файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 27 28 29 30 31 ... 61 След.

Сообщений: 1

Регистрация: 10.12.2015

Размещено 10.12.2015 11:08:05

В папке Загрузки несколько файлов получили расширение .breaking_bad. Создал образ с помощью uvs.
Прошу Вашей помощи.

Прикрепленные файлы

USER-PC_2015-12-10_11-01-45.7z (460.29 КБ)

Сообщений: 17965

Баллов: 28743

Регистрация: 16.03.2010

Размещено 10.12.2015 11:51:15

по расшифровке breaking_bad стучаться в техподдержки антивирусов, возможно где то вам "откроют двери".

[ Как создать образ автозапуска? ]

Сообщений: 17965

Баллов: 28743

Регистрация: 16.03.2010

Размещено 10.12.2015 11:58:36

Алексей,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE czoo ;------------------------autoscript--------------------------- chklst delvir regt 28 regt 29 ; Java(TM) 6 Update 31 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416031FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
czoo
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
; Java(TM) 6 Update 31 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416031FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17965

Баллов: 28743

Регистрация: 16.03.2010

Размещено 10.12.2015 11:59:58

нужен образ автозапуска.
файл: ваш_компьютер_дата_время.txt или 7z
прочитайте еще раз внимательно инструкцию
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: santy - 28.05.2016 03:27:29

[ Как создать образ автозапуска? ]

Сообщений: 17965

Баллов: 28743

Регистрация: 16.03.2010

Размещено 10.12.2015 12:03:52

Алла,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\INFONAUT_1.10.0.14\SERVICE\INSVC.EXE addsgn 1A54139A5583378CF42B623A28EC1E52A043F3721BFA1F78D3904E65DBA25558D4D1C0573E5516350F90F19487FF4BF5F85AE872553197A62BF4622E4F01A1B4 8 Adware.Yontoo.73 [DrWeb] addsgn 1A03249A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89F43A334CDC0267177C5518895E98D2773E0649FAF62F1767799AF22C7D9F8C3FC7067BFA 64 Win32/Adware.ConvertAd zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7E26DB80-1431511075-11DF-9402-E0CB4EABC267\NSOB073.TMPFS delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDFONANKHFNHIHDCPAAGPABBAOCLNJFP\1.1.10.1_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL\1.1.3.1_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС ;------------------------autoscript--------------------------- sreg chklst delvir deldirex %SystemDrive%\PROGRAM FILES\ANYPROTECTEX delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\AGKIMWLJ.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\AGKIMWLJ.DEFAULT\EXTENSIONS\[email protected] delref %Sys32%\DRIVERS\INNFD_1_10_0_14.SYS del %Sys32%\DRIVERS\INNFD_1_10_0_14.SYS deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION\42.0.2311.135 deldirex %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\1.3.25.0 deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\INFONAUT_1.10.0.14\SERVICE\INSVC.EXE
addsgn 1A54139A5583378CF42B623A28EC1E52A043F3721BFA1F78D3904E65DBA25558D4D1C0573E5516350F90F19487FF4BF5F85AE872553197A62BF4622E4F01A1B4 8 Adware.Yontoo.73 [DrWeb]

addsgn 1A03249A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89F43A334CDC0267177C5518895E98D2773E0649FAF62F1767799AF22C7D9F8C3FC7067BFA 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7E26DB80-1431511075-11DF-9402-E0CB4EABC267\NSOB073.TMPFS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDFONANKHFNHIHDCPAAGPABBAOCLNJFP\1.1.10.1_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL\1.1.3.1_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ANYPROTECTEX

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\AGKIMWLJ.DEFAULT\EXTENSIONS\[email protected]
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\AGKIMWLJ.DEFAULT\EXTENSIONS\[email protected]

delref %Sys32%\DRIVERS\INNFD_1_10_0_14.SYS
del %Sys32%\DRIVERS\INNFD_1_10_0_14.SYS

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION\42.0.2311.135

deldirex %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\1.3.25.0

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\KOMETA\APPLICATION

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 09.12.2015

Размещено 10.12.2015 12:12:29

Спасибо за Ваши советы, проблем с вирусом больше не возникает, осталось дешифровать файлы.

Сообщений: 8

Баллов: 4

Регистрация: 09.12.2015

Размещено 10.12.2015 12:23:38

Ясно. В Eset уже постучался - молчат. Судя по веткам форума, радостых визгов от потерпевших не встретил, т.е. шанс близок нулю (по крайней мере пока). Попробую к коллегам (конкурентам

) обратиться - может помогут небезвозмездно...
В любом случае - спасибо!!!

Сообщений: 8

Баллов: 4

Регистрация: 09.12.2015

Размещено 10.12.2015 13:11:16

зы: запустил тварь в виртуалке - дождусь пока требования выставит, чтобы связь с разработчиками установить. Посмотрим что получится...

Сообщений: 6

Баллов: 3

Регистрация: 10.12.2015

Размещено 10.12.2015 13:37:27

Прошу прощения засвою невнимательность.Думаю, вторая попытка более удачная

Прикрепленные файлы

BUH03_2015-12-10_10-05-38.rar (709.95 КБ)

Сообщений: 17965

Баллов: 28743

Регистрация: 16.03.2010

Размещено 10.12.2015 13:50:22

на виртуалке будет уже другой ключ, т.е. при каждом запуске этого шифратора шифрование будет выполнено новым ключом.
но контакты, там да, есть в файле readme.txt

[ Как создать образ автозапуска? ]

Пред. 1 ... 27 28 29 30 31 ... 61 След.