файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 34 35 36 37 38 ... 61 След.

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 24.12.2015 16:38:15

да, uVS показывает в образе задачи планировщика.
обычно шифратор xtbl/breakin_bad добавляется в автозапуск сюда
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
это если для xp
и сюда, в случае семерки и выше
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
-----------
но процесс шифрования уже запущен, в реестр файл прописывается, на случай если шифрование будет прервано

а документы шифранулись при данном запуске?
возможно, что файлики были удалены после шифрования.

Изменено: santy - 27.05.2016 14:01:34

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 08.12.2015

Размещено 24.12.2015 16:56:51

Цитата
santy написал: а документы шифранулись при данном запуске?

ага

Сообщений: 1

Регистрация: 25.12.2015

Размещено 25.12.2015 15:30:08

Помогите справиться с вирусом шифровальщиком. В ноутбуке все файлы зашифрованы имеют расширение Breaking_Bad. Была переустановлена операционная система. прикрепяю лог http://rghost.ru/89tvxfN8P

Сообщений: 2

Баллов: 1

Регистрация: 25.12.2015

Размещено 25.12.2015 16:30:07

Доброго времени суток! Коллеге пришло на почту письмо от [email protected]
В письме была ссылка на облако мэил ру, с него был загружен файл с расширением schet_nomer.scr
После открытия этого файла заставка на рабочем столе сменилась на черную, а большая часть документов и изображений на компьютере были зашифрованы (все имена стали в виде "evcB3I7Db68sT5hCihk1I8iJt7Dukyer27SzOgcyzoXxpx198Bn92q7uNKI9ypzjNp1QwL99t05GpHJJvvGMwOGm2luLqGWkOo0ZxLT3QFE+7oPwBldNPHcrWVkFNi+n.9FB2C536D514F38C7C1D" и расширение breaking_bad или Heisenberg

В приложении лог системы.
Пример зашифрованного файла залил http://rghost.ru/6lfDPjvHp

Помогите пожалуйста с лечением и расшифровкой этого ВоВсеТяжкогоШифровальщика! Заранее благодарю!
(лицензия имеется)

Прикрепленные файлы

DANILOV_2015-12-25_16-13-46.7z (475.37 КБ)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.12.2015 16:40:24

Александр,
образ чистый,

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.12.2015 16:42:33

прокс ваш?
HTTP://SVEC:8080/CONFIG.SCRIPT
в остальном все чисто.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 25.12.2015

Размещено 25.12.2015 16:45:15

Цитата
santy написал: прокс ваш? HTTP://SVEC:8080/CONFIG.SCRIPT в остальном все чисто. по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Вау, значит я всё верно поудалял.
Прокси наш.
Какие данные предоставить на указанную почту, есть ли какой-то шаблончик?

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.12.2015 16:47:10

желательно тело шифратора (или исходное сообщение, с которого было запущено шифрование), + несколько зашифрованных файлов (+если есть чистые копии этих же файлов),
остальные логи там запросят, если решат, что это поможет в расшифровке документов.

Изменено: santy - 28.05.2016 04:14:55

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 25.12.2015

Размещено 25.12.2015 17:27:00

Добрый день, та же проблема зашифровало ПОМОГИТЕ

Прикрепленные файлы

HOME-E663256873_2015-12-25_16-21-27.rar (382.04 КБ)
README1.txt (855 Б)

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 25.12.2015 18:34:34

Цитата
Вячеслав Ветров написал: Здравствуйте, вот тоже получили breaking_bad LARISA-PC_2015-12-24_08-55-26.7z (596.37 КБ)

судя по образу система уже очищена от шифратора,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Пред. 1 ... 34 35 36 37 38 ... 61 След.