении.
Username: EAV-0159105811

Прикрепленные файлы

ACER-ПК_2016-01-27_23-30-52.7z (570.47 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.01.2016 06:10:33

Андрей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32] zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\80C015A6.EXE addsgn 925277FA0C6AC1CC0B64484EA34F9EEF008A2BE3879148F1604E5998D0278DB312D7936EE220660F6DD3EC12A03E49ADFE1CEC213D6016232D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252777A056AC1CC0BE4414EA34F6275398A79C8267248F1604E5998D0278DB312D7936EE220660F6DD3EC89BB0A49ADFE1CEC213D2480202D2127ECC35572B4 8 filecoder.ED zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\80C015A6.EXE
addsgn 925277FA0C6AC1CC0B64484EA34F9EEF008A2BE3879148F1604E5998D0278DB312D7936EE220660F6DD3EC12A03E49ADFE1CEC213D6016232D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A056AC1CC0BE4414EA34F6275398A79C8267248F1604E5998D0278DB312D7936EE220660F6DD3EC89BB0A49ADFE1CEC213D2480202D2127ECC35572B4 8 filecoder.ED

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AFWDWORKS\KHVFYQSX.DLL

deltmp
delnfr

;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.01.2016 06:14:14

Mike Z,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\2605A794.EXE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32] delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL del %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE regt 27 regt 28 regt 29 ; Pandora Service exec C:\Program Files\PANDORA.TV\PanService\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\2605A794.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32]

delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL
del %SystemDrive%\USERS\ACER\APPDATA\LOCAL\ISMSOFT\DIVLINK.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]
del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT

del %SystemDrive%\USERS\ACER\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\ACER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

regt 27
regt 28
regt 29
; Pandora Service
exec C:\Program Files\PANDORA.TV\PanService\unins000.exe
deltmp
delnfr

;-------------------------------------------------------------
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2016

Размещено 28.01.2016 07:57:28

Отправил на [email protected]
Профиль мой ожил, т.е. папки на раб. столе появились. Естественно содержимое папок всё ещё в зашифрованном виде.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.01.2016 08:10:59

Андрей,
думаю, с расшифровкой b_b будут большие сложности

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2016

Размещено 28.01.2016 08:28:50

Понятно, значит придётся с ними договариваться :-(

Пред. 1 ... 50 51 52 53 54 ... 61 След.