файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 24 25 26 27 28 ... 61 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.12.2015 14:57:20

Денис,
система уже очищена от шифратора,

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.12.2015 15:02:02

Эдуард,
не надо на форум добавлять вирусные тела.
по файлам: да, это файлы от шифратора breacking_bad, ое же xtbl
https://www.virustotal.com/ru/file/13c73bbacb572b1d7051b5f306f71d8383a04582216060fbc86772f0b87e36cf/analysis/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 09.12.2015

Размещено 09.12.2015 15:07:58

Отправляю в Ваш адрес запрашиваемый образ автозапускаBUH_2015-12-09_14-47-30

Изменено: Фёдор Перекрест - 28.05.2016 03:23:33

Сообщений: 4

Баллов: 2

Регистрация: 09.12.2015

Размещено 09.12.2015 15:16:38

Цитата
santy написал: [email protected]

А они помогут расшифровать данные ? Или пустая трата времени?

Сообщений: 8

Баллов: 4

Регистрация: 09.12.2015

Размещено 09.12.2015 15:23:44

Извините.
Проверка ещё идёт. Стоит ли её прервать и выполнить то, что в первом ответе рекомендуется?
И можно ли пролечить перед запуском операционки или лучше воздержаться?
В любом случае, я пока сменил расширение у тех кодеров что пока найдены, чтобы можно было вернуть их на место в случае, если это будет необходимо для раскодировки.

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 09.12.2015 15:32:41

Денис, в данный момент, по Braiking Bad, увы, расшифровки нет.

ESET Technical Support

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 09.12.2015 15:38:40

Дешифратора на данный момент для этого кодера, увы, не имеется. Если дешифратор появится, мы свяжемся с Вами.

ESET Technical Support

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 09.12.2015 15:53:51

да вероятней всего, что с кодированными файлами уже ничего, потому что нет декодера. или как мне предложили за 10тыр

Сообщений: 4

Баллов: 2

Регистрация: 09.12.2015

Размещено 09.12.2015 16:13:10

Вот и еще один потерпевший. Прошу помощи.
Образ автозапуска прикрепил.

Прикрепленные файлы

ZARPLATA_2015-12-09_16-07-17.7z (607.7 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.12.2015 16:41:06

Федор,
выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_21\S_INST.EXE addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029 ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\IDENTITIES\USEIDENTITIES.EXE ; RegClean Pro exec C:\Program Files\RegClean Pro\unins000.exe" /silent deltmp delnfr ;------------------------------------------------------------- CZOO restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_21\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\IDENTITIES\USEIDENTITIES.EXE

; RegClean Pro
exec C:\Program Files\RegClean Pro\unins000.exe" /silent
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Пред. 1 ... 24 25 26 27 28 ... 61 След.