файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 26 27 28 29 30 ... 61 След.

Сообщений: 8

Баллов: 4

Регистрация: 09.12.2015

Размещено 09.12.2015 22:12:53

Отправляю образ автозапуска. При этом во время сканирования были сообщения что файл c:\ProgramData\Windows\csrss.exe и ещё ряд файлов не найдены, т.к. я их предварительно переименовал с целью недопущения запуска.
Заставка ещё не выставилась, вовремя прервали гада

))
Жду инструкций с нетерпением. Заранее спасибо!

Прикрепленные файлы

VICTORIYA-PC_2015-12-09_17-07-10.7z (467.4 КБ)

Изменено: Эдуард Сердюк - 28.05.2016 03:29:35

Сообщений: 2

Баллов: 1

Регистрация: 09.12.2015

Размещено 09.12.2015 22:32:39

Вижу, что я, увы, не оригинален... Заранее громаднейшая благодарность за помощь!

Был открыт файл-приложение к письму, возможно это была ссылка.
Все документы зашифрованы, изменены имена, расширение теперь у всех .breaking_bad

В появившихся README.txt следующее послание:
"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
8B1A72614F0E7B2CB287|0
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

Образ автозапуска

Прикрепленные файлы

USER-PC_2015-12-09_22-12-31.7z (631.75 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 07:31:15

судя по образу, активности нет шифратора.
хорошая выучка у сотрудников.
увидели активность шифратора, сразу отключили комп и вызвали специалиста.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I4E71G3.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I773FOT.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IG1VGSX.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IJWEXZQ.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$ILEOZ3L.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IN49B8R.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IOM3FZ5.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IS8T10F.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\USERS\VICTOR~1\APPDATA\ROAMING\MSFXM.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I13D489.SCR delall %SystemDrive%\USERS\VICTORIYA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BTUNQDB7.DEFAULT\EXTENSIONS\[email protected] deltmp delnfr restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I4E71G3.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I773FOT.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IG1VGSX.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IJWEXZQ.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$ILEOZ3L.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IN49B8R.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IOM3FZ5.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IS8T10F.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\USERS\VICTOR~1\APPDATA\ROAMING\MSFXM.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I13D489.SCR
delall %SystemDrive%\USERS\VICTORIYA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BTUNQDB7.DEFAULT\EXTENSIONS\[email protected]
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по тому что зашифровано, проверьте, возможно есть чистые файлы в теневых копиях.
(если они остались живые)

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 07:35:30

Василий,
активности шифратора (уже) нет судя по образу

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb] delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2001398493-2628175497-996280023-1000\$IDWXIX6.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE delref %SystemDrive%\PROGRA~3\MSIFHG.EXE del %SystemDrive%\PROGRA~3\MSIFHG.EXE delref %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS del %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS delref %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS del %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS delref %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS del %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=21A974D0E7645DDCC97F00DEF2F43E38&TEXT={SEARCHTERMS} regt 27 delhst 204.44.87.184 ok.ru delhst 204.44.87.184 m.ok.ru ; Weatherbar exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2001398493-2628175497-996280023-1000\$IDWXIX6.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref %SystemDrive%\PROGRA~3\MSIFHG.EXE
del %SystemDrive%\PROGRA~3\MSIFHG.EXE

delref %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS
del %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS

delref %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS
del %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS

delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS
del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS

delref %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS
del %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=21A974D0E7645DDCC97F00DEF2F43E38&TEXT={SEARCHTERMS}
regt 27
delhst 204.44.87.184 ok.ru
delhst 204.44.87.184 m.ok.ru
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 08:31:34

Федор Перекрест,
в данном случае не нужны логи очистки и ZOO.
лог выполнения скрипта, и ZOO обычно мы пишем в сообщении после скрипта, если они необходимы для анализа.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 09.12.2015

Размещено 10.12.2015 08:52:53

Здравствуйте, скрипт отработал, вопросов не задавал, система перезагрузилась. К сожалению документы остаются зашифрованными...

Во вложении лог и новый образ автозапуска...

Прикрепленные файлы

2015-12-10_08-28-37_log.txt (39.72 КБ)
USER-PC_2015-12-10_08-50-03.7z (629.75 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 08:59:40

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 09.12.2015

Размещено 10.12.2015 10:25:31

Выполнил. Проблема одна и старая - файлы зашифрованы. Копий наиболее важных файлов нет, так что выучка у сотрудников ещё не та... Что можно сделать для расшифровки?

Сообщений: 2

Баллов: 1

Регистрация: 09.12.2015

Размещено 10.12.2015 10:25:55

Словили на компьютере администратора.

Не каких файлов о вымогании нет, просто все файлы с новым расширением.

Автозапуск
http://rghost.ru/6cScGzgfB

Изменено: Алексей Зуев - 27.05.2016 14:13:30

Сообщений: 6

Баллов: 3

Регистрация: 10.12.2015

Размещено 10.12.2015 10:27:33

Помогите пожалуйста с расшифровкой.Компьютер бухгалтерский с массой важной информации

Прикрепленные файлы

uvs_v386.zip (2.26 МБ)

Пред. 1 ... 26 27 28 29 30 ... 61 След.