файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 33 34 35 36 37 ... 61 След.

Сообщений: 1

Регистрация: 22.12.2015

Размещено 22.12.2015 20:34:30

Помогите, пожалуйста, расшифровать файлы!!!

Прикрепленные файлы

USER-PC_2015-12-22_20-19-11.7z (531.02 КБ)

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 23.12.2015 06:35:14

Ирина,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\ADGUARD\NSS\CERTUTIL.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE regt 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\ADGUARD\NSS\CERTUTIL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 23.12.2015

Размещено 23.12.2015 12:17:08

Зашифровало офисный ПК
Прикладываю образы автозапуска ПК
Один из безопасного режима другой из обычного

Прикрепленные файлы

114-NATALI_2015-12-23_14-04-53.TXT (7.75 МБ)
114-NATALI_2015-12-23_13-58-52.TXT (7.54 МБ)

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 23.12.2015 12:21:34

Роман,
судя по образу система уже очищена от вирусных тел.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 17.06.2016 10:00:01

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 24.12.2015

Размещено 24.12.2015 10:45:42

Здравствуйте, вот тоже получили breaking_bad

LARISA-PC_2015-12-24_08-55-26.7z (596.37 КБ)

Сообщений: 7

Баллов: 3

Регистрация: 08.12.2015

Размещено 24.12.2015 14:27:43

Вобщем, недоглядел. В оутлуке осталось письмо с .gz телом вируса. При лазании по почте, умудрились опять его открыть.

Прикрепленные файлы

MATVEEVAN_2015-12-24_13-52-40.7z (531.93 КБ)

Сообщений: 1

Регистрация: 22.12.2015

Размещено 24.12.2015 15:51:45

Цитата
santy написал: Сергей, не надо выкладывать вирусные тела на форум. если нужна помощь в очистке системы, добавьте образ автозапуска системы http://forum.esetnod32.ru/forum9/topic2687

Приношу извинения. Образ вложен, большая просьба помочь!

Прикрепленные файлы

МАРИНА_2015-12-24_15-35-30.7z (544.71 КБ)

Изменено: Сергей Кузовков - 17.06.2016 10:08:45

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 24.12.2015 16:19:05

Ярослав,
образ чистый, нет следов шифратора.
по расшифровке, знаете уже куда обращаться.

Цитата
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 27.05.2016 14:01:34

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 08.12.2015

Размещено 24.12.2015 16:28:21

Цитата

santy написал:
по расшифровке, знаете уже куда обращаться.

Цитата
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Смысла нету, т.к. .Breaking_Bad это тот же .xtbl Filecoder.ED (по версии K - Ransom.Win32.Shade, по версии веба Encoder.858). Я думаю уже пора добавить это.

И странно что чистая, на этой машине уже открывался этот же файл и в прошлый раз он наследил. В uvs логах прописываются задачи планировщика?

Изменено: Ярослав Хохлов - 27.05.2016 14:01:34

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 24.12.2015 16:33:54

Сергей,
образ чистый, видимо уже система очищена от вирусных тел,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Пред. 1 ... 33 34 35 36 37 ... 61 След.