файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 25 26 27 28 29 ... 61 След.

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 09.12.2015 16:45:25

Эдуард,
если шифрование завершилось выставлением заставки на рабочий стол, а так же размещением файлов readme*.txt в корне диска,
то самое страшное уже случилось.
файл что висит в памяти может подгружать другие вредоносные файлы,
но это не страшно вообщем.

сделайте образ автозапуска, очистим систему от остаков шифратора, а дальше уже думать, как расшифровать документы

Изменено: santy - 28.05.2016 03:29:35

[ Как создать образ автозапуска? ]

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 09.12.2015 16:49:36

Александр Медведев,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 27.05.2016 14:21:47

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 09.12.2015

Размещено 09.12.2015 17:10:54

А чтобы удостовериться что заразы больше нет сформировать новый файл автозапуска?

Сообщений: 4

Баллов: 2

Регистрация: 09.12.2015

Размещено 09.12.2015 17:16:39

И еще у меня защита в реальном времени отключилась, это из-за скрипта?

Сообщений: 4

Баллов: 2

Регистрация: 09.12.2015

Размещено 09.12.2015 17:21:38

Образ запуска

Прикрепленные файлы

ZARPLATA_2015-12-09_17-11-03.7z (605.93 КБ)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 09.12.2015 17:27:58

повторный образ чистый

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 09.12.2015

Размещено 09.12.2015 18:12:50

Добрый вечер. Прошу помощи. Образ прилагаю.
Образ автозапуска

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 09.12.2015 18:32:45

Александр,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad zoo %SystemDrive%\USERS\MASLOV\DOWNLOADS\SCHET.NOMER.10400511-09-12 (1).SCR zoo %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE delall %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] regt 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

zoo %SystemDrive%\USERS\MASLOV\DOWNLOADS\SCHET.NOMER.10400511-09-12 (1).SCR
zoo %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE
delall %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected]
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 27.05.2016 14:12:24

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 09.12.2015

Размещено 09.12.2015 19:21:02

Лог работы скрипта
Повторный образ после отработки скрипта
Зоопарк сейчас скину на почту. Благодарю за помощь!

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 09.12.2015 19:26:44

повторный образ чист

[ Как создать образ автозапуска? ]

Пред. 1 ... 25 26 27 28 29 ... 61 След.