файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 54 55 56 57 58 ... 61 След.

Сообщений: 2

Баллов: 1

Регистрация: 06.02.2016

Размещено 07.02.2016 09:16:13

Сделала, спасибо!
теперь вирус убит?
каким типом вируса у меня зашифрованы файлы? этот тип поддается расшифровке?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.02.2016 10:10:15

Роза Фус,
активного вируса нет в автозапуске,
шифратор называется: breaking_bad\filecoder.ED\Ransom.Shade
пока расшифровки по нему нет.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 08.02.2016

Размещено 08.02.2016 09:04:43

Привет помогите пожалуйста

Прикрепленные файлы

FARVATER_2016-02-08_14-55-30.7z (819.1 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.02.2016 10:45:53

Алексей,
судя по образу система уже очищена от шифратора.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 17.02.2016

Размещено 17.02.2016 20:25:12

Добрый день!

помогите, пожалуйста, с шифровальщиком
http://rghost.ru/7hnyXynWw

Заранее благодарю,

Прикрепленные файлы

САМУСЕНКОВЫ-ПК_2016-02-17_20-16-13.7z (725.89 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.02.2016 05:39:53

Виктор,
шифратора уже не в автозапуске

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\APWORKS\DVKIT.DLL delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\ODICS\DVKIT.DLL del D:\BETHESDA.NET_LAUNCHER.BAT regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL

delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\APWORKS\DVKIT.DLL

delref %SystemDrive%\USERS\САМУСЕНКОВЫ\APPDATA\LOCAL\ODICS\DVKIT.DLL

del D:\BETHESDA.NET_LAUNCHER.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 17.02.2016

Размещено 18.02.2016 20:45:37

Добрый день, santy

Спасибо за поддержку, скрипт выполнил.
Написал в [email protected], жду от них ответ

Сообщений: 5

Баллов: 2

Регистрация: 18.02.2016

Размещено 18.02.2016 21:47:30

Доброго дня.
Поймали шифровальщика.
Подсобите пожалуйста.
Образ прилагаю.

Прикрепленные файлы

ИРИНА-ПК_2016-02-18_13-08-04.7z (617.3 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.02.2016 22:28:51

Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c zoo %SystemDrive%\PROGRAMDATA\CSRSS\959B5D2844FA1AEAD8CF4AB6F3A8CBAE.DLL delall %SystemDrive%\PROGRAMDATA\CSRSS\959B5D2844FA1AEAD8CF4AB6F3A8CBAE.DLL delall %SystemDrive%\PROGRAM FILES (X86)\MIPONY\MIPONY.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIPONY\MIPONY.LNK deldir SystemDrive%\PROGRAMDATA\CSRSS exec C:\Users\Ирина\AppData\Local\MediaGet2\mediaget-uninstaller.exe exec "C:\Users\Ирина\AppData\Local\Yandex\YandexBrowser\Application\45.0.2454.3865\Installer\setup.exe" --uninstall --verbose-logging exec C:\Users\Ирина\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned exec "C:\Users\Ирина\AppData\Local\Package Cache\{12f34aee-538c-44d5-b33a-12213b7e0197}\BrowserManagerInstaller.exe" /uninstall deltmp delnfr restart

Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %SystemDrive%\PROGRAMDATA\CSRSS\959B5D2844FA1AEAD8CF4AB6F3A8CBAE.DLL
delall %SystemDrive%\PROGRAMDATA\CSRSS\959B5D2844FA1AEAD8CF4AB6F3A8CBAE.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\MIPONY\MIPONY.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MIPONY\MIPONY.LNK
deldir SystemDrive%\PROGRAMDATA\CSRSS
exec C:\Users\Ирина\AppData\Local\MediaGet2\mediaget-uninstaller.exe
exec "C:\Users\Ирина\AppData\Local\Yandex\YandexBrowser\Application\45.0.2454.3865\Installer\setup.exe" --uninstall --verbose-logging
exec C:\Users\Ирина\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
exec "C:\Users\Ирина\AppData\Local\Package Cache\{12f34aee-538c-44d5-b33a-12213b7e0197}\BrowserManagerInstaller.exe"  /uninstall
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 5

Баллов: 2

Регистрация: 18.02.2016

Размещено 19.02.2016 11:41:46

Скрипт отработал!
Выкладываю лог MBAM

Прикрепленные файлы

mam.txt (2.39 КБ)

Пред. 1 ... 54 55 56 57 58 ... 61 След.